CISO는 새로운 SEC 규정을 충족하기 위해 무엇을 해야 합니까?

질문: CISO는 변화하는 사이버 보안 규정을 어떻게 따라잡을 수 있습니까?

Ilona Cohen, HackerOne의 최고 법률 및 정책 책임자: 최고정보보안책임자(CISO)가 되는 것은 결코 쉬운 일이 아니지만 지난 몇 달은 특히나 어려운 일로 느껴졌습니다. 랜섬웨어 공격의 지속적인 증가, 내부자 위협의 만연화 등 업무상의 일반적인 스트레스 요인에 대해 이제 강화된 규제 집행 조사를 추가할 수 있습니다.

최근 미국 보안거래위원회의 혐의 SolarWinds의 CISO에 대한 (SEC)는 기관이 이런 방식으로 CISO를 선정한 것은 처음입니다. 이는 더 큰 것을 암시한다. 책임감이 높아지는 추세 조직의 보안 프로그램 관리를 담당하는 개인을 위한 것입니다.

또한 미국 거래소에서 거래되는 회사는 SEC의 새로운 사이버 보안 공개 및 지금부터 사건 보고 규칙, 적격 소규모 기업은 2024년 봄에 사고 보고 규칙을 준수해야 합니다. 이러한 변경으로 인해 조직의 보안 프로그램에 대한 조사가 더욱 강화되고 CISO가 추적해야 하는 책임이 가중됩니다.

많은 CISO가 그 어느 때보다 더 많은 압박감을 느끼고 있다는 것은 놀라운 일이 아닙니다.

Bowman의 새로운 규칙과 책임 반드시 CISO의 업무에 방해가 될 필요는 없습니다. 실제로 CISO를 지원하는 원천이 될 수 있습니다. 사이버 보안 공개 및 사고에 관한 SEC 규칙은 역사적으로 식별하기가 다소 어려웠습니다. SEC는 보안 위험 관리 프로그램, 거버넌스, 사이버 사고 공개에 대한 요구 사항을 명확히 하여 CISO에게 가이드북을 제공하고 있습니다.

또한 위험 관리 및 거버넌스에 대한 SEC의 기대가 높아짐에 따라 CISO에게 더 큰 지위 부여 이러한 기대를 충족하기 위해 내부 자원과 프로세스를 요구합니다. 상장 기업이 위험 관리 관행을 투자자에게 공개하도록 하는 새로운 요구 사항은 사전 예방적인 사이버 보안 방어를 강화하기 위한 추가적인 인센티브를 창출합니다. SEC의 새로운 규정은 발효되기 전에도 회사 이사회와 CISO가 아닌 회사 경영진 사이에서 사이버 보안 관행에 대한 인식을 높였으며, 이는 더 광범위한 사이버 보안 리소스로 이어질 가능성이 높습니다.

지속적으로 취약점을 식별하고 완화하는 등 강력한 보안 프로그램을 갖춘 공공 기업은 위험 관리, 보안 성숙도 및 기업 거버넌스 관점에서 투자자에게 더 매력적일 수 있습니다. 동시에, ISO 27001, 29147 및 30111에 포함된 것과 같은 사이버 보안 모범 사례를 구현하고 적절하게 리소스를 확보하는 등 보안 위험을 줄이기 위해 사전 예방적인 입장을 취하는 기업은 회사 브랜드를 손상시키는 중대한 사이버 공격을 겪을 가능성이 적습니다. .

이 새로운 규제 환경은 CISO가 내부 보고 절차를 파악하고 적절한 수준인지 확인할 수 있는 기회를 나타냅니다. 상장 회사에 심각한 보안 문제를 경영진에게 에스컬레이션하는 절차가 아직 없는 경우 이러한 프로세스를 즉시 확립해야 합니다. CISO는 회사 위험 관리 프로세스에 대한 공개를 준비하는 데 도움을 주어야 하며, 또한 보안에 대한 회사의 공개 성명 정확하고 충실하며 오해의 소지가 없습니다.

새로운 SEC 규정에 따라 공개 기업은 "중요"하다고 간주되는 사이버 보안 사고를 영업일 기준 4일 이내에 공개해야 합니다. 그러나 많은 사고 대응자들은 특히 SEC가 규칙에서 사이버 보안 관련 정의인 "중요성"을 채택하는 것을 거부하고 투자자와 공기업에 친숙한 표준을 유지했을 때 "중요한" 것이 무엇을 의미하는지 궁금해하고 있습니다. 해당 사건에 대한 정보가 합리적인 주주가 정보에 입각한 투자 결정을 내리기 위해 의존했을 정보이거나 주주가 이용할 수 있는 정보의 "전체 조합"을 크게 변경했을 경우 해당 사건은 "중요"합니다.

실질적으로 말하자면, 무엇이 중요하고 중요하지 않은지 결정 항상 분명한 것은 아닙니다. 사고 대응자는 영향을 받은 기록 수, 액세스 권한이 없는 사용자 수, 위험에 처한 정보 유형 등 사고가 보안에 미치는 영향을 평가하는 데 사용될 수 있지만 더 넓은 범위에 대해 생각하는 데는 익숙하지 않을 수 있습니다. 회사에 미치는 영향. 이것이 바로 많은 기업이 보안 전문가, 변호사, 최고 경영진으로 구성된 내부 위원회에 의뢰하는 등의 프로토콜을 마련하여 평가를 실시하는 이유입니다. 보안 위험뿐만 아니라 사고로 인해 발생하지만 회사 전체에 영향을 미칩니다. 학제간 팀은 사건이 회사에 책임을 묻는지, 회사의 재무 상태에 영향을 미치는지, 회사와 고객 간의 관계를 방해하는지, 무단 액세스 또는 서비스 중단으로 인해 회사 운영에 영향을 미치는지 여부를 평가할 수 있습니다. 그 중 중요성 결정과 관련된 사항입니다.

표준 운영 절차를 일부 성실하게 조정함으로써 CISO는 작업량을 대폭 늘리거나 이미 높은 수준의 스트레스를 가중시키지 않고 이 새로운 규제 환경에 효과적으로 적응할 수 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-