Apa yang Harus Dilakukan CISO untuk Memenuhi Peraturan SEC yang Baru?

Pertanyaan: Bagaimana CISO dapat mengikuti perubahan peraturan keamanan siber?

Ilona Cohen, Kepala Bagian Hukum dan Kebijakan, HackerOne: Menjadi Chief Information Security Officer (CISO) bukanlah masa yang mudah, namun beberapa bulan terakhir ini terasa sangat menantang. Selain faktor-faktor yang menyebabkan stres dalam pekerjaan – seperti meningkatnya serangan ransomware dan meluasnya ancaman orang dalam – kita kini dapat menambahkan pengawasan penegakan peraturan yang lebih ketat.

Baru-baru ini biaya dari Komisi Keamanan dan Pertukaran AS (SEC) melawan CISO SolarWinds adalah pertama kalinya CISO dipilih dengan cara ini oleh agensi. Hal ini menunjukkan lebih besar tren peningkatan akuntabilitas untuk individu yang bertugas mengelola program keamanan organisasi.

Selain itu, perusahaan yang diperdagangkan di bursa AS harus mematuhi pengungkapan keamanan siber baru SEC dan aturan pelaporan insiden mulai sekarang, dan perusahaan kecil yang memenuhi syarat harus mematuhi aturan pelaporan insiden pada musim semi 2024. Perubahan ini menempatkan program keamanan organisasi di bawah pengawasan yang lebih ketat dan menambah beban tanggung jawab yang harus dilacak oleh CISO.

Tidak mengherankan jika banyak CISO merasakan tekanan yang lebih besar dari sebelumnya.

Ini aturan dan kewajiban baru tidak serta merta menjadi penghalang bagi kerja CISO – bahkan, mereka sebenarnya dapat menjadi sumber dukungan bagi CISO. Aturan SEC seputar pengungkapan dan insiden keamanan siber secara historis agak sulit untuk dipahami. Dengan memperjelas persyaratan untuk mengungkapkan program manajemen risiko keamanan, tata kelola, dan insiden dunia maya, SEC memberikan buku panduan kepada CISO.

Selain itu, ekspektasi SEC yang meningkat terhadap manajemen risiko dan tata kelola juga mungkin terjadi memberikan CISO kedudukan yang lebih besar untuk menuntut sumber daya dan proses internal untuk memenuhi harapan tersebut. Persyaratan baru bagi perusahaan publik untuk mengungkapkan praktik manajemen risiko kepada investor menciptakan insentif tambahan untuk memperkuat pertahanan keamanan siber yang proaktif. Bahkan sebelum peraturan ini diberlakukan, peraturan baru SEC telah meningkatkan kesadaran akan praktik keamanan siber di kalangan dewan direksi perusahaan dan pimpinan perusahaan non-CISO, yang kemungkinan besar akan menghasilkan sumber daya keamanan siber yang lebih luas.

Perusahaan publik dengan program keamanan yang kuat yang mencakup identifikasi dan mitigasi kerentanan secara terus-menerus mungkin lebih menarik bagi investor dari sudut pandang manajemen risiko, kematangan keamanan, dan tata kelola perusahaan. Pada saat yang sama, perusahaan yang mengambil sikap proaktif untuk mengurangi risiko keamanan – misalnya, menerapkan dan menyediakan sumber daya yang tepat untuk praktik terbaik keamanan siber seperti yang terdapat dalam ISO 27001, 29147, dan 30111 – memiliki kemungkinan lebih kecil untuk mengalami serangan siber material yang merusak merek perusahaan. .

Lanskap peraturan baru ini memberikan peluang bagi CISO untuk mempertimbangkan prosedur pelaporan internal mereka dan memastikan prosedur tersebut berjalan sesuai standar. Jika perusahaan publik belum memiliki prosedur untuk menyampaikan masalah keamanan yang signifikan kepada manajemen eksekutif, maka proses ini harus segera ditetapkan. CISO harus membantu menyiapkan pengungkapan tentang proses manajemen risiko perusahaan, dan juga membantu memastikan hal tersebut pernyataan publik perusahaan tentang keamanan akurat, keji, dan tidak menyesatkan.

Berdasarkan peraturan SEC yang baru, perusahaan publik harus mengungkapkan dalam waktu empat hari kerja setiap insiden keamanan siber yang dianggap “penting”. Namun banyak pihak yang menangani insiden bertanya-tanya apa yang dimaksud dengan “materialitas”, terutama ketika SEC menolak untuk mengadopsi definisi “materialitas” terkait keamanan siber dalam aturan tersebut dan tetap menjaga standar tersebut tetap familiar bagi investor dan perusahaan publik. Suatu insiden dikatakan “penting” jika informasi mengenai insiden tersebut merupakan sesuatu yang dapat diandalkan oleh pemegang saham untuk membuat keputusan investasi yang tepat atau jika hal tersebut akan mengubah “keseluruhan campuran” informasi yang tersedia bagi pemegang saham secara signifikan.

Secara praktis, menentukan apa yang material dan apa yang bukan tidak selalu jelas. Meskipun seorang penanggap insiden mungkin terbiasa menilai implikasi keamanan dari suatu insiden, seperti berapa banyak catatan yang terkena dampak, berapa banyak pengguna tidak sah yang memiliki akses, atau jenis informasi apa yang berisiko, mereka mungkin kurang terbiasa memikirkan dampak yang lebih luas. implikasinya bagi perusahaan. Itulah sebabnya banyak perusahaan menerapkan protokol – seperti rujukan ke komite internal yang terdiri dari profesional keamanan, pengacara, dan anggota C-suite – untuk menilai bukan hanya risiko keamanan disebabkan oleh suatu kejadian, namun berdampak terhadap perusahaan secara keseluruhan. Tim interdisipliner lebih mungkin untuk menilai apakah insiden tersebut membuat perusahaan terkena tanggung jawab, mempengaruhi posisi keuangan perusahaan, mengganggu hubungan antara perusahaan dan pelanggannya, atau mempengaruhi operasi perusahaan karena akses yang tidak sah atau gangguan dalam layanan, semuanya yang relevan dengan penentuan materialitas.

Dengan beberapa penyesuaian yang cermat terhadap prosedur operasi standar, CISO dapat beradaptasi secara efektif terhadap iklim peraturan baru ini tanpa meningkatkan beban kerja secara drastis atau menambah tingkat stres yang sudah tinggi.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-