KOMENTARZ
30 października 2023 r. Komisja Papierów Wartościowych i Giełd (SEC) wstrząsnęła założeniami liderów bezpieczeństwa w różnych branżach, gdy złożył przełomowy pozew przed SolarWinds i jego dyrektor ds. bezpieczeństwa informacji (CISO). Wielu utożsamia to posunięcie z wybuchem bomby wobec osób pracujących na stanowisku CISO. Jest to także pierwszy raz, kiedy w pozwie SEC wezwano w ten sposób osobę z firmy.
Czy w związku z rozwojem sprawy rozumiesz swoją osobistą odpowiedzialność jako CISO? Jedno jest jasne: ta sprawa wysyła wiadomość. CISO stoją obecnie w obliczu bezprecedensowego potencjalnego ryzyka związanego z odpowiedzialnością, co powoduje potrzebę proaktywnego podejścia do zagrożeń prawnych dla kadry kierowniczej ds. bezpieczeństwa. Aby rzucić światło na tę złożoną kwestię, zgromadziliśmy w dyskusji panelowej ponad 60 CISO, byłych członków SEC i ekspertów prawnych. Przy rekrutacji panelistów do dyskusji na ten ważny temat kluczowe znaczenie miała wiedza i wiarygodność. Nasz cel był prosty: zapewnić społeczności CISO wiarygodne wskazówki i przejrzystość w zakresie zarządzania odpowiedzialnością.
Panel szczegółowo przeanalizował sprawę SolarWinds, zauważając, że SEC wydaje się skupiać na zaniedbaniach, a nie na rażących oszustwach. Chociaż obudowa jest przedstawiana jako agresywna, substancja może nie być tak wytrzymała. Eksperci sugerują, aby CISO potraktowali tę sprawę jako sygnał alarmowy, podkreślając potrzebę podjęcia proaktywnych środków i podejścia do cyberbezpieczeństwa w dobrej wierze.
Spostrzeżenia zebrane podczas tej dyskusji stanowią plan działania dla CISO, który pomoże im odnaleźć się w nowej erze egzekwowania cyberbezpieczeństwa. Oto kilka najważniejszych rad, których dowiedzieliśmy się z panelu.
Buduj silne sojusze z radcą prawnym
Jednym z pierwszych – i być może najbardziej krytycznym – wniosków z dyskusji panelowej jest znaczenie budowania silnych relacji przez CISO z radcą prawnym (GC). Zdaniem ekspertów GC może być kluczowym sojusznikiem w czasach kryzysu, zapewniając cenne wskazówki i wsparcie prawne. W następstwie sprawy SolarWinds zaleca się CISO, aby aktywnie współdziałali ze swoimi GC, zapewniając opartą na współpracy i dobrze przygotowaną reakcję na potencjalne wyzwania prawne.
Nawiąż kontakty z FBI
Kolejną istotną radą panelu jest jak najszybsze nawiązanie kontaktu z lokalnym biurem terenowym FBI. Przedstawiciel FBI biorący udział w dyskusji podkreślił znaczenie istniejących wcześniej relacji z FBI. Posiadanie kontaktu w FBI może okazać się pomocne w radzeniu sobie z sytuacjami podobnymi do przypadku SolarWinds. Zdaniem przedstawiciela FBI panelu, wszystko zależy od czynnika zaufania. Zauważyli również, że FBI postrzega firmy znajdujące się w takich sytuacjach jak ofiary, dlatego też CISO zachęca się do nawiązywania relacji z lokalnym biurem terenowym FBI na długo przed wystąpieniem kryzysu.
Zachowaj ostrożność w przestrzeganiu standardów
Panel podkreślił również znaczenie dostosowania praktyk w zakresie cyberbezpieczeństwa do obiektywnych standardów, takich jak te określone przez Narodowy Instytut Standardów i Technologii (NIST). SEC, jak pokazała sprawa SolarWinds, może żądać przedstawienia dowodu przestrzegania tych standardów. „Za każdym razem, gdy dostosowujesz się do obiektywnego standardu, takiego jak NIST, SEC będzie chciała na to dowodu” – zauważył jeden z naszych przedstawicieli SEC. Jeśli więc masz zamiar publicznie ogłosić, że stosujesz zestaw standardów, upewnij się również, że przestrzegasz wybranych standardów. CISO muszą prowadzić dokładną dokumentację, aby w razie potrzeby przedstawić dowody.
Koordynowanie doradców prawnych i dochodzeń wewnętrznych
Jeśli chodzi o radcę prawnego, kwestia tego, czy CISO potrzebuje własnego doradcy, spotkała się z różnymi opiniami panelu. Co zatem ma zrobić CISO? Panel zgodził się, że prawdopodobnie potrzebny będzie osobisty prawnik, zwłaszcza podczas wywiadów z SEC lub Departamentem Sprawiedliwości (DOJ). Mądrym posunięciem może być także posiadanie zastępstwa prawnego podczas dochodzeń wewnętrznych i kontaktów z wewnętrznym doradcą prawnym.
Rozważ ubezpieczenie D&O
Zrozumienie i inwestowanie w ubezpieczenia dyrektorów i urzędników (D&O) było kolejnym kluczowym aspektem podkreślonym przez panel. W obliczu potencjalnych działań prawnych posiadanie ubezpieczenia D&O może zapewnić ochronę finansową CISO. Eksperci zalecają zapoznanie się z zakresem ubezpieczenia, sprawdzenie istniejących roszczeń, a nawet rozważenie samodzielnego ubezpieczenia w celu zapewnienia dodatkowej ochrony.
Przyjmij trzy filary: wyrównaj, wyjaśnij, eskaluj
W nowej erze wzmożonego egzekwowania zasad cyberbezpieczeństwa zaleca się CISO przestrzeganie trzech kluczowych filarów: ujednolicanie, wyjaśnianie i eskalacja. Dostosuj praktyki cyberbezpieczeństwa do uznanych standardów, wyjaśnij komunikację z kontaktami prawnymi i FBI oraz eskaluj problemy w górę hierarchii dowodzenia. Filary te stanowią podstawę proaktywnego i ochronnego podejścia do zmieniających się wyzwań stojących przed osobami zarządzającymi cyberbezpieczeństwem.
CISO muszą już teraz podjąć proaktywne działania
Pozew SolarWinds SEC naświetlił potencjalne ryzyko, na jakie narażeni są dyrektorzy ds. cyberbezpieczeństwa. Wzywa się CISO do podjęcia proaktywnych działań w celu ochrony przed narażeniem prawnym. Budowanie silnych sojuszy z radcą prawnym, nawiązywanie powiązań z FBI, przestrzeganie standardów cyberbezpieczeństwa, uzyskiwanie ubezpieczenia D&O oraz stosowanie trzech filarów: dostosowania, wyjaśniania i eskalacji to kluczowe kroki w radzeniu sobie z wyzwaniami nowej ery egzekwowania cyberbezpieczeństwa. Ponieważ sytuacja stale ewoluuje, CISO muszą zachować czujność i być dobrze przygotowani, aby zapewnić bezpieczeństwo swoim organizacjom i chronić swoją pozycję zawodową.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 2023
- 30
- 60
- 7
- a
- O nas
- Stosownie
- w poprzek
- Działania
- w dodatku
- przylegać
- przyczepność
- przylegający
- Rada
- rozmyślny
- przed
- wiek
- agresywny
- uzgodniony
- pokrewny
- wyrównać
- justowanie
- wyrównanie
- Wszystkie kategorie
- Sojusze
- Sojusznik
- również
- an
- i
- Ogłosić
- Inne
- każdy
- pojawia się
- podejście
- SĄ
- AS
- aspekt
- Założenia
- tło
- BE
- zanim
- jest
- bomba
- przyniósł
- Budowanie
- by
- wezwanie
- nazywa
- CAN
- który
- walizka
- łańcuch
- wyzwania
- kontrola
- szef
- dyrektor ds. bezpieczeństwa informacji
- Dodaj
- CISO
- roszczenia
- klarowność
- jasny
- współpracy
- byliśmy spójni, od początku
- prowizja
- Komunikacja
- społeczność
- Firmy
- sukcesy firma
- kompleks
- Obawy
- połączenia
- wobec
- skontaktuj się
- łączność
- ciągły
- rada
- pokrycie
- Wiarygodność
- kryzys
- krytyczny
- istotny
- Bezpieczeństwo cybernetyczne
- Kreowanie
- wykazać
- Departament
- Ministerstwo Sprawiedliwości
- Departament Sprawiedliwości (DoJ)
- Dyrektorzy
- dyskutować
- dyskusja
- do
- dokumentacja
- DoJ
- podczas
- ogarnięcie
- podkreślił
- podkreślając
- zachęcać
- egzekwowanie
- zapewnić
- zapewnienie
- Era
- zwiększać
- eskalacja
- szczególnie
- niezbędny
- zapewniają
- ustanowienie
- Parzyste
- dowód
- ewoluuje
- ewoluuje
- wymiana
- kierownictwo
- Przede wszystkim system został opracowany
- eksperci
- Ekspozycja
- Twarz
- w obliczu
- czynnik
- fbi
- pole
- budżetowy
- Ochrona finansowa
- i terminów, a
- pierwszy raz
- Skupiać
- W razie zamówieenia projektu
- Nasz formularz
- Dawny
- Fundacja
- oszustwo
- od
- zebrane
- Ogólne
- cel
- będzie
- poradnictwo
- mający
- podwyższone
- tutaj
- Podświetlony
- HTTPS
- if
- znaczenie
- ważny
- in
- indywidualny
- przemysłowa
- Informacja
- bezpieczeństwo informacji
- spostrzeżenia
- Instytut
- instrumentalny
- ubezpieczenie
- Interakcje
- wewnętrzny
- wywiad
- Dochodzenia
- inwestowanie
- problem
- IT
- JEGO
- jpg
- PRAWO
- Klawisz
- punkt orientacyjny
- krajobraz
- proces sądowy
- prawnik
- Przywódcy
- dowiedziałem
- Regulamin
- Działania prawne
- eksperci prawni
- odpowiedzialność
- lekki
- lubić
- Prawdopodobnie
- miejscowy
- długo
- utrzymać
- i konserwacjami
- sposób
- wiele
- Może..
- środków
- Użytkownicy
- wiadomość
- jeszcze
- większość
- ruch
- musi
- narodowy
- Nawigacja
- żeglujący
- Potrzebować
- potrzebne
- wymagania
- Nowości
- nist
- zauważyć
- Zauważając
- już dziś
- cel
- uzyskiwanie
- paź
- of
- poza
- oferta
- Biurowe
- Oficer
- Oficerowie
- on
- ONE
- Opinie
- or
- organizacji
- ludzkiej,
- na zewnątrz
- opisane
- własny
- płyta
- panel dyskusyjny
- Ludzie
- może
- osobisty
- kawałek
- sztuk
- słupy
- plato
- Analiza danych Platona
- PlatoDane
- możliwy
- potencjał
- praktyki
- Proaktywne
- profesjonalny
- dowód
- chronić
- ochrona
- Ochronny
- zapewniać
- że
- publicznie
- raczej
- RE
- uznane
- polecić
- Rekrutacja
- związek
- Relacje
- reprezentacja
- przedstawiciel
- Przedstawiciele
- odpowiedź
- ryzyko
- mapa drogowa
- krzepki
- Rola
- s
- SEK
- pozew
- Papiery wartościowe
- Papierów Wartościowych i Giełd
- bezpieczeństwo
- wysyła
- zestaw
- budka
- potrząsnął
- znaczenie
- podobny
- Prosty
- sytuacje
- mądry
- So
- SolarWinds
- kilka
- wkrótce
- standalone
- standard
- standardy
- stojący
- pobyt
- Cel
- silny
- substancja
- taki
- sugerować
- wsparcie
- Brać
- Takeaways
- Technologia
- niż
- że
- Połączenia
- Krajobraz
- ich
- sami
- Te
- one
- rzecz
- to
- tych
- trzy
- czas
- czasy
- do
- razem
- aktualny
- Zaufaj
- zrozumieć
- rozkładanie
- bez precedensu
- za pomocą
- Cenny
- zmienne
- Ofiary
- widoki
- istotny
- Budzić
- chcieć
- była
- we
- były
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- Podczas
- dlaczego
- będzie
- w
- w ciągu
- pracujący
- You
- Twój
- siebie
- zefirnet