Le aziende e i loro CISO potrebbero dover affrontare multe e altre sanzioni da centinaia di migliaia a milioni di dollari da parte della Securities and Exchange Commission (SEC) degli Stati Uniti, se non si adeguano ai processi di sicurezza informatica e di divulgazione delle violazioni dei dati. con il nuove regole che sono entrate in vigore.
Per coloro che potrebbero trovarsi dalla parte sbagliata di un'indagine, è importante sapere che esiste una varietà di strumenti a disposizione della SEC da utilizzare per l'applicazione delle norme. Queste vanno da un'ingiunzione permanente che ordina all'imputato di cessare la condotta al centro del caso, alla restituzione dei guadagni illeciti, a tre livelli di sanzioni crescenti che possono comportare multe astronomiche.
Inoltre, la SEC potrebbe escludere un individuo da determinati ruoli, come un posto nel consiglio di amministrazione di altre società, mentre tali casi potrebbero anche comportare crescenti spese legali, danni alla reputazione dell’azienda e dei dirigenti e danni monetari derivanti da azioni legali degli azionisti.
Le regole sulla violazione della SEC hanno i denti
Non sono ancora in corso azioni coercitive, ma per molti versi l'obbligo imposto alle aziende rivelare eventuali incidenti “materiali” di sicurezza informatica si inserisce nel quadro esistente di indagini e sanzioni della SEC. Tutto sommato, le aziende dovrebbero essere pronte affinché la SEC indaghi.
Ciò significa conferire ai propri CISO la capacità di rispettare le regole, afferma Jena Valdetero, azionista e copresidente della US Data Privacy and Cybersecurity Practice presso lo studio legale Greenberg Traurig, LLP.
"La SEC ha chiarito molto chiaramente che questa è una priorità di applicazione, quindi non c'è davvero alcun conflitto con il municipio su questo punto", afferma, aggiungendo: "Penso che i CISO abbiano ragione a essere molto preoccupati, perché la SEC ha chiaramente ha detto: "Ci occuperemo del CISO" [perché è lui] la persona più adatta per sapere quali misure di conformità in materia di sicurezza informatica sono in atto e quali rischi stanno affrontando."
Quel "dollaro" potrebbe essere più simile a un bel po' di dollari. La SEC prevede tradizionalmente quattro tipi principali di sanzioni, che possono tutte essere applicate al mondo informatico. La prima è un'ingiunzione permanente, che impedisce ad un'impresa e ad un privato di proseguire un determinato tipo di attività. In secondo luogo, la restituzione di guadagni illeciti comporta sanzioni pari all’importo del profitto presumibilmente realizzato attraverso frode o mancata divulgazione. In terzo luogo, secondo Steve Malina, azionista di Greenberg Traurig ed ex avvocato senior del dipartimento di controllo della SEC, possono chiedere un ordine che impedisca a un individuo di ricoprire l'incarico di funzionario o direttore.
Tuttavia, queste tre forme di sgravio sono piuttosto piccole rispetto alle potenziali sanzioni pecuniarie, dice. Le sanzioni partono da 5,000 dollari per violazione per qualsiasi violazione delle regole della SEC e salgono rapidamente a 100,000 dollari per violazione – o 50,000 e 500,000 dollari per le organizzazioni – a seconda che sia stata coinvolta una frode e che gli investitori siano stati danneggiati. La SEC può anche “crollare ogni volta che ritiene che tu abbia violato la legge e definirla una violazione indipendente”, afferma.
“L'ingiunzione permanente – mettendo da parte il danno alla reputazione – non ha molta forza; è solo l'ordine di non violare nuovamente la legge”, dice Malina. “Ma la sboccatura, le Sanzioni Monetarie Civili, hanno effetti veri e possono davvero danneggiare il futuro di qualcuno nel business”.
Tali sanzioni non includono danni alla reputazione, azioni legali degli azionisti e il costo della difesa da qualsiasi indagine o causa, afferma.
Paura e delirio nella C-Suite
Oltre alle tradizionali penalità di applicazione delle norme, ci sono altri costi da sostenere per le azioni di applicazione della SEC.
Le azioni di applicazione della SEC contro SolarWinds e il suo CISO Timothy Brown hanno colto di sorpresa i dirigenti, forse più delle stesse normative SEC. Sia l'agenzia vince la sua causa, or SolarWinds e Brown si difendono con successo, il costo del contenzioso e il suo effetto sulla reputazione della società evidenziano il danno che qualsiasi azione coercitiva della SEC può causare.
Forse la cosa più preoccupante per i CISO è il responsabilità personale si trovano ad affrontare molte aree delle operazioni aziendali per le quali storicamente non hanno avuto responsabilità. Solo la metà dei CISO (54%) è fiduciosa nella propria capacità di rispettare la sentenza della SEC due terzi dei CISO (68%) si sentono sopraffatti nell'affrontare le nuove regole, secondo un sondaggio condotto da AuditBoard su 300 dirigenti, una piattaforma di rischio e conformità basata sul cloud.
"C'è sempre stata una responsabilità all'interno dei vertici aziendali, ma ora i CISO hanno un livello di responsabilità personale mai avuto prima", afferma Richard Marcus, vicepresidente della sicurezza informatica dell'azienda. "Se non disponi di un processo preciso per gestire la situazione, e prendi la decisione sbagliata e non hai comunicato quando avresti dovuto, puoi essere ritenuto personalmente responsabile: molti CISO con cui parliamo lo sono preoccupato per questo."
Tutto ciò sta portando a ampio ripensamento del ruolo del CISO, afferma Ken Fishkin, senior manager della sicurezza informatica – essenzialmente il CISO ad interim – per lo studio legale Lowenstein Sandler LLP.
"Molte persone sono molto nervose all'idea di trovarsi in una posizione come la mia adesso a causa di questa responsabilità", dice. “È una questione aziendale, sicuramente non solo una questione CISO. Tutti saranno molto cauti nel controllare le dichiarazioni: perché dovrei dirlo? – senza che i legali gli abbiano dato la loro benedizione… perché sono così preoccupati di essere accusati di aver rilasciato una dichiarazione”.
Le preoccupazioni si sommeranno a costi aggiuntivi per le imprese. A causa della responsabilità aggiuntiva, le aziende dovranno avere misure più complete Assicurazione di responsabilità civile per amministratori e funzionari (D&O). che non copre solo le spese legali affinché un CISO possa difendersi, ma anche le sue spese durante un'indagine.
Le aziende che non pagheranno per supportare e proteggere il proprio CISO potrebbero trovarsi nell'impossibilità di assumere per la posizione, mentre, al contrario, i CISO potrebbero avere difficoltà a trovare aziende di supporto, afferma Josh Salmanson, vicepresidente senior delle soluzioni tecnologiche presso Telos Corp., un rischio informatico società di gestione.
"Vedremo meno persone che vogliono diventare CISO, o persone che chiedono salari molto più alti perché pensano che potrebbe trattarsi di un ruolo a brevissimo termine finché non verranno 'beccati' pubblicamente", dice. “Il numero di persone che avranno un ambiente davvero ideale con il supporto dell’azienda e i finanziamenti di cui avranno bisogno rimarrà probabilmente piccolo”.
Politiche stabilite, buona fede, conservazione degli appunti
Eppure, c’è un lato positivo. La norma sulla divulgazione delle violazioni della SEC ha messo in guardia le aziende affinché debbano prestare attenzione alla sicurezza e disporre di un processo in atto, comprese le prove derivanti dalle discussioni sulla rilevanza di un incidente di sicurezza per gli investitori, ma ciò probabilmente porterà a organizzazioni più attente alla sicurezza, afferma Kathleen McGee, partner di Lowenstein Sandler LLP.
"Assicuratevi di avere una politica in atto prima che si verifichi l'incidente, di sapere chi sono le parti interessate, chi prenderà tali decisioni e di documentare il processo, in modo che se la SEC dovesse chiamare e volesse capire cosa sta succedendo." Il pensiero era che avevi una buona spiegazione a portata di mano", afferma.
Le aziende e i CISO che hanno una politica e la seguono probabilmente non dovranno preoccuparsi tanto delle azioni di attuazione, anche se prove successive potrebbero dimostrare che la decisione iniziale era sbagliata, dice.
“Se [le aziende e i loro CISO] stabiliscono, inizialmente, che un incidente non è materiale, e poi [loro] si imbattono in nuove informazioni che mi portano a credere che fosse materiale”, avranno tempo – anche se quattro giorni – per correggere il record, dice McGee.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyber-risk/orgs-face-major-sec-penalties-failing-disclose-breaches
- :ha
- :È
- :non
- $ SU
- 000
- 300
- 7
- a
- capacità
- Chi siamo
- Secondo
- operanti in
- recitazione
- Action
- azioni
- attività
- aggiungere
- l'aggiunta di
- aggiunta
- aggiuntivo
- ancora
- contro
- agenzia
- avanti
- Tutti
- anche
- sempre
- quantità
- an
- ed
- in qualsiasi
- ovunque
- SONO
- aree
- AS
- a parte
- At
- attenzione
- rappresentante legale
- precedente
- bar
- bar
- BE
- Orso
- perché
- stato
- prima
- essendo
- CREDIAMO
- MIGLIORE
- benedizione
- tavola
- Branch di società
- violazione
- violazioni
- Rompere
- portato
- pelle
- affari
- aziende
- ma
- by
- C-suite
- chiamata
- chiamata
- Materiale
- Custodie
- casi
- catturati
- cessate
- certo
- oneri
- CISO
- Città
- civile
- pulire campo
- chiaramente
- Co-Chair
- Venire
- viene
- commissione
- Aziende
- azienda
- rispetto
- conformità
- misure di conformità
- ottemperare
- globale
- interessato
- Segui il codice di Condotta
- condotto
- fiducioso
- continua
- al contrario
- Corp
- correggere
- Costo
- Costi
- potuto
- Copertine
- Cyber
- Cybersecurity
- danno
- dati
- privacy dei dati
- Giorni
- trattare
- decisione
- Difendere
- decisamente
- esigente
- Dipendente
- determinazione
- Direttore
- Rilevare
- Rivelazione
- discussioni
- smaltimento
- do
- doesn
- dollari
- don
- giù
- durante
- effetto
- che abilita
- fine
- applicazione
- Ambiente
- pari
- escalation
- essenzialmente
- sviluppate
- Anche
- Ogni
- tutti
- prova
- exchange
- dirigenti
- esistente
- spese
- spiegazione
- Faccia
- di fronte
- fallito
- in mancanza di
- fede
- paura
- sentire
- Costi
- lotta
- Trovare
- ricerca
- fine
- Impresa
- Nome
- si adatta
- seguire
- Nel
- Ex
- forme
- quattro
- Contesto
- frode
- da
- finanziamento
- futuro
- Guadagni
- ottenere
- Dare
- andando
- andato
- buono
- greenberg
- Guardia
- ha avuto
- Metà
- sala
- maniglia
- nuocere
- Avere
- avendo
- he
- Cuore
- Eroe
- superiore
- evidenzia
- assumere
- storicamente
- HTTPS
- centinaia
- i
- ideale
- if
- importante
- in
- incidente
- includere
- Compreso
- studente indipendente
- individuale
- individui
- informazioni
- informazioni di sicurezza
- inizialmente
- inizialmente
- ai miglioramenti
- indagare
- indagine
- Investitori
- coinvolto
- problema
- IT
- SUO
- jpg
- ad appena
- mantenere
- Sapere
- dopo
- Legge
- studio legale
- querela
- cause
- portare
- principale
- Leads
- Legale
- meno
- Livello
- responsabilità
- piace
- probabile
- fodera
- Contenzioso
- LLP
- lotto
- fatto
- Principale
- maggiore
- make
- Fare
- gestione
- direttore
- molti
- Marcus
- materiale
- Maggio..
- me
- si intende
- analisi
- Soddisfare
- milioni
- Monetario
- Scopri di più
- maggior parte
- molti
- devono obbligatoriamente:
- Bisogno
- mai
- New
- no
- Note
- Avviso..
- adesso
- numero
- of
- MENO
- Responsabile
- ufficiali
- on
- ONE
- esclusivamente
- Operazioni
- or
- minimo
- organizzazioni
- Altro
- partner
- Paga le
- pagamento
- sanzioni
- Persone
- per
- Forse
- permanente
- persona
- cronologia
- Personalmente
- posto
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Termini e Condizioni
- politica
- posizione
- potenziale
- pratica
- Presidente
- impedisce
- priorità
- Privacy
- processi
- i processi
- Profitto
- protegge
- pubblicamente
- metti
- Mettendo
- rapidamente
- piuttosto
- RE
- pronto
- di rose
- veramente
- record
- normativa
- sollievo
- rimanere
- reputazione
- requisito
- responsabilità
- colpevole
- Risultati
- Richard
- destra
- Rischio
- gestione del rischio
- rischi
- Ruolo
- ruoli
- Regola
- norme
- sentenza
- Correre
- s
- Suddetto
- stipendi
- dire
- dice
- SEC
- sec azione esecutiva
- Azioni esecutive della SEC
- Secondo
- Valori
- Securities and Exchange Commission
- problemi di
- vedere
- Cercare
- anziano
- servizio
- azionista
- lei
- a breve scadenza
- dovrebbero
- mostrare attraverso le sue creazioni
- Argento
- singolo
- piccole
- So
- SolarWinds
- Soluzioni
- Qualcuno
- specifico
- Sponsored
- stakeholder
- inizia a
- dichiarazione
- dichiarazioni
- Steve
- Fermare
- Con successo
- tale
- supporto
- di supporto
- sicuro
- Indagine
- Parlare
- Tecnologia
- di
- che
- I
- la legge
- La US Securities and Exchange Commission
- loro
- Li
- si
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- think
- Terza
- questo
- quelli
- pensiero
- migliaia
- tre
- Attraverso
- tempo
- a
- tonnellata
- strumenti
- tradizionale
- tradizionalmente
- guaio
- Digitare
- Tipi di
- incapace
- capire
- In corso
- fino a quando
- us
- US Securities and Exchange Commission
- uso
- varietà
- molto
- vice
- Vicepresidente
- violato
- VIOLAZIONE
- volendo
- vuole
- Prima
- modi
- we
- sono stati
- Che
- quando
- se
- quale
- while
- OMS
- perché
- volere
- con
- senza
- preoccupato
- preoccuparsi
- Wrong
- ancora
- Tu
- zefiro
