Hva må CISOer gjøre for å møte nye SEC-forskrifter?

Spørsmål: Hvordan kan CISO-er holde tritt med endrede cybersikkerhetsbestemmelser?

Ilona Cohen, sjef for juridisk og politikk, HackerOne: Det er aldri en lett tid å være Chief Information Security Officer (CISO), men de siste månedene har vært spesielt utfordrende. Til de vanlige stressfaktorene i jobben – som den pågående økningen i løsepengevare-angrep og utbredelsen av innsidetrusler – kan vi nå legge til økt kontroll av reguleringshåndhevelse.

den nylige anklager fra US Security and Exchange Commission (SEC) mot SolarWinds' CISO er første gang en CISO blir skilt ut på denne måten av byrået. Dette antyder en større trend med økt ansvarlighet for personer med ansvar for å administrere organisatoriske sikkerhetsprogrammer.

I tillegg må selskaper som handles på amerikanske børser overholde SECs nye cybersikkerhetsavsløring og hendelsesrapporteringsreglene starter nå, og kvalifiserte mindre selskaper må overholde reglene for hendelsesrapportering våren 2024. Disse endringene setter organisatoriske sikkerhetsprogrammer under enda større gransking og øker belastningen av ansvar CISOer må spore.

Det er ingen overraskelse at mange CISOer føler mer press enn noen gang.

Disse nye regler og ansvar trenger ikke nødvendigvis å være en hindring for en CISOs arbeid – faktisk kan de faktisk være en kilde til støtte for CISOer. SEC-regler rundt cybersikkerhetsavsløringer og hendelser har historisk sett vært noe vanskelig å se. Ved å klargjøre kravene til avsløring av sikkerhetsrisikostyringsprogrammer, styring og cyberhendelser, gir SEC CISOer en guidebok.

I tillegg kan SECs økte forventninger til risikostyring og styring gi CISOs større status å kreve interne ressurser og prosesser for å møte disse forventningene. Nye krav til børsnoterte selskaper om å avsløre risikostyringspraksis til investorer skaper ytterligere insentiver for å styrke proaktive nettsikkerhetsforsvar. Selv før de trådte i kraft, har SECs nye regler økt bevisstheten om cybersikkerhetspraksis blant selskapsstyrer og ikke-CISO-selskapsledelse, noe som sannsynligvis vil føre til mer ekspansiv cybersikkerhetsressurs.

Offentlige selskaper med robuste sikkerhetsprogrammer som inkluderer kontinuerlig identifisering og reduksjon av sårbarheter kan være mer attraktive for investorer fra risikostyring, sikkerhetsmodenhet og selskapsstyringsperspektiver. Samtidig er det mindre sannsynlighet for at selskaper som tar en proaktiv holdning til å redusere sikkerhetsrisiko – for eksempel implementerer og ressurser til beste praksis for cybersikkerhet som de som finnes i ISO 27001, 29147 og 30111 – blir utsatt for materielle cyberangrep som skader selskapets merkevare. .

Dette nye regulatoriske landskapet representerer en mulighet for CISOer til å gjøre oversikt over sine interne rapporteringsprosedyrer og sørge for at de er på nivå. Hvis børsnoterte selskaper ikke allerede har prosedyrer for å eskalere vesentlige sikkerhetsspørsmål til den daglige ledelsen, bør disse prosessene etableres umiddelbart. CISOer bør bidra til å utarbeide avsløringer om selskapets risikostyringsprosesser, og også bidra til å sikre selskapets offentlige uttalelser om sikkerhet er nøyaktige, fyldige og ikke villedende.

I henhold til den nye SEC-regelen må offentlige selskaper avsløre innen fire virkedager enhver cybersikkerhetshendelse som anses som «vesentlig». Men mange som reagerer på hendelser lurer på hva det vil si å være «materiell», spesielt når SEC nektet å vedta en cybersikkerhetsrelatert definisjon av «vesentlighet» i regelen og holdt standarden kjent for investorer og offentlige selskaper. En hendelse er "vesentlig" hvis informasjon om den hendelsen er noe en fornuftig aksjonær ville ha stolt på for å ta informerte investeringsbeslutninger, eller når den i betydelig grad ville endret den "totale blandingen" av informasjon tilgjengelig for aksjonæren.

Praktisk sett, bestemme hva som er og ikke er vesentlig er ikke alltid åpenbart. Selv om en hendelsesreaksjon kan brukes til å vurdere sikkerhetsimplikasjonene av en hendelse, for eksempel hvor mange poster som ble påvirket, hvor mange uautoriserte brukere som hadde tilgang, eller hvilken type informasjon som var i faresonen, kan de være mindre vant til å tenke på det bredere. implikasjoner for selskapet. Det er grunnen til at mange selskaper setter på plass protokoller – for eksempel henvisning til en intern komité bestående av sikkerhetseksperter, advokater og medlemmer av C-suiten – for å vurdere ikke bare sikkerhetsrisikoen forårsaket av en hendelse, men innvirkningen på selskapet totalt sett. Et tverrfaglig team er mer sannsynlig å kunne vurdere om hendelsen utsetter et selskap for ansvar, påvirker selskapets økonomiske stilling, forstyrrer forholdet mellom selskapet og dets kunder, eller påvirker selskapets drift på grunn av uautorisert tilgang eller forstyrrelse i tjenesten, alt hvorav er relevante for vesentlighetsfastsettelsen.

Med noen samvittighetsfulle justeringer av standard driftsprosedyrer, kan CISO-er effektivt tilpasse seg dette nye regulatoriske klimaet uten drastisk å øke arbeidsbelastningen eller forsterke allerede høye nivåer av stress.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-