2022 年 XNUMX 月に証券取引委員会 (SEC) ルールを提案した 公開企業のサイバーセキュリティ開示、ガバナンス、リスク管理に関するもので、 公開会社に関する規則案 (PRPC)。 この規則により、企業は「重大な」サイバーセキュリティインシデントをXNUMX日以内に報告することが義務付けられる。 また、取締役会にはサイバーセキュリティの専門知識が必要となるだろう。
当然のことながら、それは あらゆる種類の反発に遭っている。 現在の形では、提案されているルールには解釈の余地が多く残されており、一部の分野では実用的ではありません。
XNUMX つは、開示窓口が狭いため、最高情報セキュリティ責任者 (CISO) に対して、すべての詳細を把握する前に重大なインシデントを開示するよう多大な圧力をかけることです。 インシデントを理解して完全に修復するには、数週間、場合によっては数か月かかる場合があります。 修復に十分なリソースが投入されるまで、新しい脆弱性の影響を知ることは不可能です。 また、CISO は、時間が経てば問題が少なくなり、重要ではなくなる脆弱性を開示する必要が生じる可能性もあります。 それは、企業の短期的な価格に影響を与える可能性があります。
インシデントは生き物であり、一度きりの取引ではありません
XNUMX 日間の開示要件は額面どおりに聞こえるかもしれません。 しかし、それらは現実的ではなく、最終的には CISO の注意を消火からそらすことになります。
比較として欧州連合の一般データ保護規則 (GDPR) を使用します。 この規制では、企業は違反行為があった場合は 72 時間以内に報告する必要があります。 ただし、GDPRの場合は、 報告の必要性は明確に定義されている。 インシデントの全体的な影響を詳細に知るには 72 時間は早すぎることがよくありますが、組織は少なくとも個人情報が侵害されたかどうかを知ることができます。
これを PRPC の提案された開示要件と比較してください。 組織にはさらに 24 時間の猶予が与えられますが、これまでに公表されている内容に基づくと、侵害が発生した場合は内部で認定を受ける必要があります。 材料。 GDPR では、企業はデータの機密性、量、送信場所に基づいてこれを行うことができます。 PRPC では、「重要性」とは、「合理的な株主が重要であると考えるもの」として SEC によって定義されています。 これは、株主が自社のビジネスにとって重要であると考える事実上あらゆるものである可能性があります。 それはかなり広範囲であり、明確に定義されていません。
その他の弱い定義
もうXNUMXつの問題は、セキュリティインシデントがそれ自体では重要ではなかったが、「全体的に」重要になった状況を開示するという提案の要件です。 これは実際にはどのように機能するのでしょうか? XNUMX か月前のパッチが適用されていない脆弱性は、その後のインシデントの範囲を拡大するために使用された場合、(会社がパッチを適用しなかったことを考えると) 開示の対象になりますか? 私たちはすでに、脅威、脆弱性、ビジネスへの影響を混同しています。 悪用されない脆弱性は、ビジネスに影響を与えないため重要ではありません。 インシデントを集約して報告する必要がある場合、何を開示する必要がありますか?また、集約条項により、これを識別することがさらに難しくなりますか?
これをさらに複雑にするために、提案された規則では、組織に対し、以前のインシデントに起因するポリシーの変更を開示することが求められます。 これはどの程度厳密に測定されるのでしょうか?正直なところ、なぜ測定するのでしょうか? ポリシーは意図を表明するものであるべきであり、低レベルのフォレンジック構成ガイドであるべきではありません。 機密データに特定の暗号化アルゴリズムを義務付けるために下位レベルのドキュメント (標準) を更新することは理にかなっていますが、インシデントによって更新される上位レベルのドキュメントはほとんどありません。 例としては、多要素認証を要求したり、範囲内の重大な脆弱性に対するパッチ適用のサービス レベル アグリーメント (SLA) を変更したりすることが考えられます。
最後に、提案書は四半期決算報告書が開示の場になると述べている。 個人的には、四半期決算報告会は、ポリシーの最新情報やセキュリティインシデントについて深く掘り下げるのに適したフォーラムとは思えません。 誰が最新情報を提供しますか? 通常、収益レポートを提供する CFO または CEO は、それらの重要なレポートを提供するのに十分な情報を持っていない可能性があります。 それでは、CISO は現在通話に参加しているのでしょうか? そして、もしそうなら、彼らは金融アナリストからの質問にも答えるのでしょうか? すべては非現実的だと思われますが、様子見する必要があります。
役員経験に関する質問
PRPC の最初の反復では、サイバーセキュリティ リスク管理ポリシーの取締役会の監督に関する開示が要求されました。 これには、個々の取締役会メンバーとそれぞれのサイバー専門知識に関する開示が含まれます。 SECは、各取締役会に特有のスキルや経験の範囲を考慮して、意図的に定義を広く保ったと述べている。
幸いなことに、精査を重ねた結果、この要件を削除することが決定されました。 PRPCは依然として企業に対し、サイバーセキュリティリスクを監督する取締役会のプロセスと、それらのリスクに対処する経営陣の役割について説明するよう求めている。
これには、コミュニケーションと一般的な認識の調整が必要になります。 最近、MIT Sloan のサイバーセキュリティ担当エグゼクティブ ディレクターである Keri Pearlson 博士と Stanley Black & Decker の CISO である Lucia Milică は次のように述べました。 600人の取締役会メンバーにアンケートを実施 サイバーセキュリティを取り巻く活動について。 その結果、「CISO と定期的に対話する取締役会のメンバーは半数未満 (47%) であり、そのうちのほぼ XNUMX 分の XNUMX は CISO とは取締役会のプレゼンテーションでしか会っていない」ことがわかりました。 これは明らかにコミュニケーションギャップを示しています。
幸いなことに、ほとんどの取締役会にはすでに監査およびリスク委員会が設置されており、この目的のために取締役会のサブセットとして機能することができます。 とはいえ、CISO や CSO が、取締役会の他のメンバーが十分に理解していないサイバーセキュリティに関連する問題を提示することは珍しいことではありません。 このギャップを埋めるには、取締役会とセキュリティ担当者の間で連携を強化する必要があります。
不確実性が蔓延する
他の新しい規制と同様に、PRPC にも疑問や不確実性があります。 すべてがどのように進展するか、そして企業が提案された要件を満たせるかどうかを待つ必要があります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- :持っている
- :は
- :not
- :どこ
- $UP
- 2022
- 24
- 7
- 72
- a
- 私たちについて
- 活動
- 調整
- 影響を及ぼす
- 後
- 集計
- 凝集
- 前
- 契約
- アルゴリズム
- アラインメント
- すべて
- ほとんど
- 既に
- また
- 金額
- an
- アナリスト
- および
- どれか
- 何でも
- です
- エリア
- AS
- At
- 監査
- 認証
- 認知度
- ベース
- BE
- なぜなら
- になる
- き
- さ
- の間に
- ブラック
- ボード
- 違反
- 広い
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- コール
- 缶
- 場合
- 最高経営責任者(CEO)
- 最高財務責任者
- 変更
- 変化
- チーフ
- 状況
- CISO
- はっきりと
- 閉じる
- 委員会
- 委員会
- コミュニケーション
- 通信部
- 企業
- 会社
- 比較
- 複雑な
- 損害を受けた
- 検討
- 可能性
- 作ります
- 重大な
- 電流プローブ
- サイバー
- サイバーセキュリティ
- データ
- データ保護
- 日
- 決定しました
- 専用の
- 深いです
- 定義済みの
- 定義
- 説明する
- 細部
- しなかった
- 取締役
- 取締役
- 開示する
- 開示
- do
- ドキュメント
- ありません
- doesnの
- ドント
- dr
- 原因
- 各
- 利益
- 決算発表
- 暗号化
- end
- 欧州言語
- 欧州連合
- さらに
- 進化する
- 例
- 交換
- エグゼクティブ
- エグゼクティブ·ディレクター
- 幹部
- 体験
- 専門知識
- 搾取
- 伸ばす
- 余分な
- 顔
- 遠く
- 少数の
- より少ない
- ファイナンシャル
- 終わり
- 火災
- 名
- 法医学
- フォーム
- フォーラム
- 発見
- 4
- から
- 完全に
- ギャップ
- GDPR
- 一般的なデータ
- 一般的なデータ保護規則
- 与える
- 与えられた
- Go
- 良い
- ガバナンス
- 大きい
- ガイド
- 半分
- ハンドリング
- もっと強く
- 持ってる
- 持って
- 正直に
- HOURS
- 認定条件
- しかしながら
- HTTPS
- if
- 影響
- 重要
- 不可能
- in
- 事件
- 含まれました
- 個人
- 情報
- 情報セキュリティー
- 情報に基づく
- 意図
- 対話
- 内部で
- 解釈
- 関与
- ISN
- 問題
- IT
- 繰り返し
- ITS
- join
- JPG
- ただ
- 保管
- 知っている
- 既知の
- 最低
- less
- ような
- 生活
- ll
- たくさん
- make
- 作る
- 管理
- 委任
- 3月
- 大規模な
- 材料
- 事態
- 五月..
- 大会
- メンバー
- 会った
- かもしれない
- マサチューセッツ工科大学(MIT)
- ヶ月
- 他には?
- 最も
- ずっと
- 多要素認証
- しなければなりません
- 必要
- ニーズ
- 新作
- ニュース
- 今
- of
- 役員
- 頻繁に
- on
- ONE
- の
- or
- 組織
- でる
- 全体
- 監督
- 見落とし
- 自分の
- 特定の
- パッチ
- 補修
- 個人的な
- 個人的に
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポリシー
- 方針
- 練習
- 現在
- プレゼンテーション
- 圧力
- 前
- ブランド
- プロセス
- 提案
- 提案された
- 保護
- は、大阪で
- 公共
- 公開会社
- 目的
- 置きます
- パッティング
- 資格を得る
- 質問
- 範囲
- むしろ
- RE
- 現実的な
- 合理的な
- 最近
- 定期的に
- 規制
- 削除します
- レポート
- 報告
- レポート
- 必要とする
- の提出が必要です
- 要件
- 要件
- リソース
- それらの
- 反応します
- REST
- 右
- リスク
- リスク管理
- リスク
- 職種
- ルーム
- ルール
- s
- 前記
- 言う
- スコープ
- 精査
- SEC
- 有価証券
- 証券取引委員会
- セキュリティ
- 思われる
- と思われる
- センス
- 敏感な
- 感度
- 役立つ
- 株主
- 株主総会
- 短期
- SIX
- 半年
- 技能
- スローン
- So
- 一部
- すぐに
- 音
- 特定の
- 詳細
- 標準
- スタンレー
- 文
- まだ
- それに続きます
- 想定
- 周囲の
- 取る
- より
- それ
- アプリ環境に合わせて
- それら
- そこ。
- したがって、
- 彼ら
- もの
- 三番
- この
- それらの
- 脅威
- 従って
- 時間
- 〜へ
- あまりに
- 順番
- 一般的に
- 最終的に
- 不確実性
- アンコモン
- 下
- わかる
- 組合
- 不要
- まで
- 更新しました
- 更新版
- 更新
- つかいます
- 中古
- 値
- 非常に
- 事実上
- ボリューム
- 脆弱性
- 脆弱性
- wait
- ました
- we
- ウィークス
- went
- この試験は
- いつ
- かどうか
- which
- while
- 誰
- なぜ
- 意志
- ウィンドウを使用して入力ファイルを追加します。
- 以内
- 仕事
- でしょう
- You
- ゼファーネット