Cosa devono fare i CISO per soddisfare le nuove normative SEC?

Domanda: Come possono i CISO tenere il passo con i cambiamenti delle normative sulla sicurezza informatica?

Ilona Cohen, responsabile legale e politica, HackerOne: Non è mai un momento facile per ricoprire il ruolo di Chief Information Security Officer (CISO), ma gli ultimi mesi si sono rivelati particolarmente impegnativi. Ai consueti fattori di stress del lavoro, come il continuo aumento degli attacchi ransomware e la pervasività delle minacce interne, possiamo ora aggiungere un maggiore controllo dell’applicazione delle normative.

La recente accuse da parte della Security and Exchange Commission degli Stati Uniti (SEC) contro il CISO di SolarWinds è la prima volta che un CISO viene individuato in questo modo dall’agenzia. Ciò suggerisce un formato più grande tendenza ad una maggiore responsabilità per i soggetti incaricati della gestione dei programmi di sicurezza organizzativa.

Inoltre, le società quotate nelle borse statunitensi devono conformarsi alla nuova informativa sulla sicurezza informatica della SEC regole di segnalazione degli incidenti a partire da orae le aziende più piccole qualificate dovranno conformarsi alle regole di segnalazione degli incidenti nella primavera del 2024. Questi cambiamenti pongono i programmi di sicurezza organizzativa sotto un controllo ancora maggiore e si aggiungono al carico di responsabilità che i CISO devono monitorare.

Non sorprende che molti CISO si sentano più sotto pressione che mai.

Strumenti Bowman per analizzare le seguenti finiture: nuove regole e responsabilità non devono necessariamente rappresentare un ostacolo al lavoro del CISO, anzi, possono effettivamente essere una fonte di supporto per i CISO. Le regole della SEC relative alle divulgazioni e agli incidenti legati alla sicurezza informatica sono state storicamente piuttosto difficili da discernere. Chiarindo i requisiti per la divulgazione dei programmi di gestione dei rischi di sicurezza, della governance e degli incidenti informatici, la SEC fornisce ai CISO una guida.

Inoltre, le crescenti aspettative della SEC per la gestione del rischio e la governance potrebbero conferire maggiore prestigio ai CISO richiedere risorse e processi interni per soddisfare tali aspettative. I nuovi requisiti per le società quotate in borsa di divulgare le pratiche di gestione del rischio agli investitori creano ulteriori incentivi per rafforzare le difese proattive della sicurezza informatica. Ancor prima che entrassero in vigore, le nuove regole della SEC hanno aumentato la consapevolezza delle pratiche di sicurezza informatica tra i consigli di amministrazione delle aziende e la leadership aziendale non CISO, il che probabilmente si tradurrà in risorse più ampie per la sicurezza informatica.

Le società pubbliche con solidi programmi di sicurezza che includono l’identificazione e la mitigazione continua delle vulnerabilità possono essere più attraenti per gli investitori dal punto di vista della gestione del rischio, della maturità della sicurezza e della governance aziendale. Allo stesso tempo, le aziende che assumono un atteggiamento proattivo nel ridurre i rischi per la sicurezza, ad esempio implementando e fornendo risorse adeguate per le migliori pratiche di sicurezza informatica come quelle contenute negli standard ISO 27001, 29147 e 30111, hanno meno probabilità di subire attacchi informatici materiali che danneggiano il marchio dell'azienda. .

Questo nuovo panorama normativo rappresenta un’opportunità per i CISO di fare il punto sulle loro procedure di reporting interno e assicurarsi che siano all’altezza. Se le società quotate in borsa non dispongono già di procedure per sottoporre le questioni di sicurezza significative al management esecutivo, tali processi dovrebbero essere istituiti immediatamente. I CISO dovrebbero aiutare a preparare le informative sui processi di gestione del rischio aziendale e anche a garantire che ciò avvenga dichiarazioni pubbliche dell’azienda sulla sicurezza sono accurati, completi e non fuorvianti.

Secondo la nuova regola della SEC, le aziende pubbliche devono divulgare entro quattro giorni lavorativi qualsiasi incidente di sicurezza informatica ritenuto “materiale”. Ma molti addetti alla risposta agli incidenti si chiedono cosa significhi essere “materiale”, soprattutto quando la SEC ha rifiutato di adottare nella regola una definizione di “materialità” correlata alla sicurezza informatica e ha mantenuto lo standard familiare agli investitori e alle società pubbliche. Un incidente è “materiale” se le informazioni su quell’incidente sono qualcosa su cui un azionista ragionevole avrebbe fatto affidamento per prendere decisioni di investimento informate o quando avrebbero alterato in modo significativo il “mix totale” di informazioni a disposizione dell’azionista.

In pratica, determinare cosa è e cosa non è materiale non è sempre ovvio. Sebbene chi risponde agli incidenti possa essere abituato a valutare le implicazioni di sicurezza di un incidente, ad esempio quanti record sono stati colpiti, quanti utenti non autorizzati hanno avuto accesso o quale tipo di informazioni era a rischio, potrebbe essere meno abituato a pensare al quadro più ampio implicazioni per l’azienda. Ecco perché molte aziende stanno mettendo in atto dei protocolli – come il rinvio a un comitato interno composto da professionisti della sicurezza, avvocati e membri della C-suite – per valutare non solo il rischio per la sicurezza causato da un incidente, ma l’impatto sull’azienda nel suo insieme. È più probabile che un team interdisciplinare sia in grado di valutare se l'incidente espone un'azienda a responsabilità, incide sulla posizione finanziaria dell'azienda, disturba il rapporto tra l'azienda e i suoi clienti o influenza le operazioni dell'azienda a causa di un accesso non autorizzato o di un'interruzione del servizio, tutto questo. di cui sono rilevanti per la determinazione della materialità.

Con alcuni accurati adeguamenti alle procedure operative standard, i CISO possono adattarsi efficacemente a questo nuovo clima normativo senza aumentare drasticamente i carichi di lavoro o aggravare livelli già elevati di stress.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-