Naviger i den nye tidsalderen for håndhevelse av nettsikkerhet

KOMMENTAR

30. oktober 2023 rystet Securities and Exchange Commission (SEC) antakelsene til sikkerhetsledere på tvers av bransjer da den anla et skjellsettende søksmål mot Solarwinds og dets Chief Information Security Officer (CISO). Mange sidestiller dette trekket som en bombe som går av for folk som jobber i CISO-rollen. Det er også første gang et SEC-søksmål har kalt ut en person fra et selskap på denne måten.

Når saken nå utspiller seg, forstår du ditt personlige ansvar som CISO? En ting er klart: Denne saken sender en melding. CISOer står nå overfor enestående potensielle ansvarsrisikoer, noe som fører til behovet for en proaktiv tilnærming til juridisk eksponering for sikkerhetsledere. For å kaste lys over dette komplekse problemet, samlet vi mer enn 60 CISOer, tidligere SEC-medlemmer og juridiske eksperter til en paneldiskusjon. Bakgrunn og troverdighet var avgjørende for å rekruttere paneldeltakere for å diskutere dette temaet med høy innsats. Målet vårt var enkelt: å gi CISO-fellesskapet autoritativ veiledning og klarhet om ansvarshåndtering.

Panelet dissekerte SolarWinds-saken og la merke til at SECs fokus ser ut til å være på uaktsomhet i stedet for grov svindel. Selv om saken blir fremstilt som aggressiv, er stoffet kanskje ikke like robust. Eksperter foreslår at CISO-er tar denne saken som en vekker, og understreker behovet for proaktive tiltak og en god tro tilnærming til cybersikkerhet.

Innsikten samlet fra denne diskusjonen gir et veikart for CISOer for å navigere i denne nye æraen med håndheving av nettsikkerhet. Her er noen av de viktigste rådene vi har lært fra panelet.

Bygg sterke allianser med generaladvokat

En av de første – og kanskje mest kritiske – takeawayene fra paneldiskusjonen er viktigheten av at CISOer bygger sterke relasjoner med generaladvokaten (GC). I følge ekspertene kan GC være en avgjørende alliert i krisetider, og gi verdifull juridisk veiledning og støtte. I kjølvannet av SolarWinds-saken, rådes CISOer til å proaktivt innrette seg etter GC-en deres, og sikre et samarbeidende og godt forberedt svar på potensielle juridiske utfordringer.

Etabler FBI-forbindelser

Et annet viktig råd fra panelet er å etablere et forhold til det lokale FBI-feltkontoret så snart som mulig. En FBI-representant i diskusjonen understreket viktigheten av forhåndseksisterende forhold til FBI. Å ha en kontakt innen FBI kan være medvirkende til å navigere i situasjoner som ligner på SolarWinds-saken. Alt handler om tillitsfaktoren, ifølge panelets FBI-representant. De bemerket også at FBI ser på selskaper i slike situasjoner som ofre, og det er derfor CISOer oppfordres til å etablere et forhold til deres lokale FBI-feltkontor lenge før en krise oppstår.

Vær forsiktig når du overholder standarder

Panelet fremhevet også betydningen av å samordne nettsikkerhetspraksis med objektive standarder, slik som de som er skissert av National Institute of Standards and Technology (NIST). SEC, som demonstrert i SolarWinds-saken, kan kreve bevis på overholdelse av disse standardene. "Hver gang du innretter deg etter en objektiv standard, som NIST, vil SEC ønske bevis på det," sa en av våre SEC-representanter. Så hvis du skal offentlig kunngjøre at du bruker et sett med standarder, sørg også for at du følger standardene du velger. CISOer må opprettholde grundig dokumentasjon for å fremlegge bevis om nødvendig.

Koordinere juridisk rådgivning og interne undersøkelser

Når det gjelder juridisk rådgivning, trakk temaet om hvorvidt en CISO trenger sin egen rådgivning, forskjellige meninger fra panelet. Så, hva skal en CISO gjøre? Panelet var enige om at en personlig advokat, spesielt når de blir intervjuet av SEC eller Justisdepartementet (DOJ), sannsynligvis er nødvendig. Å ha juridisk representasjon under interne undersøkelser og interaksjoner med intern advokat kan også være et smart trekk.

Vurder D&O-forsikring

Forståelse og investering i forsikringer for styremedlemmer og offiserer (D&O) var et annet viktig aspekt som ble lagt vekt på av panelet. I møte med potensielle rettslige skritt kan det å ha D&O-dekning gi økonomisk beskyttelse for CISOer. Ekspertene anbefaler å gjøre deg kjent med dekningen, se etter eventuelle eksisterende krav, og til og med vurdere frittstående dekning for ekstra beskyttelse.

Omfavn de tre søylene: Juster, klargjør, eskaler

I denne nye æraen med økt håndheving av nettsikkerhet, rådes CISOer til å følge tre nøkkelpilarer: samkjøre, avklare og eskalere. Juster cybersikkerhetspraksis med anerkjente standarder, klargjør kommunikasjon med juridiske og FBI-kontakter, og eskaler bekymringer oppover i kommandokjeden. Disse pilarene danner grunnlaget for en proaktiv og beskyttende tilnærming til de utviklende utfordringene som cybersikkerhetsledere står overfor.

CISOer må ta proaktive tiltak nå

SolarWinds SEC-søksmålet har belyst de potensielle risikoene som cybersikkerhetsledere står overfor. CISOer oppfordres til å ta proaktive tiltak for å beskytte seg mot lovlig eksponering. Å bygge sterke allianser med generaladvokaten, etablere forbindelser med FBI, overholde cybersikkerhetsstandarder, skaffe D&O-forsikring og omfavne de tre pilarene justering, avklaring og eskalering er nøkkeltrinn for å navigere i utfordringene i denne nye tidsalderen for håndheving av cybersikkerhet. Ettersom landskapet fortsetter å utvikle seg, må CISO-er være årvåkne og godt forberedt for å sikre organisasjonens sikkerhet og ivareta sin egen profesjonelle status.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement