Wat moeten CISO's doen om aan de nieuwe SEC-regelgeving te voldoen?

Vraag: Hoe kunnen CISO's gelijke tred houden met de veranderende regelgeving op het gebied van cyberbeveiliging?

Ilona Cohen, Chief Legal and Policy Officer, HackerOne: Het is nooit een gemakkelijke tijd om Chief Information Security Officer (CISO) te zijn, maar de afgelopen maanden hebben een bijzondere uitdaging gevoeld. Aan de gebruikelijke stressoren die het werk met zich meebrengt – zoals de aanhoudende toename van ransomware-aanvallen en de alomtegenwoordigheid van bedreigingen van binnenuit – kunnen we nu een verscherpt toezicht op de handhaving van de regelgeving toevoegen.

De recente aanklachten van de Amerikaanse Security and Exchange Commission (SEC) tegen de CISO van SolarWinds is de eerste keer dat een CISO op deze manier door het bureau wordt uitgekozen. Dit suggereert een grotere trend van toenemende verantwoordelijkheid voor personen die verantwoordelijk zijn voor het beheer van beveiligingsprogramma's van de organisatie.

Bovendien moeten bedrijven die op Amerikaanse beurzen worden verhandeld, voldoen aan de nieuwe openbaarmaking van cyberbeveiliging van de SEC regels voor het melden van incidenten vanaf nu, en in aanmerking komende kleinere bedrijven moeten in het voorjaar van 2024 voldoen aan de regels voor het melden van incidenten. Deze veranderingen stellen de beveiligingsprogramma's van de organisatie onder nog meer toezicht en vergroten de last van verantwoordelijkheden die CISO's moeten opvolgen.

Het is geen verrassing dat veel CISO's meer druk voelen dan ooit.

Deze nieuwe regels en verplichtingen Ze hoeven niet noodzakelijkerwijs een belemmering te zijn voor het werk van een CISO; ze kunnen zelfs een bron van steun zijn voor CISO's. SEC-regels rond openbaarmakingen en incidenten op het gebied van cyberbeveiliging zijn historisch gezien enigszins moeilijk te onderscheiden. Door de vereisten voor het openbaar maken van beveiligingsrisicobeheerprogramma's, governance en cyberincidenten te verduidelijken, biedt de SEC CISO's een handleiding.

Bovendien kunnen de toegenomen verwachtingen van de SEC op het gebied van risicobeheer en bestuur dat ook doen CISO's een groter aanzien geven om interne middelen en processen te eisen om aan die verwachtingen te voldoen. Nieuwe vereisten voor beursgenoteerde bedrijven om risicobeheerpraktijken aan investeerders bekend te maken, creëren extra prikkels om de proactieve cyberbeveiligingsverdediging te versterken. Zelfs voordat ze van kracht werden, hebben de nieuwe regels van de SEC het bewustzijn van cyberbeveiligingspraktijken vergroot onder bedrijfsbesturen en niet-CISO-bedrijfsleiders, wat zich waarschijnlijk zal vertalen in uitgebreidere middelen voor cyberbeveiliging.

Publieke bedrijven met robuuste beveiligingsprogramma's die het voortdurend identificeren en beperken van kwetsbaarheden omvatten, kunnen aantrekkelijker zijn voor beleggers vanuit het perspectief van risicobeheer, beveiligingsvolwassenheid en corporate governance. Tegelijkertijd hebben bedrijven die een proactieve houding aannemen bij het verminderen van beveiligingsrisico’s – bijvoorbeeld door het implementeren en op de juiste wijze inzetten van best practices op het gebied van cyberbeveiliging, zoals die zijn opgenomen in ISO’s 27001, 29147 en 30111 – minder kans op materiële cyberaanvallen die het merk van het bedrijf schaden. .

Dit nieuwe regelgevingslandschap biedt CISO's een kans om de balans op te maken van hun interne rapportageprocedures en ervoor te zorgen dat deze op orde zijn. Als beursgenoteerde bedrijven nog niet over procedures beschikken om belangrijke veiligheidskwesties naar het uitvoerend management te escaleren, moeten deze processen onmiddellijk worden ingevoerd. CISO's moeten helpen bij het voorbereiden van de openbaarmakingen over bedrijfsrisicobeheerprocessen, en ook helpen zorgen voor de publieke verklaringen van het bedrijf over veiligheid zijn accuraat, volledig en niet misleidend.

Volgens de nieuwe SEC-regel moeten beursgenoteerde bedrijven elk cyberbeveiligingsincident dat als ‘materieel’ wordt beschouwd, binnen vier werkdagen openbaar maken. Maar veel hulpverleners vragen zich af wat het betekent om ‘materieel’ te zijn, vooral toen de SEC weigerde een cybersecurity-gerelateerde definitie van ‘materialiteit’ in de regel op te nemen en de standaard bekend te houden bij investeerders en beursgenoteerde bedrijven. Een incident is ‘materieel’ als informatie over dat incident iets is waar een redelijke aandeelhouder op zou hebben vertrouwd om weloverwogen investeringsbeslissingen te nemen, of als dit de ‘totale mix’ van informatie waarover de aandeelhouder beschikt aanzienlijk zou hebben gewijzigd.

Practisch gesproken, bepalen wat wel en niet materieel is is niet altijd evident. Hoewel een incidentresponder gewend kan zijn om de gevolgen voor de veiligheid van een incident te beoordelen, zoals hoeveel records getroffen zijn, hoeveel ongeautoriseerde gebruikers toegang hadden of welk type informatie gevaar liep, zijn ze misschien minder gewend om na te denken over de bredere context. gevolgen voor het bedrijf. Dat is de reden waarom veel bedrijven protocollen invoeren – zoals doorverwijzing naar een interne commissie bestaande uit beveiligingsprofessionals, advocaten en leden van de C-suite – om de veiligheidsmaatregelen te beoordelen. niet alleen het veiligheidsrisico veroorzaakt door een incident, maar de impact op het bedrijf als geheel. Het is waarschijnlijker dat een interdisciplinair team kan beoordelen of het incident een bedrijf blootstelt aan aansprakelijkheid, de financiële positie van het bedrijf aantast, de relatie tussen het bedrijf en zijn klanten verstoort, of de activiteiten van het bedrijf beïnvloedt als gevolg van ongeoorloofde toegang of verstoring van de dienstverlening. waarvan relevant zijn voor de materialiteitsbepaling.

Met enkele gewetensvolle aanpassingen aan de standaardwerkprocedures kunnen CISO's zich effectief aanpassen aan dit nieuwe regelgevingsklimaat zonder de werkdruk drastisch te verhogen of de toch al hoge stressniveaus nog verder te verergeren.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-