新しい SEC 規制を満たすために CISO は何をしなければなりませんか?

質問: CISO は変化するサイバーセキュリティ規制にどのように対応できますか?

HackerOne 最高法務および政策責任者の Ilona Cohen 氏: 最高情報セキュリティ責任者 (CISO) になるのは決して簡単な時期ではありませんが、ここ数か月は特に困難を感じています。ランサムウェア攻撃の継続的な増加や内部関係者の脅威の蔓延など、仕事の通常のストレス要因に加えて、規制執行の監視を強化できるようになりました。

最近 米国安全保障および為替委員会からの告発 (SEC) が SolarWinds の CISO に対してこのような方法で CISO を指名したのは初めてです。これは、より大きな 説明責任が増大する傾向 組織のセキュリティ プログラムの管理を担当する個人向け。

さらに、米国の取引所で取引されている企業は、SEC の新しいサイバーセキュリティ開示に準拠する必要があります。 今から始まるインシデント報告ルールこれらの変更により、組織のセキュリティ プログラムはさらに厳しい監視下に置かれ、CISO が追跡しなければならない責任の負担が増大します。

多くの CISO がこれまで以上にプレッシャーを感じているのも不思議ではありません。

ボーマン 新しい規則と義務 必ずしも CISO の仕事の妨げになる必要はありません。実際、CISO のサポートの源になる可能性があります。サイバーセキュリティの開示とインシデントに関する SEC の規則は、歴史的には見分けるのがやや困難でした。セキュリティ リスク管理プログラム、ガバナンス、サイバー インシデントの開示要件を明確にすることで、SEC は CISO にガイドブックを提供しています。

さらに、リスク管理とガバナンスに対する SEC の期待が高まることで、 CISO の地位を高める それらの期待に応えるための内部リソースとプロセスを要求します。上場企業に対するリスク管理慣行を投資家に開示するという新たな要件により、プロアクティブなサイバーセキュリティ防御を強化する追加のインセンティブが生まれます。 SEC の新しい規則は、発効前であっても、企業の取締役会や CISO 以外の企業指導部の間でサイバーセキュリティの実践に対する意識を高めており、これによりサイバーセキュリティのリソースがさらに拡充される可能性があります。

脆弱性の継続的な特定と軽減を含む堅牢なセキュリティ プログラムを備えた上場企業は、リスク管理、セキュリティの成熟度、コーポレート ガバナンスの観点から、投資家にとってより魅力的である可能性があります。同時に、セキュリティ リスクの軽減に積極的な姿勢をとっている企業（たとえば、ISO 27001、29147、30111 に含まれるサイバーセキュリティのベスト プラクティスを実装し、適切なリソースを確保するなど）は、企業のブランドに損害を与える重大なサイバー攻撃を受ける可能性が低くなります。 。

この新しい規制状況は、CISO が内部報告手順を評価し、基準を満たしていることを確認する機会を表しています。上場企業が重大なセキュリティ問題を経営陣にエスカレーションする手順をまだ持っていない場合は、これらのプロセスを直ちに確立する必要があります。 CISO は、企業のリスク管理プロセスに関する開示の準備を支援し、また、 セキュリティに関する企業の公式声明 正確かつ充実しており、誤解を招くものではありません。

新しい SEC 規則の下では、上場企業は「重大」とみなされるサイバーセキュリティ インシデントを 4 営業日以内に開示する必要があります。しかし、多くのインシデント対応担当者は、特に SEC がサイバーセキュリティ関連の「重要性」の定義を規則に採用することを拒否し、投資家や上場企業に馴染みのある基準を維持したことにより、「重要性」とは何を意味するのか疑問に思っています。ある事件が「重要」であるのは、その事件に関する情報が、合理的な株主が十分な情報に基づいた投資決定を行うために信頼できる情報である場合、またはその事件によって株主が入手できる情報の「全体構成」が大幅に変化する可能性がある場合です。

実際的に言えば、 何が重要で何が重要ではないかを判断する 必ずしも明らかではありません。インシデント対応担当者は、影響を受けたレコードの数、アクセス権のないユーザーの数、危険にさらされている情報の種類など、インシデントのセキュリティへの影響を評価することには慣れているかもしれませんが、より広範な問題について考えることにはあまり慣れていない可能性があります。会社への影響。そのため、多くの企業は、セキュリティの専門家、弁護士、経営幹部のメンバーで構成される社内委員会に照会するなど、評価を行うためのプロトコルを整備しています。 セキュリティリスクだけではない インシデントが原因ですが、会社全体への影響。学際的なチームは、インシデントが企業を責任にさらすのか、企業の財務状況に影響を与えるのか、企業と顧客の関係を乱すのか、不正アクセスやサービスの中断により企業の運営に影響を与えるのか、すべてを評価できる可能性が高くなります。そのうち重要性の決定に関連するもの。

標準の運用手順を慎重に調整することで、CISO は作業負荷を大幅に増加させたり、すでに高いレベルのストレスをさらに悪化させたりすることなく、この新しい規制環境に効果的に適応できます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-