Pada bulan Maret 2022, Komisi Sekuritas dan Bursa (SEC) mengusulkan aturan tentang pengungkapan keamanan siber, tata kelola, dan manajemen risiko untuk perusahaan publik, yang dikenal sebagai Usulan Aturan untuk Perusahaan Publik (PRPC). Aturan ini mengharuskan perusahaan untuk melaporkan insiden keamanan siber yang โpentingโ dalam waktu empat hari. Dewan direksi juga harus memiliki keahlian keamanan siber.
Tidak mengherankan, memang demikian bertemu dengan segala macam penolakan. Dalam bentuknya yang sekarang, peraturan yang diusulkan memberikan banyak ruang untuk interpretasi, dan tidak praktis di beberapa bidang.
Pertama, ketatnya waktu pengungkapan akan memberikan tekanan besar pada kepala petugas keamanan informasi (CISO) untuk mengungkapkan insiden penting sebelum mereka mengetahui semua rinciannya. Insiden dapat memerlukan waktu berminggu-minggu dan terkadang berbulan-bulan untuk dipahami dan diperbaiki sepenuhnya. Tidak mungkin mengetahui dampak dari suatu kerentanan baru sampai tersedia sumber daya yang cukup untuk melakukan remediasi. CISO mungkin juga harus mengungkapkan kerentanan yang, seiring berjalannya waktu, tidak lagi menjadi masalah dan oleh karena itu tidak bersifat material. Hal itu pada gilirannya dapat mempengaruhi harga jangka pendek suatu perusahaan.
Insiden Adalah Sesuatu yang Hidup โ Bukan Kesepakatan yang Selesai
Persyaratan pengungkapan selama empat hari mungkin terdengar bagus jika dilihat dari permukaannya. Namun hal tersebut tidak realistis dan pada akhirnya akan mengalihkan perhatian CISO untuk memadamkan api.
Saya akan menggunakan Peraturan Perlindungan Data Umum (GDPR) Uni Eropa sebagai perbandingan. Berdasarkan peraturan tersebut, perusahaan harus melaporkan insiden ketidakpatuhan dalam waktu 72 jam. Namun, dalam kasus GDPR, kebutuhan untuk melaporkan sudah jelas. Meskipun waktu 72 jam sering kali terlalu dini untuk mengetahui secara spesifik dampak keseluruhan suatu insiden, setidaknya organisasi akan mengetahui jika informasi pribadi telah disusupi.
Bandingkan hal ini dengan persyaratan pengungkapan yang diusulkan PRPC. Organisasi akan memiliki waktu tambahan 24 jam, namun โ berdasarkan apa yang telah dipublikasikan sejauh ini โ mereka harus memenuhi syarat secara internal jika pelanggaran tersebut terjadi. bahan. Berdasarkan GDPR, perusahaan dapat melakukan hal tersebut berdasarkan sensitivitas data, volumenya, dan ke mana data tersebut pergi. Berdasarkan PRPC, โmaterialitasโ didefinisikan oleh SEC sebagai segala sesuatu yang โdianggap penting oleh pemegang saham yang wajar.โ Ini bisa berupa apa pun yang dianggap penting oleh pemegang saham bagi bisnis mereka. Ini agak luas dan tidak didefinisikan dengan jelas.
Definisi Lemah Lainnya
Permasalahan lainnya adalah persyaratan proposal untuk mengungkapkan keadaan di mana suatu insiden keamanan tidak bersifat material, namun telah menjadi โsecara agregat.โ Bagaimana cara kerjanya dalam praktik? Apakah kerentanan yang belum ditambal sejak enam bulan lalu kini dapat diungkapkan (mengingat perusahaan tidak menambalnya) jika digunakan untuk memperluas cakupan insiden berikutnya? Kami telah menggabungkan ancaman, kerentanan, dan dampak bisnis. Kerentanan yang tidak dieksploitasi tidak bersifat material karena tidak menimbulkan dampak bisnis. Apa yang perlu Anda ungkapkan ketika insiden gabungan perlu dilaporkan, dan apakah klausul agregasi membuat hal ini semakin sulit untuk diketahui?
Yang lebih rumit lagi, peraturan yang diusulkan ini akan mengharuskan organisasi untuk mengungkapkan perubahan kebijakan apa pun yang diakibatkan oleh insiden sebelumnya. Seberapa ketat hal ini diukur dan, sejujurnya, mengapa hal ini diukur? Kebijakan seharusnya merupakan pernyataan niat โ kebijakan tidak seharusnya menjadi panduan konfigurasi forensik tingkat rendah. Memperbarui dokumen tingkat yang lebih rendah (standar) untuk mewajibkan algoritma enkripsi khusus untuk data sensitif masuk akal, namun ada beberapa dokumen tingkat yang lebih tinggi yang akan diperbarui karena suatu insiden. Contohnya mungkin memerlukan autentikasi multifaktor atau mengubah perjanjian tingkat layanan (SLA) patching untuk kerentanan kritis dalam cakupan.
Terakhir, proposal tersebut menyatakan bahwa laporan pendapatan triwulanan akan menjadi forum pengungkapan. Secara pribadi, laporan pendapatan triwulanan sepertinya bukan forum yang tepat untuk mendalami pembaruan kebijakan dan insiden keamanan. Siapa yang akan memberikan pembaruan? CFO atau CEO, yang biasanya memberikan laporan pendapatan, mungkin tidak memiliki informasi yang cukup untuk memberikan laporan penting tersebut. Jadi, apakah CISO sekarang ikut serta dalam seruan tersebut? Dan jika ya, apakah mereka juga akan menjawab pertanyaan dari analis keuangan? Tampaknya tidak praktis, tapi kita harus menunggu dan melihat.
Pertanyaan Tentang Pengalaman Dewan
Perulangan pertama PRPC memerlukan pengungkapan tentang pengawasan dewan terhadap kebijakan manajemen risiko keamanan siber. Hal ini mencakup pengungkapan tentang masing-masing anggota dewan dan keahlian siber mereka masing-masing. SEC mengatakan pihaknya sengaja membuat definisi tersebut tetap luas, mengingat beragamnya keterampilan dan pengalaman khusus untuk masing-masing dewan.
Untungnya, setelah banyak penelitian, mereka memutuskan untuk menghapus persyaratan ini. PRPC tetap meminta perusahaan untuk menjelaskan proses dewan dalam mengawasi risiko keamanan siber, dan peran manajemen dalam menangani risiko tersebut.
Hal ini memerlukan beberapa penyesuaian dalam komunikasi dan kesadaran umum. Baru-baru ini, Dr. Keri Pearlson, direktur eksekutif keamanan siber di MIT Sloan, dan Lucia Milicฤ, CISO di Stanley Black & Decker, mensurvei 600 anggota dewan tentang aktivitas seputar keamanan siber. Mereka menemukan bahwa โkurang dari separuh (47%) anggota menjabat di dewan yang berinteraksi dengan CISO mereka secara rutin, dan hampir sepertiga dari mereka hanya melihat CISO mereka saat presentasi dewan.โ Hal ini jelas menunjukkan adanya kesenjangan komunikasi.
Kabar baiknya adalah sebagian besar dewan telah memiliki komite audit dan risiko, yang dapat berfungsi sebagai bagian dari dewan untuk tujuan ini. Meskipun demikian, tidak jarang CISO dan CSO menyampaikan permasalahan terkait keamanan siber yang tidak sepenuhnya dipahami oleh anggota dewan lainnya. Untuk menutup kesenjangan ini, diperlukan keselarasan yang lebih besar antara dewan direksi dan eksekutif keamanan.
Ketidakpastian Menang
Seperti halnya peraturan baru lainnya, terdapat pertanyaan dan ketidakpastian dalam PRPC. Kita hanya perlu menunggu dan melihat bagaimana perkembangannya dan apakah perusahaan dapat memenuhi persyaratan yang diusulkan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 2022
- 24
- 7
- 72
- a
- Tentang Kami
- kegiatan
- penyesuaian
- mempengaruhi
- Setelah
- agregat
- pengumpulan
- silam
- Persetujuan
- algoritma
- penjajaran
- Semua
- hampir
- sudah
- juga
- jumlah
- an
- Analis
- dan
- Apa pun
- apa saja
- ADALAH
- daerah
- AS
- At
- Audit
- Otentikasi
- kesadaran
- berdasarkan
- BE
- karena
- menjadi
- menjadi
- sebelum
- makhluk
- antara
- Black
- papan
- pelanggaran
- luas
- bisnis
- tapi
- by
- panggilan
- Panggilan
- CAN
- kasus
- ceo
- CFO
- Perubahan
- mengubah
- kepala
- keadaan
- CISO
- Jelas
- Penyelesaian
- Komisi
- komite
- Komunikasi
- komunikasi
- Perusahaan
- perusahaan
- perbandingan
- rumit
- Dikompromikan
- konfigurasi
- Mempertimbangkan
- bisa
- membuat
- kritis
- terbaru
- maya
- Keamanan cyber
- data
- perlindungan data
- Hari
- memutuskan
- dedicated
- mendalam
- didefinisikan
- definisi
- menggambarkan
- rincian
- tidak
- Kepala
- Direksi
- Membuka
- penyingkapan
- do
- dokumen
- tidak
- doesn
- Dont
- dr
- dua
- setiap
- Pendapatan
- panggilan penghasilan
- enkripsi
- akhir
- Eropa
- Uni Eropa
- Bahkan
- berevolusi
- contoh
- Pasar Valas
- eksekutif
- Direktur Eksekutif
- eksekutif
- pengalaman
- keahlian
- dieksploitasi
- memperpanjang
- tambahan
- Menghadapi
- jauh
- beberapa
- sedikit
- keuangan
- akhir
- kebakaran
- Pertama
- Untuk
- Forensik
- bentuk
- forum
- ditemukan
- empat
- dari
- sepenuhnya
- celah
- GDPR
- Umum
- data umum
- Peraturan Perlindungan Data Umum
- Memberikan
- diberikan
- Go
- baik
- pemerintahan
- lebih besar
- Panduan
- Setengah
- Penanganan
- sulit
- Memiliki
- memiliki
- Secara jujur
- JAM
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- if
- Dampak
- penting
- mustahil
- in
- insiden
- termasuk
- sendiri-sendiri
- informasi
- keamanan informasi
- informasi
- maksud
- berinteraksi
- internal
- interpretasi
- melibatkan
- adalah n
- isu
- IT
- perulangan
- NYA
- ikut
- jpg
- hanya
- terus
- Tahu
- dikenal
- paling sedikit
- kurang
- 'like'
- hidup
- ll
- Lot
- membuat
- MEMBUAT
- pengelolaan
- Mandat
- March
- besar-besaran
- bahan
- Hal-hal
- Mungkin..
- Pelajari
- Anggota
- bertemu
- mungkin
- MIT
- bulan
- lebih
- paling
- banyak
- otentikasi multifaktor
- harus
- Perlu
- kebutuhan
- New
- berita
- sekarang
- of
- petugas
- sering
- on
- ONE
- hanya
- or
- organisasi
- di luar
- secara keseluruhan
- mengawasi
- Kelalaian
- sendiri
- tertentu
- tambalan
- Menambal
- pribadi
- Sendiri
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- Kebijakan
- kebijaksanaan
- praktek
- menyajikan
- Presentasi
- tekanan
- sebelumnya
- harga pompa cor beton mini
- proses
- usul
- diusulkan
- perlindungan
- menyediakan
- publik
- perusahaan publik
- tujuan
- menempatkan
- Puting
- memenuhi syarat
- Pertanyaan
- jarak
- agak
- RE
- realistis
- masuk akal
- baru-baru ini
- secara teratur
- Regulasi
- menghapus
- melaporkan
- Dilaporkan
- laporan
- membutuhkan
- wajib
- kebutuhan
- Persyaratan
- Sumber
- itu
- Menanggapi
- ISTIRAHAT
- benar
- Risiko
- manajemen risiko
- risiko
- Peran
- Kamar
- Aturan
- s
- Tersebut
- mengatakan
- cakupan
- pengawasan
- SEC
- Surat-surat berharga
- Securities and Exchange Commission
- keamanan
- melihat
- terlihat
- tampaknya
- rasa
- peka
- Kepekaan
- melayani
- pemegang saham
- Pemegang Saham
- jangka pendek
- ENAM
- Enam bulan
- ketrampilan
- Sloan
- So
- beberapa
- segera
- Suara
- tertentu
- spesifik
- standar
- stanley
- Laporan
- Masih
- selanjutnya
- Seharusnya
- Sekitarnya
- Mengambil
- dari
- bahwa
- Grafik
- mereka
- Mereka
- Sana.
- karena itu
- mereka
- hal
- Ketiga
- ini
- itu
- ancaman
- Demikian
- waktu
- untuk
- terlalu
- MENGHIDUPKAN
- khas
- Akhirnya
- ketidakpastian
- Luar biasa
- bawah
- memahami
- serikat
- tidak perlu
- sampai
- diperbarui
- Pembaruan
- memperbarui
- menggunakan
- bekas
- nilai
- sangat
- sebenarnya
- volume
- Kerentanan
- kerentanan
- menunggu
- adalah
- we
- minggu
- pergi
- Apa
- ketika
- apakah
- yang
- sementara
- SIAPA
- mengapa
- akan
- jendela
- dengan
- dalam
- Kerja
- akan
- Kamu
- zephyrnet.dll