La proposta di normativa sulla sicurezza informatica della SEC metterà a dura prova i CISO

Nel marzo 2022, la Securities and Exchange Commission (SEC) ha proposto una regola sulla divulgazione, governance e gestione del rischio della sicurezza informatica per le società pubbliche, noto come Proposta di norma per le società pubbliche (PRPC). Questa regola richiederebbe alle aziende di segnalare incidenti “materiali” di sicurezza informatica entro quattro giorni. Richiederebbe inoltre che i consigli di amministrazione abbiano competenze in materia di sicurezza informatica.

Non sorprende che lo sia incontrando ogni sorta di respingimento. Nella sua forma attuale, la norma proposta lascia molto spazio all'interpretazione ed è poco pratica in alcune aree.

Innanzitutto, la stretta finestra di divulgazione eserciterà enormi pressioni sui Chief Information Security Officer (CISO) affinché rivelino gli incidenti materiali prima di avere tutti i dettagli. Gli incidenti possono richiedere settimane e talvolta mesi per essere compresi e risolti completamente. È impossibile conoscere l’impatto di una nuova vulnerabilità finché non vengono dedicate ampie risorse alla risoluzione. I CISO potrebbero anche trovarsi a dover rivelare vulnerabilità che, con il tempo, finiscono per diventare meno problematiche e quindi non sostanziali. Ciò potrebbe a sua volta influenzare il prezzo a breve termine di un’azienda.

Gli incidenti sono una cosa viva, non un affare una tantum

I requisiti di divulgazione di quattro giorni potrebbero sembrare validi a prima vista. Ma non sono realistici e alla fine distrarranno i CISO dallo spegnere gli incendi.

Utilizzerò il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea come confronto. Secondo il regolamento, le aziende devono segnalare casi di non conformità entro 72 ore. Tuttavia, nel caso del GDPR, la necessità di segnalare è ben definita. Anche se 72 ore sono spesso troppo presto per conoscere i dettagli dell'impatto complessivo di un incidente, le organizzazioni almeno sapranno se le informazioni personali sono state compromesse.

Confrontatelo con i requisiti di divulgazione proposti dal PRPC. Le organizzazioni avranno 24 ore in più, ma, in base a quanto pubblicizzato finora, devono qualificarsi internamente se la violazione è materiale. Secondo il GDPR, un’azienda può farlo in base alla sensibilità dei dati, al loro volume e alla loro destinazione. Secondo PRPC, la “rilevanza” è definita dalla SEC come tutto ciò che un “azionista ragionevole considererebbe importante”. Potrebbe trattarsi praticamente di qualsiasi cosa gli azionisti considerino materiale per la loro attività. È piuttosto ampio e non chiaramente definito.

Altre definizioni deboli

Un altro problema è l’obbligo della proposta di rivelare le circostanze in cui un incidente di sicurezza non era rilevante di per sé ma lo è diventato “nel complesso”. Come funziona in pratica? Una vulnerabilità senza patch di sei mesi fa ora rientra nell'ambito di divulgazione (dato che l'azienda non l'ha corretta) se viene utilizzata per estendere l'ambito di un incidente successivo? Confondiamo già minacce, vulnerabilità e impatto aziendale. Una vulnerabilità che non viene sfruttata non è materiale perché non crea un impatto aziendale. Cosa dovrai rivelare quando occorre segnalare incidenti complessivi e la clausola di aggregazione rende questo aspetto ancora più difficile da discernere?

Per rendere tutto più complicato, la norma proposta richiederà alle organizzazioni di divulgare eventuali modifiche alle politiche derivanti da incidenti precedenti. Quanto rigorosamente verrà misurato e, onestamente, perché farlo? Le policy dovrebbero essere dichiarazioni di intenti e non guide di configurazione forense di basso livello. È logico aggiornare un documento di livello inferiore (uno standard) per imporre uno specifico algoritmo di crittografia per i dati sensibili, ma sono pochi i documenti di livello superiore che verrebbero aggiornati a causa di un incidente. Gli esempi potrebbero richiedere l'autenticazione a più fattori o modificare l'accordo sul livello di servizio (SLA) per le vulnerabilità critiche nell'ambito.

Infine, la proposta afferma che le relazioni trimestrali sugli utili saranno il forum per le informazioni. Personalmente, le chiamate sugli utili trimestrali non sembrano il forum giusto per approfondire gli aggiornamenti delle politiche e gli incidenti di sicurezza. Chi darà gli aggiornamenti? Il CFO o il CEO, che in genere fornisce rapporti sugli utili, potrebbe non essere sufficientemente informato per fornire tali rapporti critici. Quindi, il CISO ora partecipa alle chiamate? E se sì, risponderanno anche alle domande degli analisti finanziari? Sembra tutto impraticabile, ma dovremo aspettare e vedere.

Domande sull'esperienza nel consiglio di amministrazione

La prima iterazione del PRPC richiedeva informazioni sulla supervisione del consiglio di amministrazione delle politiche di gestione del rischio di sicurezza informatica. Ciò includeva informazioni sui singoli membri del consiglio e sulle rispettive competenze informatiche. La SEC afferma di aver mantenuto intenzionalmente la definizione ampia, data la gamma di competenze ed esperienze peculiari di ciascun consiglio.

Fortunatamente, dopo un attento esame, hanno deciso di rimuovere questo requisito. Il PRPC richiede ancora alle aziende di descrivere il processo del consiglio di amministrazione per la supervisione dei rischi di sicurezza informatica e il ruolo del management nella gestione di tali rischi.

Ciò richiederà alcuni aggiustamenti nella comunicazione e nella consapevolezza generale. Recentemente, la dottoressa Keri Pearlson, direttore esecutivo della sicurezza informatica presso il MIT Sloan, e Lucia Milică, CISO presso Stanley Black & Decker, hanno intervistato 600 membri del consiglio sulle attività legate alla sicurezza informatica. Hanno scoperto che “meno della metà (47%) dei membri presta servizio in consigli di amministrazione che interagiscono regolarmente con i propri CISO, e quasi un terzo di loro vede i propri CISO solo durante le presentazioni del consiglio”. Ciò indica chiaramente una lacuna nella comunicazione.

La buona notizia è che la maggior parte dei consigli di amministrazione dispone già di un comitato di controllo e di rischio, che può fungere da sottoinsieme del consiglio a questo scopo. Detto questo, non è raro che CISO e CSO presentino questioni riguardanti la sicurezza informatica che il resto del consiglio non comprende appieno. Per colmare questo divario, è necessario un maggiore allineamento tra il consiglio di amministrazione e i dirigenti della sicurezza.

Prevale l’incertezza

Come con ogni nuovo regolamento, ci sono domande e incertezze con PRPC. Non ci resta che aspettare e vedere come si evolverà la situazione e se le aziende riusciranno a soddisfare i requisiti proposti.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos