사이버 보안 집행의 새로운 시대 탐색

해설

30년 2023월 XNUMX일, 증권거래위원회(SEC)는 업계 전반의 보안 리더들의 가정을 뒤흔들었습니다. 획기적인 소송을 제기했다 반대 SolarWinds 최고 정보 보안 책임자(CISO)입니다. 많은 사람들은 이러한 움직임을 CISO 역할을 맡은 사람들에게 폭탄이 터지는 것과 비슷하다고 생각합니다. SEC 소송에서 이런 방식으로 회사에서 개인을 소환한 것은 이번이 처음이다.

현재 사건이 진행 중인 상황에서 CISO로서의 개인적인 책임을 이해하고 계십니까? 한 가지 분명한 사실은 이 사례가 메시지를 보낸다는 점입니다. CISO는 이제 전례 없는 잠재적인 책임 위험에 직면해 있으며, 보안 임원의 법적 노출에 대한 사전 예방적 접근 방식이 필요합니다. 이 복잡한 문제를 조명하기 위해 우리는 60명 이상의 CISO, 전 SEC 회원, 법률 전문가를 모아 패널 토론을 진행했습니다. 이 중요한 주제를 논의하기 위해 패널리스트를 모집하는 데에는 배경과 신뢰성이 매우 중요했습니다. 우리의 목표는 간단했습니다. CISO 커뮤니티에 책임 관리에 대한 권위 있는 지침과 명확성을 제공하는 것입니다.

패널은 SolarWinds 사건을 분석하면서 SEC가 심각한 사기보다는 과실에 초점을 맞추고 있는 것으로 보인다는 점을 지적했습니다. 사건은 공격적으로 묘사되지만 내용은 그다지 견고하지 않을 수 있습니다. 전문가들은 CISO가 이 사례를 경각심으로 받아들여 사이버 보안에 대한 선제적인 조치와 선의의 접근 방식의 필요성을 강조할 것을 제안합니다.

이 토론에서 수집된 통찰력은 CISO가 사이버 보안 시행의 새로운 시대를 탐색할 수 있는 로드맵을 제공합니다. 다음은 우리가 패널로부터 배운 가장 중요한 조언 중 일부입니다.

법률 고문과 강력한 동맹 구축

패널 토론에서 얻은 첫 번째이자 아마도 가장 중요한 교훈 중 하나는 CISO가 법무 자문위원(GC)과 강력한 관계를 구축하는 것이 중요하다는 것입니다. 전문가들에 따르면, GC는 위기 상황에서 귀중한 법적 지침과 지원을 제공하는 중요한 동맹자가 될 수 있습니다. SolarWinds 사건 이후 CISO는 GC에 적극적으로 참여하여 잠재적인 법적 문제에 대해 협력적이고 잘 준비된 대응을 보장해야 합니다.

FBI 연결 구축

패널의 또 다른 필수 조언은 가능한 한 빨리 현지 FBI 현장 사무소와 관계를 구축하라는 것입니다. 토론에 참여한 FBI 대표는 FBI와의 기존 관계의 중요성을 강조했습니다. FBI 내부에 연락하는 것은 SolarWinds 사건과 유사한 상황을 헤쳐나가는 데 도움이 될 수 있습니다. 패널의 FBI 담당자에 따르면 이는 신뢰 요인에 관한 것입니다. 또한 FBI는 이러한 상황에 처한 기업을 피해자로 간주하므로 CISO는 위기가 발생하기 오래 전에 현지 FBI 현장 사무소와 관계를 구축하도록 권장됩니다.

표준 준수에 주의하세요

패널은 또한 NIST(국립표준기술연구소)에서 설명한 것과 같은 객관적인 표준에 따라 사이버 보안 관행을 조정하는 것의 중요성을 강조했습니다. SolarWinds 사례에서 입증된 것처럼 SEC는 이러한 표준을 준수한다는 증거를 요구할 수 있습니다. SEC 담당자 중 한 명은 "NIST와 같은 객관적인 표준에 자신을 맞출 때마다 SEC는 이에 대한 증거를 원할 것입니다."라고 말했습니다. 따라서 일련의 표준을 사용하고 있음을 공개적으로 발표하려면 선택한 표준을 준수해야 합니다. CISO는 필요한 경우 증거를 제공하기 위해 철저한 문서를 유지해야 합니다.

법률 자문 및 내부 조사 조정

법률 자문에 관해서는 CISO에게 자체 자문이 필요한지 여부에 대한 패널의 의견이 다양했습니다. 그렇다면 CISO는 무엇을 해야 할까요? 패널은 특히 SEC나 법무부(DOJ)와 인터뷰할 때 개인 변호사가 필요할 것이라는 데 동의했습니다. 내부 조사 및 사내 변호사와의 상호 작용 중에 법적 대리인을 두는 것도 현명한 조치일 수 있습니다.

D&O 보험을 고려해보세요

D&O(이사 및 임원) 보험에 대한 이해와 투자는 패널이 강조한 또 다른 중요한 측면이었습니다. 잠재적인 법적 조치에 직면하여 D&O 보장을 받으면 CISO에게 재정적 보호를 제공할 수 있습니다. 전문가들은 보장 범위를 숙지하고 기존 청구 사항을 확인하며 추가 보호를 위해 독립형 보장을 고려할 것을 권장합니다.

세 가지 원칙 수용: 정렬, 명확화, 에스컬레이션

사이버 보안 시행이 강화되는 이 새로운 시대에 CISO는 조정, 명확화, 확대라는 세 가지 핵심 원칙을 준수하는 것이 좋습니다. 사이버 보안 관행을 인정된 표준에 맞추고 법률 및 FBI 담당자와의 의사소통을 명확하게 하며 우려 사항을 지휘 체계 위로 확대합니다. 이러한 원칙은 사이버 보안 경영진이 직면하고 있는 진화하는 문제에 대한 사전 예방적이고 보호적인 접근 방식의 기반을 형성합니다.

CISO는 지금 적극적으로 조치를 취해야 합니다.

SolarWinds SEC 소송은 사이버 보안 경영진이 직면한 잠재적 위험을 조명했습니다. CISO는 법적 노출로부터 자신을 보호하기 위해 사전 조치를 취해야 합니다. 법률 고문과 강력한 동맹을 구축하고, FBI와 연결을 구축하고, 사이버 보안 표준을 준수하고, D&O 보험에 가입하고, 조정, 설명, 확대의 세 가지 기둥을 수용하는 것은 이 새로운 사이버 보안 집행 시대의 과제를 해결하는 핵심 단계입니다. 환경이 계속 진화함에 따라 CISO는 조직의 보안을 보장하고 자신의 전문적 지위를 보호하기 위해 경계심을 갖고 잘 준비해야 합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement