שאלה: איך CISOs יכולים להתעדכן בשינוי תקנות אבטחת סייבר?
אילונה כהן, קצינת משפט ומדיניות ראשית, HackerOne: זה אף פעם לא זמן קל להיות קצין אבטחת מידע ראשי (CISO), אבל החודשים האחרונים הרגישו מאתגרים במיוחד. לגורמי הלחץ הרגילים של העבודה - כמו העלייה המתמשכת במתקפות כופר וההתפשטות של איומים פנימיים - אנחנו יכולים כעת להוסיף בדיקה מוגברת של אכיפה רגולטורית.
האחרון חיובים מרשות הביטחון וההחלפות האמריקאית (SEC) נגד CISO של SolarWinds זו הפעם הראשונה ש-CISO נבחר בדרך זו על ידי הסוכנות. זה מרמז על גדול יותר מגמה של אחריות מוגברת עבור אנשים האחראים על ניהול תוכניות אבטחה ארגוניות.
בנוסף, חברות הנסחרות בבורסות בארה"ב חייבות לציית לחשוף אבטחת הסייבר החדש של ה-SEC. כללי דיווח על אירועים החל מעכשיו, וחברות קטנות יותר מתאימות חייבות לציית לכללי דיווח התקריות באביב 2024. שינויים אלה מעמידים את תוכניות האבטחה הארגוניות תחת ביקורת רבה עוד יותר ומוסיפים לעומס האחריות ש-CISO חייבים לעקוב.
אין זה מפתיע שארגוני CISO רבים חשים יותר לחץ מאי פעם.
אלה כללים והתחייבויות חדשים לא בהכרח צריכים להוות מכשול לעבודה של CISO - למעשה, הם יכולים למעשה להוות מקור לתמיכה עבור CISOs. חוקי ה-SEC סביב גילויים ותקריות אבטחת סייבר היו קשים להבחין באופן היסטורי. על ידי הבהרת הדרישות לחשיפת תוכניות לניהול סיכוני אבטחה, ממשל ואירועי סייבר, ה-SEC מספקת ל-CISO ספר הדרכה.
בנוסף, הציפיות המוגברות של ה-SEC לניהול סיכונים וממשל עשויות לתת ל-CISO מעמד גבוה יותר לדרוש משאבים ותהליכים פנימיים כדי לעמוד בציפיות הללו. דרישות חדשות לחברות הנסחרות בבורסה לחשוף בפני משקיעים נוהלי ניהול סיכונים יוצרות תמריצים נוספים לחיזוק הגנות אבטחת סייבר פרואקטיביות. עוד לפני שהם נכנסו לתוקף, הכללים החדשים של ה-SEC הגבירו את המודעות לנוהלי אבטחת סייבר בקרב מועצות המנהלים של חברות והנהגת חברות שאינן CISO, מה שככל הנראה יתורגם למשאבי אבטחת סייבר נרחב יותר.
חברות ציבוריות עם תוכניות אבטחה חזקות הכוללות זיהוי והפחתה מתמשך של פגיעויות עשויות להיות אטרקטיביות יותר למשקיעים מנקודות מבט של ניהול סיכונים, בשלות אבטחה וממשל תאגידי. יחד עם זאת, חברות הנוקטות עמדה יזומה להפחתת סיכוני האבטחה - למשל, יישום ונהלים נאותים של אבטחת סייבר כמו אלו הכלולות ב-ISO 27001, 29147 ו-30111 - נוטות פחות לסבול מהתקפות סייבר מהותיות הפוגעות במותג החברה. .
הנוף הרגולטורי החדש הזה מייצג הזדמנות עבור CISOs לעשות חשבון נפש של נהלי הדיווח הפנימיים שלהם ולוודא שהם עומדים בקנה אחד. אם לחברות הנסחרות בבורסה אין כבר נהלים להסלים בעיות אבטחה משמעותיות להנהלה, יש לקבוע תהליכים אלה באופן מיידי. CISOs צריכים לעזור להכין גילויים על תהליכי ניהול סיכונים בחברה, וגם לעזור להבטיח את הצהרות פומביות של החברה על אבטחה מדויקים, מלאים ואינם מטעים.
על פי הכלל החדש של SEC, חברות ציבוריות חייבות לחשוף בתוך ארבעה ימי עסקים כל אירוע אבטחת סייבר הנחשב "מהותי". אבל מגיבים רבים לאירועים תוהים מה זה אומר להיות "חומרי", במיוחד כאשר ה-SEC סירבה לאמץ הגדרה הקשורה לאבטחת סייבר של "מהותיות" בכלל ושמרה על התקן המוכר למשקיעים ולחברות ציבוריות. אירוע הוא "מהותי" אם מידע על אותו אירוע הוא משהו שבעל מניות סביר היה מסתמך עליו כדי לקבל החלטות השקעה מושכלות או כאשר זה היה משנה באופן משמעותי את "התמהיל הכולל" של המידע הזמין לבעל המניות.
באופן מעשי, לקבוע מה מהותי ומה לא לא תמיד ברור מאליו. בעוד שמגיב לאירועים עשוי לשמש להערכת השלכות האבטחה של אירוע, כגון כמה רשומות הושפעו, לכמה משתמשים לא מורשים הייתה גישה, או איזה סוג של מידע היה בסיכון, הם עשויים להיות פחות רגילים לחשוב על הנושא הרחב יותר. השלכות על החברה. זו הסיבה שחברות רבות מציבות פרוטוקולים - כגון הפניה לוועדה פנימית המורכבת מאנשי מקצוע בתחום האבטחה, עורכי דין וחברי C-suite - כדי להעריך לא רק את הסיכון הביטחוני נגרם כתוצאה מתקרית, אך ההשפעה על החברה באופן כללי. סביר יותר שצוות בינתחומי יוכל להעריך האם האירוע חושף חברה לאחריות, משפיע על מצבה הפיננסי של החברה, מפריע ליחסים בין החברה ללקוחותיה, או משפיע על פעילות החברה עקב גישה לא מורשית או הפרעה בשירות, הכל. מהם רלוונטיים לקביעת המהותיות.
עם כמה התאמות מצפוניות לנוהלי התפעול הסטנדרטיים, CISOs יכולים להסתגל ביעילות לאקלים הרגולטורי החדש הזה מבלי להגדיל באופן דרסטי את עומסי העבודה או להחמיר רמות גבוהות כבר של לחץ.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 2024
- 27001
- 7
- a
- יכול
- אודות
- גישה
- מדויק
- למעשה
- להסתגל
- להוסיף
- תוספת
- נוסף
- התאמות
- לְאַמֵץ
- נגד
- סוכנות
- תעשיות
- כְּבָר
- גם
- שיניתי
- תמיד
- בין
- an
- ו
- כל
- כראוי
- ARE
- סביב
- AS
- לְהַעֲרִיך
- הערכה
- At
- המתקפות
- מושך
- זמין
- מודעות
- BE
- היה
- לפני
- הטוב ביותר
- שיטות עבודה מומלצות
- בֵּין
- מותג
- רחב
- עסקים
- אבל
- by
- סוויטת C
- CAN
- גרם
- אתגר
- שינויים
- משתנה
- תשלום
- רֹאשׁ
- קצין אבטחת מידע ראשי
- CISO
- אַקלִים
- כהן
- הוועדה
- חברות
- חברה
- להיענות
- הכלול
- ברציפות
- משותף
- לִיצוֹר
- לקוחות
- סייבר
- התקפות רשת
- אבטחת סייבר
- נזק
- ימים
- החלטות
- נחשב
- הגדרה
- דרישה
- נחישות
- לְהַבחִין
- לחשוף
- חושף
- חשיפה
- התפוררות
- do
- באופן דרסטי
- ראוי
- קל
- השפעה
- יעילות
- אַכִיפָה
- לְהַבטִיחַ
- להסלים
- במיוחד
- נוסד
- אֲפִילוּ
- אי פעם
- דוגמה
- חליפין
- בורסות
- מנהלים
- ההנהלה המבצעת
- נרחב
- הציפיות
- עובדה
- מוכר
- מרגיש
- שגיאה
- מעטים
- כספי
- ראשון
- firsttime
- בעד
- ארבע
- החל מ-
- ממשל
- יותר
- היה
- קשה
- יש
- מוגבר
- לעזור
- גָבוֹהַ
- מכשול
- הסטורי
- איך
- HTTPS
- זיהוי
- if
- מיד
- פְּגִיעָה
- מושפעים
- יישום
- השלכות
- in
- תמריצים
- תקרית
- לכלול
- להגדיל
- גדל
- גדל
- אנשים
- מידע
- אבטחת מידע
- הודעה
- Insider
- פנימי
- אל תוך
- השקעה
- משקיעים
- J States
- בעיות
- IT
- שֶׁלָה
- עבודה
- jpg
- רק
- שמור
- שמר
- נוף
- גדול יותר
- עורכי דין
- מנהיגות
- משפטי
- פחות
- רמות
- אחריות
- כמו
- סביר
- לִטעוֹן
- עשוי
- לעשות
- ניהול
- ניהול
- רב
- חוֹמֶר
- בגרות
- מאי..
- אומר
- לִפְגוֹשׁ
- להרשם/להתחבר
- מַטעֶה
- מקלה
- לערבב
- חודשים
- יותר
- צריך
- בהכרח
- צורך
- לעולם לא
- חדש
- לא
- עַכשָׁיו
- ברור
- of
- קָצִין
- on
- מתמשך
- פועל
- תפעול
- הזדמנות
- or
- אִרְגוּנִי
- הַחוּצָה
- מקיף
- במיוחד
- עבר
- נקודות מבט
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- עמדה
- פרקטיקות
- להכין
- לחץ
- פרואקטיבי
- נהלים
- תהליכים
- אנשי מקצוע
- תוכניות
- פרוטוקולים
- מתן
- ציבורי
- חברות ציבוריות
- בפומבי
- גם
- מכניס
- במוקדמות
- ransomware
- התקפות Ransomware
- RE
- סביר
- לאחרונה
- רשום
- הפחתה
- הפנייה
- תקנון
- רגולטורים
- נוף רגולטורי
- קשר
- רלוונטי
- דווח
- מייצג
- דרישות
- משאבים
- אחריות
- הסיכון
- ניהול סיכונים
- חָסוֹן
- כלל
- כללי
- s
- אותו
- בדיקה
- ה-SEC
- אבטחה
- ניהול סיכוני אבטחה
- שרות
- בעל מניות
- צריך
- משמעותי
- באופן משמעותי
- קטן יותר
- השמש
- כמה
- משהו
- במידה מסוימת
- מָקוֹר
- מדבר
- אביב
- עמדה
- תֶקֶן
- החל
- הצהרות
- מניות
- לחזק
- לחץ
- כזה
- מציע
- תמיכה
- בטוח
- הפתעה
- לקחת
- נבחרת
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אלה
- הֵם
- חושב
- זֶה
- אלה
- איומים
- זמן
- ל
- סה"כ
- לעקוב
- נסחר
- לתרגם
- סוג
- לא מורשה
- תחת
- us
- מְשׁוּמָשׁ
- משתמשים
- כרגיל
- פגיעויות
- היה
- דֶרֶך..
- we
- הלכתי
- היו
- מה
- מה
- מתי
- אם
- אשר
- בזמן
- למה
- יצטרך
- עם
- בתוך
- לְלֹא
- תוהה
- תיק עבודות
- היה
- זפירנט