בעוד ארגונים ממשיכים לשקול אילו אירועי אבטחה מהווים משהו מהותי מספיק כדי לדווח במסגרת החדש חוקי SEC, CISOs עומדים בפני האתגר של להחליט אילו פרטים לדווח, ובאופן קריטי הרבה יותר, אילו מהם להשמיט.
"כלל זה [SEC] מציב את CISOs במצב מאוד עדין, והם לֹא ניתנת הרבה הדרכה או הכוונה", אומרת מריט מקסים, סמנכ"לית ומנהלת מחקר של פורסטר. "אתה יודע שנפגעת, אבל אין לך את כל העובדות ביום הראשון."
במקרה של א אירוע מהותי, ה-CISO, יחד עם מרכז התפעול האבטחה, יצטרכו להכין תזכיר עם כל פרטי האירוע ולשלוח אותו לקשרי משקיעים ולמשפטים. לאחר שהמחלקות הללו יבדקו אותו, התזכיר ישמש להכנת ההגשה לרשות ניירות ערך.
למרות שהכללים החדשים של ה-SEC נכנסים לתוקף ב-18 בדצמבר, יש כבר גילויים משלושה ארגונים ש-CISO יכולים להסתכל עליהם כדי לקבל מושג כיצד לעמוד בכללים החדשים: קיסרים, MGM, ושתיים תלונות החל מ- Clorox.
מכיוון שההגשות עוסקות באירועים שונים מאוד, הגיוני שגם המידע הכלול שונה מאוד. עם זאת, ההגשות עקביות בכך שהן מתמקדות במה שידוע ונמנעות מהספקולציות ותחזיות. המסמכים גם אינם חולקים פרטים שעשויים להשתנות.
חובות מתחרות
ישנן שלוש מטרות מתחרות ש-CISO מלהטט בו זמנית:
- דווח כמה שאתה יכול. מבחינה משפטית, המטרה היא לשתף כמה שיותר מידע עם משקיעים ומשקיעים פוטנציאליים.
- דווח כמה שפחות. מנקודת מבט של אבטחת סייבר, המטרה היא לספר לתוקפים פוטנציאליים כמה שפחות על נוף האיומים שלך וההגנות שלך, במיוחד כשההתקפה עדיין לא הוכלה במלואה.
- דווח רק על מה שאתה בטוח לגביו. רוב הפרטים הראשוניים שגויים, והדיווחים מתעדכנים שוב ושוב ככל שחולפים הימים, השבועות והחודשים. זה מעלה שאלה קוצנית: האם החברה מחויבת לחשוף מידע שהוא מחשיב - בתחילה, לפחות - בעל מהימנות נמוכה מאוד?
"דווח רק על מה שאתה יודע בוודאות של 80-90%", אומר דירק הודג'סון, CISO של NTT אוסטרליה. "כמה ימים לאחר תקרית, אתה פשוט לא הולך לדעת הרבה. סביר להניח שאתה עדיין לא קרוב לנקודה שסקרת את כל הסביבה הגלובלית שלך."
דאגלס ברוש, מאסטר מיוחד בבתי המשפט הפדרליים בארה"ב וקצין החזון הראשי של Accel Consulting, מדגיש כי הבחירה באילו פרטי אירוע אבטחה הם מהותיים יכולה להיות מאתגרת. זה דבר אחד להסיק שהאירוע מהותי, הוא אומר, אבל הבחירה באילו פרטים רלוונטיים ומשמעותיים עבור ציבור המשקיעים היא שונה לגמרי.
"לרוב הארגונים אין מושג איזו השפעה תהיה לפעולות סייבר בסופו של דבר על העסקים שלהם", אומר ברוש.
פיל נריי, סגן נשיא לאסטרטגיית הגנת סייבר עבור Gem Security, אומר שהמסמכים ה-SEC של Clorox ממחישים היטב את נקודת "הדיווח על מה אתה בטוח בו". הוא אומר שהם "הלכו על קו דק בין אמירת מה שהם יודעים לבין הערכות בסיסיות לגבי כמה זמן ייקח לשחזר את הפעילות".
יש לשמור על גילויים פשוטים ולעובדות, מסכים Rex Booth, CISO של Sailpoint. "שמור על זה ברמה סופר סיכום", הוא אומר. "דברים מוחשיים ומדידים: אילו פעולות הופסקו, אילו מערכות נפגעו. דברו על השפעה נצפית ולא על סיבתיות. ותגידו ש'נמשיך לחקור עם גורמים חיצוניים'”.
מה שאתה לא צריך להגיד
מרכיב חשוב נוסף הוא האם המידע באמת יהיה בעל ערך בר-פעולה לבעלי המניות ולמשקיעים פוטנציאליים. יש לאזן את הערך של חשיפת פגיעות ספציפית מול הפוטנציאל לספק לתוקפים מידע נוסף שהם יכולים להשתמש נגדך, מייעץ Booth.
CISOs חייבים גם להיות מודעים לאילו פרטים כבר פומביים. בתקריות הקיסר וה-MGM, למשל, היה יותר מידע זמין דרך המדיה החברתית מאשר מהמסמכים, כמו העובדה שאורחים ששהו בשני בתי הקזינו היו לא מצליחים להיכנס לחדרים שלהם. זה סוג הפרטים שאתה לא יכול לשמור בסוד, גם אם אתה רוצה.
למרות שזה הגיוני לדווח רק על דברים מאושרים, ייתכן שהעצה הזו לא בהכרח תמיד תהיה השיחה הנכונה. "מצד אחד, אתה כן צריך לעשות שיקול דעת על חומר המידע", אומר נג' אדיב, מנהל סיכון ופיננסי לסייבר וסיכונים אסטרטגיים בדלויט. "אבל המחויבות שלך היא לחשוף."
CISOs צריכים להפריד בין מה שקרה לבין מה שהארגון הולך לעשות בנידון, אומר אדיב. "אין חובה לצאת ולדון בתיקון", הוא מוסיף.
פרופיל גבוה יותר עבור הפרות
מנקודת מבט מעשית, שום דבר לא השתנה לגבי מה יש לדווח, שכן ה-SEC תמיד דרש מכל חברה ציבורית לדווח ל-SEC כל דבר מהותי. השינוי עוסק בתזמון - תוך ארבעה ימים - והדגש המושם על הגילויים. העובדה של-SEC יש כעת מסמך המוקדש רק לדיווח על תקריות אבטחת סייבר, תביא את האירועים למוקדים של כל דירקטוריון, ולכן, עם כל מנכ"ל ומנהל כספים.
"זה יוביל להרבה יותר תשומת לב פנימית. זה כבר לא קו שנקבר במאות אלפי קווים ב-10K", אומר בות.
CISOs צריכים להביא גם יועצים תאגידיים או יועצים משפטיים חיצוניים לדיונים והחלטות הגילוי, אומר Accel's Brush. פעולה זו מביאה גם ייעוץ משפטי הכרחי לדיון ו מגן על השיחות מלהיות ניתנות לגילוי משפטית עקב הרשאות עורך דין-לקוח.
"כל התקשורת של ה-CISO עם צוות האבטחה הפנימי ניתנת לגילוי", אומר ברוש. עם עורך דין נוכח ובכך מוגן, הוא מוסיף, "בזמן שאתה מכין את ההצהרה הסופית שלך, אתה יכול לנהל דיונים פתוחים וכנים".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/edge/what-cisos-should-exclude-from-sec-cybersecurity-filings
- :יש ל
- :הוא
- :לֹא
- 10K
- 7
- a
- אודות
- בנוגע לזה
- פעולה
- מוסיף
- עצה
- יועצים
- נגד
- תעשיות
- לאורך
- כְּבָר
- גם
- תמיד
- an
- ו
- כל
- דבר
- ARE
- AS
- At
- לתקוף
- תשומת לב
- אוסטרליה
- זמין
- לְהִמָנַע
- מודע
- בסיסי
- BE
- היה
- להיות
- בֵּין
- לוּחַ
- דירקטוריון
- שניהם
- להביא
- מביא
- עסקים
- אבל
- by
- קיסרים
- שיחה
- CAN
- מקרה
- קזינו
- מרכז
- מנכ"ל
- ודאות
- מנהל כספים ראשי
- לאתגר
- אתגר
- שינוי
- השתנה
- רֹאשׁ
- בחירה
- CISO
- סְגוֹר
- עמלה
- תקשורת
- חברה
- מתחרה
- להיענות
- התפשר
- מסכם
- בטוח
- מְאוּשָׁר
- לשקול
- עִקבִי
- להוות
- ייעוץ
- הכלול
- להמשיך
- שיחות
- משותף
- עֵצָה
- בתי משפט
- סייבר
- אבטחת סייבר
- יְוֹם
- ימים
- עסקה
- מחליטים
- החלטות
- מוקדש
- גופי בטחון
- דלויט
- מחלקות
- פרט
- פרטים
- אחר
- כיוון
- מְנַהֵל
- דירקטורים
- לחשוף
- חשיפה
- לדון
- דיון
- דיונים
- do
- מסמך
- דון
- ראוי
- השפעה
- אלמנט
- דגש
- מספיק
- מִפְעָל
- חברות
- שלם
- ישויות
- סביבה
- במיוחד
- הערכות
- אֲפִילוּ
- בסופו של דבר
- כל
- דוגמה
- חליפין
- פָּנִים
- עובדה
- עובדות
- רחוק
- פדרלי
- מעטים
- תיוק
- תלונות
- סופי
- כספי
- סוף
- להתמקד
- בעד
- פורסטר
- ארבע
- כן
- החל מ-
- לגמרי
- פנינה
- לקבל
- נתן
- גלוֹבָּלִי
- Go
- מטרה
- הולך
- גדול
- אורחים
- הדרכה
- יד
- קרה
- יש
- יש
- he
- הוחזק
- איך
- איך
- אולם
- HTTPS
- מאות
- רעיון
- if
- להמחיש
- פְּגִיעָה
- חשוב
- in
- תקרית
- מידע
- בתחילה
- בהתחלה
- בתוך
- פנימי
- נקטע
- אל תוך
- לחקור
- השקעה
- משקיע
- משקיעים
- IT
- jpg
- רק
- שמור
- שמר
- סוג
- לדעת
- ידוע
- נוף
- עורך דין
- עוֹפֶרֶת
- הכי פחות
- משפטי
- יועצים משפטיים
- באופן חוקי
- רמה
- סביר
- קו
- קווים
- קְצָת
- ארוך
- עוד
- נראה
- מגרש
- נמוך
- לעשות
- עושה
- עשייה
- אב
- חוֹמֶר
- אמרה
- מאי..
- משמעותי
- מדיה
- תזכיר
- חודשים
- יותר
- רוב
- הרבה
- צריך
- בהכרח
- הכרחי
- צרכי
- חדש
- לא
- שום דבר
- עַכשָׁיו
- NTT
- יעדים
- חובה
- of
- קָצִין
- on
- פעם
- ONE
- יחידות
- רק
- לפתוח
- תפעול
- or
- ארגון
- הַחוּצָה
- בחוץ
- פרספקטיבה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- עמדה
- אפשרי
- פוטנציאל
- פוטנציאל
- מעשי
- התחזיות
- להכין
- העריכה
- להציג
- נשיא
- מנהל
- זְכוּת
- פּרוֹפִיל
- כמו שצריך
- מוּגָן
- מתן
- ציבורי
- בפומבי
- מכניס
- שאלה
- דַי
- מעלה
- בדבר
- יחסים
- רלוונטי
- אמינות
- שוב ושוב
- לדווח
- דווח
- דווח
- דוחות לדוגמא
- נדרש
- דרישה
- מחקר
- לשחזר
- חושף
- סקר
- תקין
- הסיכון
- כלל
- כללי
- s
- לומר
- אמר
- אומר
- ה-SEC
- סוד
- ניירות ערך
- לניירות הערך
- אבטחה
- בחירה
- לשלוח
- תחושה
- נפרד
- שיתוף
- בעלי המניות
- צריך
- פָּשׁוּט
- בפשטות
- בו זמנית
- חֶברָתִי
- מדיה חברתית
- משהו
- מיוחד
- ספציפי
- פירוט
- הצהרה
- להישאר
- עוד
- אסטרטגי
- אִסטרָטֶגִיָה
- כזה
- סיכום
- סוּפֶּר
- נסקרו
- מערכות
- לקחת
- לדבר
- מוחשי
- נבחרת
- לספר
- מֵאֲשֶׁר
- זֶה
- השמיים
- המידע
- שֶׁלָהֶם
- שם.
- לכן
- הֵם
- דבר
- דברים
- זֶה
- אלה
- אלפים
- איום
- שְׁלוֹשָׁה
- כָּך
- תזמון
- ל
- באמת
- שתיים
- תחת
- מְעוּדכָּן
- us
- ארה"ב פדרלי
- להשתמש
- מְשׁוּמָשׁ
- ערך
- Ve
- מאוד
- באמצעות
- סְגָן
- סגן הנשיא
- חזון
- vp
- פגיעות
- הלך
- רוצה
- היה
- we
- שבועות
- לשקול
- טוֹב
- היו
- מה
- מה
- מתי
- אם
- אשר
- יצטרך
- עם
- היה
- טעות
- עוד
- אתה
- זפירנט