Come affrontare la vaghezza nei nuovi regolamenti informatici

Quest'anno gli organismi di regolamentazione a tutti i livelli di governo hanno imposto requisiti più rigidi in materia di privacy e divulgazione - e sanzioni corrispondenti - realizzati con un linguaggio ambiguo e linee guida deboli, lasciando i team di sicurezza informatica profondamente responsabili e senza un percorso chiaro verso la conformità.

Rilasciato di recente Linee guida della Security and Exchange Commission (SEC). sulla divulgazione degli incidenti informatici sono un esempio del tipo di confusione che un linguaggio normativo vago può causare. L'esperto di sicurezza informatica Adam Shostack sottolinea a Dark Reading di aver osservato che le regole sono state ampiamente interpretate in modo errato.

"Penso che il requisito di trasparenza sia generalmente buono, ed è importante notare che avviene entro quattro giorni dalla determinazione della violazione sostanziale, non entro quattro giorni dalla scoperta di una violazione", osserva Shostack. “A molte persone manca questa importante distinzione.”

Shostack, insieme a un gruppo di esperti tra cui Mike Hintze, Daniel P. Cooper e Leslie R. Katz, offriranno consigli su come affrontare una serie di nuove normative informatiche presso Black Hat USA durante la loro presentazione, "Argomenti caldi nella regolamentazione su cyber e privacy. "

Linguaggio vago, maggiore applicazione

Alcuni dei linguaggio vago della regolamentazione informatica è necessario, sottolinea Shostack.

"Inoltre, siamo sinceri. Il motivo per cui questi standard sono vaghi è spesso perché l’industria richiede flessibilità”, aggiunge. “Se abbiamo problemi perché gli standard sono troppo indefiniti, dovremmo comunicarlo ai nostri gruppi industriali e ai lobbisti”.

Katz, avvocato ed ex dirigente tecnologico, concorda sul fatto che spetta alla comunità della sicurezza informatica contribuire a educare e dare forma alle discussioni normative. Senza una guida tecnica, gli organismi di regolamentazione come la SEC hanno poca influenza oltre alla punizione, aggiunge.

Katz afferma che la mancanza di competenze in materia di sicurezza informatica sta alimentando la crisi L'esame da parte della SEC di un'azione legale contro i dirigenti di SolarWinds per la violazione della società nel 2020.

"Questo sembra essere un altro tentativo da parte della SEC di regolamentare attraverso l'applicazione. Piuttosto che fornire linee guida più chiare, stanno inviando un messaggio attraverso tale azione”, dice Katz a Dark Reading. “Un avvertimento per tutti che saranno necessarie una vigilanza ancora maggiore e risposte rapide”.

Il panel fornirà indicazioni su argomenti che spaziano dalla legge sulla privacy degli Stati Uniti all'Unione Europea normative sull’IA, le Quadro UE-USA sulla protezione dei datie come i professionisti della sicurezza possono impegnarsi al meglio nel processo di conformità e regolamentazione.

La continua incertezza normativa richiede una collaborazione sempre più stretta con esperti legali e di conformità sia durante la preparazione, sia durante la risposta effettiva a un incidente informatico, afferma Shostack. Aggiunge che il posto migliore da cui iniziare è il cyber team standard tecnici del National Institute of Standards and Technology, del Cybersecurity Framework o del Struttura di sviluppo software sicura.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations