Co muszą zrobić CISO, aby spełnić nowe regulacje SEC?

Pytanie: W jaki sposób CISO mogą nadążać za zmieniającymi się przepisami dotyczącymi cyberbezpieczeństwa?

Ilona Cohen, dyrektor ds. prawnych i politycznych w HackerOne: Bycie dyrektorem ds. bezpieczeństwa informacji (CISO) nigdy nie jest łatwym czasem, ale ostatnie kilka miesięcy było szczególnie trudne. Do typowych czynników stresogennych związanych z pracą — takich jak ciągły wzrost liczby ataków oprogramowania ransomware i wszechobecność zagrożeń wewnętrznych — możemy teraz dodać wzmożoną kontrolę egzekwowania prawa.

Niedawna opłaty nałożone przez amerykańską Komisję Bezpieczeństwa i Giełd (SEC) przeciwko CISO SolarWinds to pierwszy raz, kiedy agencja wyróżniła CISO w ten sposób. Sugeruje to większą trend zwiększonej odpowiedzialności dla osób odpowiedzialnych za zarządzanie programami bezpieczeństwa organizacji.

Ponadto spółki notowane na giełdach w USA muszą przestrzegać nowych ujawnień dotyczących cyberbezpieczeństwa SEC oraz zasady zgłaszania incydentów zaczynają się już teraz, a kwalifikujące się mniejsze firmy będą musiały zastosować się do zasad zgłaszania incydentów wiosną 2024 r. Zmiany te poddają programy bezpieczeństwa organizacyjnego jeszcze większej kontroli i zwiększają zakres obowiązków, które muszą śledzić CISO.

Nic dziwnego, że wielu CISO odczuwa większą presję niż kiedykolwiek wcześniej.

Te nowe zasady i obowiązki niekoniecznie muszą być przeszkodą w pracy CISO – w rzeczywistości mogą być źródłem wsparcia dla CISO. Przepisy SEC dotyczące ujawniania informacji i incydentów związanych z cyberbezpieczeństwem były w przeszłości dość trudne do rozróżnienia. Wyjaśniając wymogi dotyczące ujawniania programów zarządzania ryzykiem bezpieczeństwa, zarządzania i incydentów cybernetycznych, SEC udostępnia CISO przewodnik.

Ponadto zwiększone oczekiwania SEC w zakresie zarządzania ryzykiem i zarządzania mogą zapewnić CISO większą pozycję wymagać wewnętrznych zasobów i procesów, aby sprostać tym oczekiwaniom. Nowe wymogi wobec spółek notowanych na giełdzie dotyczące ujawniania inwestorom praktyk zarządzania ryzykiem stwarzają dodatkową zachętę do wzmacniania proaktywnych zabezpieczeń cybernetycznych. Nowe zasady SEC jeszcze zanim weszły w życie, zwiększyły świadomość praktyk w zakresie cyberbezpieczeństwa wśród zarządów spółek i kierownictwa firm spoza CISO, co prawdopodobnie przełoży się na większe zasoby w zakresie cyberbezpieczeństwa.

Spółki publiczne posiadające solidne programy bezpieczeństwa, które obejmują ciągłą identyfikację i łagodzenie luk w zabezpieczeniach, mogą być bardziej atrakcyjne dla inwestorów z punktu widzenia zarządzania ryzykiem, dojrzałości bezpieczeństwa i ładu korporacyjnego. Jednocześnie firmy, które przyjmują proaktywną postawę w celu zmniejszenia ryzyka bezpieczeństwa – na przykład wdrażając najlepsze praktyki w zakresie cyberbezpieczeństwa i odpowiednio wyposażając je w zasoby, takie jak te zawarte w normach ISO 27001, 29147 i 30111 – są mniej narażone na materialne cyberataki szkodzące marce firmy .

Ten nowy krajobraz regulacyjny stanowi dla CISO okazję do podsumowania swoich wewnętrznych procedur raportowania i upewnienia się, że są one na odpowiednim poziomie. Jeżeli spółki notowane na giełdzie nie posiadają jeszcze procedur umożliwiających eskalację istotnych kwestii związanych z bezpieczeństwem do kadry kierowniczej, procesy te należy wdrożyć natychmiast. CISO powinni pomóc w przygotowaniu ujawnień na temat procesów zarządzania ryzykiem w firmie, a także pomóc zapewnić publiczne oświadczenia spółki dotyczące bezpieczeństwa są dokładne, wyczerpujące i nie wprowadzają w błąd.

Zgodnie z nowymi przepisami SEC spółki publiczne muszą ujawnić w ciągu czterech dni roboczych wszelkie incydenty związane z cyberbezpieczeństwem uznane za „istotne”. Jednak wiele osób reagujących na incydenty zastanawia się, co to znaczy być „istotnym”, zwłaszcza gdy SEC odmówiła przyjęcia w przepisach definicji „istotności” związanej z cyberbezpieczeństwem i pozostawiła standard znany inwestorom i spółkom publicznym. Zdarzenie jest „istotne”, jeżeli rozsądny akcjonariusz mógłby się na nim oprzeć przy podejmowaniu świadomych decyzji inwestycyjnych lub gdy znacząco zmieniłoby to „całkowity zestaw” informacji dostępnych dla akcjonariusza.

Praktycznie rzecz biorąc, określenie, co jest, a co nie jest materialne nie zawsze jest oczywiste. Chociaż osobę reagującą na incydent można wykorzystać do oceny konsekwencji incydentu w zakresie bezpieczeństwa, np. liczby dotkniętych zapisów, ilu nieautoryzowanych użytkowników miało dostęp lub jakiego rodzaju informacje były zagrożone, może ona być mniej przyzwyczajona do myślenia o szerszej perspektywie konsekwencje dla firmy. Dlatego wiele firm wdraża protokoły — takie jak skierowanie sprawy do wewnętrznej komisji składającej się ze specjalistów ds. bezpieczeństwa, prawników i członków kadry kierowniczej — w celu oceny nie tylko zagrożenie bezpieczeństwa spowodowane incydentem, ale ogólny wpływ na firmę. Zespół interdyscyplinarny z większym prawdopodobieństwem będzie w stanie ocenić, czy zdarzenie naraża firmę na odpowiedzialność, wpływa na jej sytuację finansową, zakłóca relacje pomiędzy firmą a jej klientami, czy też wpływa na działalność firmy ze względu na nieuprawniony dostęp lub zakłócenia w świadczeniu usług, wszystko to z nich są istotne dla określenia istotności.

Dzięki świadomemu dostosowaniu standardowych procedur operacyjnych CISO mogą skutecznie dostosować się do nowego klimatu regulacyjnego bez drastycznego zwiększania obciążenia pracą lub pogłębiania i tak już wysokiego poziomu stresu.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-