מה על CISOs לעשות כדי לעמוד בתקנות SEC החדשות?

שאלה: איך CISOs יכולים להתעדכן בשינוי תקנות אבטחת סייבר?

אילונה כהן, קצינת משפט ומדיניות ראשית, HackerOne: זה אף פעם לא זמן קל להיות קצין אבטחת מידע ראשי (CISO), אבל החודשים האחרונים הרגישו מאתגרים במיוחד. לגורמי הלחץ הרגילים של העבודה - כמו העלייה המתמשכת במתקפות כופר וההתפשטות של איומים פנימיים - אנחנו יכולים כעת להוסיף בדיקה מוגברת של אכיפה רגולטורית.

האחרון חיובים מרשות הביטחון וההחלפות האמריקאית (SEC) נגד CISO של SolarWinds זו הפעם הראשונה ש-CISO נבחר בדרך זו על ידי הסוכנות. זה מרמז על גדול יותר מגמה של אחריות מוגברת עבור אנשים האחראים על ניהול תוכניות אבטחה ארגוניות.

בנוסף, חברות הנסחרות בבורסות בארה"ב חייבות לציית לחשוף אבטחת הסייבר החדש של ה-SEC. כללי דיווח על אירועים החל מעכשיו, וחברות קטנות יותר מתאימות חייבות לציית לכללי דיווח התקריות באביב 2024. שינויים אלה מעמידים את תוכניות האבטחה הארגוניות תחת ביקורת רבה עוד יותר ומוסיפים לעומס האחריות ש-CISO חייבים לעקוב.

אין זה מפתיע שארגוני CISO רבים חשים יותר לחץ מאי פעם.

אלה כללים והתחייבויות חדשים לא בהכרח צריכים להוות מכשול לעבודה של CISO - למעשה, הם יכולים למעשה להוות מקור לתמיכה עבור CISOs. חוקי ה-SEC סביב גילויים ותקריות אבטחת סייבר היו קשים להבחין באופן היסטורי. על ידי הבהרת הדרישות לחשיפת תוכניות לניהול סיכוני אבטחה, ממשל ואירועי סייבר, ה-SEC מספקת ל-CISO ספר הדרכה.

בנוסף, הציפיות המוגברות של ה-SEC לניהול סיכונים וממשל עשויות לתת ל-CISO מעמד גבוה יותר לדרוש משאבים ותהליכים פנימיים כדי לעמוד בציפיות הללו. דרישות חדשות לחברות הנסחרות בבורסה לחשוף בפני משקיעים נוהלי ניהול סיכונים יוצרות תמריצים נוספים לחיזוק הגנות אבטחת סייבר פרואקטיביות. עוד לפני שהם נכנסו לתוקף, הכללים החדשים של ה-SEC הגבירו את המודעות לנוהלי אבטחת סייבר בקרב מועצות המנהלים של חברות והנהגת חברות שאינן CISO, מה שככל הנראה יתורגם למשאבי אבטחת סייבר נרחב יותר.

חברות ציבוריות עם תוכניות אבטחה חזקות הכוללות זיהוי והפחתה מתמשך של פגיעויות עשויות להיות אטרקטיביות יותר למשקיעים מנקודות מבט של ניהול סיכונים, בשלות אבטחה וממשל תאגידי. יחד עם זאת, חברות הנוקטות עמדה יזומה להפחתת סיכוני האבטחה - למשל, יישום ונהלים נאותים של אבטחת סייבר כמו אלו הכלולות ב-ISO 27001, 29147 ו-30111 - נוטות פחות לסבול מהתקפות סייבר מהותיות הפוגעות במותג החברה. .

הנוף הרגולטורי החדש הזה מייצג הזדמנות עבור CISOs לעשות חשבון נפש של נהלי הדיווח הפנימיים שלהם ולוודא שהם עומדים בקנה אחד. אם לחברות הנסחרות בבורסה אין כבר נהלים להסלים בעיות אבטחה משמעותיות להנהלה, יש לקבוע תהליכים אלה באופן מיידי. CISOs צריכים לעזור להכין גילויים על תהליכי ניהול סיכונים בחברה, וגם לעזור להבטיח את הצהרות פומביות של החברה על אבטחה מדויקים, מלאים ואינם מטעים.

על פי הכלל החדש של SEC, חברות ציבוריות חייבות לחשוף בתוך ארבעה ימי עסקים כל אירוע אבטחת סייבר הנחשב "מהותי". אבל מגיבים רבים לאירועים תוהים מה זה אומר להיות "חומרי", במיוחד כאשר ה-SEC סירבה לאמץ הגדרה הקשורה לאבטחת סייבר של "מהותיות" בכלל ושמרה על התקן המוכר למשקיעים ולחברות ציבוריות. אירוע הוא "מהותי" אם מידע על אותו אירוע הוא משהו שבעל מניות סביר היה מסתמך עליו כדי לקבל החלטות השקעה מושכלות או כאשר זה היה משנה באופן משמעותי את "התמהיל הכולל" של המידע הזמין לבעל המניות.

באופן מעשי, לקבוע מה מהותי ומה לא לא תמיד ברור מאליו. בעוד שמגיב לאירועים עשוי לשמש להערכת השלכות האבטחה של אירוע, כגון כמה רשומות הושפעו, לכמה משתמשים לא מורשים הייתה גישה, או איזה סוג של מידע היה בסיכון, הם עשויים להיות פחות רגילים לחשוב על הנושא הרחב יותר. השלכות על החברה. זו הסיבה שחברות רבות מציבות פרוטוקולים - כגון הפניה לוועדה פנימית המורכבת מאנשי מקצוע בתחום האבטחה, עורכי דין וחברי C-suite - כדי להעריך לא רק את הסיכון הביטחוני נגרם כתוצאה מתקרית, אך ההשפעה על החברה באופן כללי. סביר יותר שצוות בינתחומי יוכל להעריך האם האירוע חושף חברה לאחריות, משפיע על מצבה הפיננסי של החברה, מפריע ליחסים בין החברה ללקוחותיה, או משפיע על פעילות החברה עקב גישה לא מורשית או הפרעה בשירות, הכל. מהם רלוונטיים לקביעת המהותיות.

עם כמה התאמות מצפוניות לנוהלי התפעול הסטנדרטיים, CISOs יכולים להסתגל ביעילות לאקלים הרגולטורי החדש הזה מבלי להגדיל באופן דרסטי את עומסי העבודה או להחמיר רמות גבוהות כבר של לחץ.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-