Pergunta: Como os CISOs podem acompanhar as mudanças nas regulamentações de segurança cibernética?
Ilona Cohen, Diretora Jurídica e de Políticas, HackerOne: Nunca é um momento fácil para ser um diretor de segurança da informação (CISO), mas os últimos meses foram particularmente desafiadores. Aos factores de stress habituais do trabalho – como o aumento contínuo dos ataques de ransomware e a difusão das ameaças internas – podemos agora adicionar um maior escrutínio da aplicação regulamentar.
A recente acusações da Comissão de Segurança e Câmbio dos EUA (SEC) contra o CISO da SolarWinds é a primeira vez que um CISO é apontado desta forma pela agência. Isto sugere uma maior tendência de aumento da responsabilização para indivíduos encarregados de gerenciar programas de segurança organizacional.
Além disso, as empresas negociadas nas bolsas dos EUA devem cumprir a nova divulgação de segurança cibernética da SEC e regras para relatórios de incidentes começando agora, e as pequenas empresas qualificadas devem cumprir as regras de comunicação de incidentes na primavera de 2024. Estas mudanças colocam os programas de segurança organizacional sob um escrutínio ainda maior e aumentam a carga de responsabilidades que os CISOs devem monitorizar.
Não é nenhuma surpresa que muitos CISOs estejam sentindo mais pressão do que nunca.
Este novas regras e responsabilidades não precisam necessariamente ser um obstáculo ao trabalho de um CISO — na verdade, podem realmente ser uma fonte de apoio para os CISOs. As regras da SEC sobre divulgações e incidentes de segurança cibernética têm sido historicamente um tanto difíceis de discernir. Ao esclarecer os requisitos para a divulgação de programas de gestão de riscos de segurança, governança e incidentes cibernéticos, a SEC está fornecendo um guia aos CISOs.
Além disso, as crescentes expectativas da SEC em relação à gestão e governança de riscos podem dar maior posição aos CISOs exigir recursos e processos internos para atender a essas expectativas. Os novos requisitos para que as empresas cotadas na bolsa divulguem práticas de gestão de risco aos investidores criam incentivos adicionais para reforçar as defesas proativas de cibersegurança. Mesmo antes de entrarem em vigor, as novas regras da SEC aumentaram a consciencialização sobre as práticas de segurança cibernética entre os conselhos de administração das empresas e a liderança das empresas não pertencentes ao CISO, o que provavelmente se traduzirá em recursos de segurança cibernética mais expansivos.
As empresas públicas com programas de segurança robustos que incluem a identificação e mitigação contínua de vulnerabilidades podem ser mais atraentes para os investidores do ponto de vista da gestão de riscos, da maturidade da segurança e da governação corporativa. Ao mesmo tempo, as empresas que adotam uma postura proativa para reduzir os riscos de segurança — por exemplo, implementando e fornecendo recursos adequados às melhores práticas de segurança cibernética, como as contidas nas ISOs 27001, 29147 e 30111 — têm menos probabilidade de sofrer ataques cibernéticos materiais que prejudiquem a marca da empresa. .
Este novo cenário regulatório representa uma oportunidade para os CISOs fazerem um balanço dos seus procedimentos de relatórios internos e garantirem que estão em conformidade. Se as empresas cotadas em bolsa ainda não tiverem procedimentos para encaminhar questões de segurança significativas para a gestão executiva, estes processos devem ser estabelecidos imediatamente. Os CISOs devem ajudar a preparar divulgações sobre os processos de gestão de riscos da empresa e também ajudar a garantir a declarações públicas da empresa sobre segurança são precisos, completos e não enganosos.
De acordo com a nova regra da SEC, as empresas públicas devem divulgar no prazo de quatro dias úteis qualquer incidente de segurança cibernética considerado “material”. Mas muitos responsáveis pela resposta a incidentes questionam-se sobre o que significa ser “material”, especialmente quando a SEC se recusou a adotar uma definição de “materialidade” relacionada com a segurança cibernética na regra e manteve a norma familiar a investidores e empresas públicas. Um incidente é “material” se a informação sobre esse incidente for algo em que um acionista razoável teria confiado para tomar decisões de investimento informadas ou quando teria alterado significativamente a “combinação total” de informações disponíveis ao acionista.
Em termos práticos, determinar o que é e o que não é material nem sempre é óbvio. Embora um atendente de incidentes possa ser usado para avaliar as implicações de segurança de um incidente, como quantos registros foram afetados, quantos usuários não autorizados tiveram acesso ou que tipo de informação estava em risco, ele pode estar menos acostumado a pensar no contexto mais amplo. implicações para a empresa. É por isso que muitas empresas estão implementando protocolos — como o encaminhamento a um comitê interno composto por profissionais de segurança, advogados e membros do alto escalão — para avaliar não apenas o risco de segurança causado por um incidente, mas o impacto para a empresa em geral. É mais provável que uma equipe interdisciplinar seja capaz de avaliar se o incidente expõe uma empresa a responsabilidades, afeta a posição financeira da empresa, perturba o relacionamento entre a empresa e seus clientes ou afeta as operações da empresa devido a acesso não autorizado ou interrupção no serviço, todos dos quais são relevantes para a determinação da materialidade.
Com alguns ajustes cuidadosos nos procedimentos operacionais padrão, os CISOs podem adaptar-se eficazmente a este novo clima regulamentar sem aumentar drasticamente as cargas de trabalho ou agravar os já elevados níveis de stress.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- :tem
- :é
- :não
- $UP
- 2024
- 27001
- 7
- a
- Capaz
- Sobre
- Acesso
- preciso
- adaptar
- adicionar
- Adição
- Adicional
- ajustes
- adotar
- contra
- agência
- Todos os Produtos
- já
- tb
- alteradas
- sempre
- entre
- an
- e
- qualquer
- adequadamente
- SOMOS
- por aí
- AS
- avaliar
- Avaliando
- At
- Ataques
- atraente
- disponível
- consciência
- BE
- sido
- antes
- MELHOR
- melhores práticas
- entre
- interesse?
- mais amplo
- negócio
- mas a
- by
- C-suite
- CAN
- causado
- desafiante
- Alterações
- mudança
- carregar
- chefe
- diretor de segurança da informação
- CISO
- Clima
- cohen
- comitê
- Empresas
- Empresa
- obedecer
- contida
- continuamente
- Responsabilidade
- crio
- Clientes
- cibernético
- ataques cibernéticos
- Cíber segurança
- dano
- dias
- decisões
- considerado
- definição
- Demanda
- determinação
- discernir
- Divulgar
- Divulgando
- divulgação
- Rompimento
- do
- drasticamente
- dois
- fácil
- efeito
- efetivamente
- aplicação
- garantir
- escalar
- especialmente
- estabelecido
- Mesmo
- SEMPRE
- exemplo
- exchange
- Trocas
- executivo
- gestão executiva
- expansivo
- expectativas
- fato
- familiar
- sentindo-me
- erro
- poucos
- financeiro
- Primeiro nome
- primeira vez
- Escolha
- quatro
- da
- governo
- maior
- tinha
- Queijos duros
- Ter
- intensificada
- ajudar
- Alta
- obstáculo
- historicamente
- Como funciona o dobrador de carta de canal
- HTTPS
- identificar
- if
- imediatamente
- Impacto
- impactada
- implementação
- implicações
- in
- incentivos
- incidente
- incluir
- Crescimento
- aumentou
- aumentando
- indivíduos
- INFORMAÇÕES
- segurança da informação
- informado
- Informante
- interno
- para dentro
- investimento
- Investidores
- isn
- questões
- IT
- ESTÁ
- Trabalho
- jpg
- apenas por
- Guarda
- manteve
- paisagem
- Maior
- Advogados
- Liderança
- Legal
- menos
- níveis
- responsabilidade
- como
- Provável
- carregar
- moldadas
- fazer
- de grupos
- gestão
- muitos
- material
- maturidade
- Posso..
- significa
- Conheça
- Membros
- enganosa
- mitigando
- misturar
- mês
- mais
- devo
- necessariamente
- você merece...
- nunca
- Novo
- não
- agora
- óbvio
- of
- Oficial
- on
- contínuo
- operando
- Operações
- Oportunidade
- or
- organizacional
- Fora
- global
- particularmente
- passado
- perspectivas
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- Privacidade
- posição
- práticas
- Preparar
- pressão
- Proactive
- procedimentos
- processos
- Programas
- protocolos
- fornecendo
- público
- empresas públicas
- publicamente
- colocar
- Colocar
- de qualificação
- ransomware
- Ataques de Ransomware
- RE
- razoável
- recentemente
- registros
- redução
- Referência
- regulamentos
- reguladores
- paisagem regulatória
- relacionamento
- relevante
- Relatórios
- representa
- Requisitos
- Recursos
- responsabilidades
- Risco
- gestão de risco
- uma conta de despesas robusta
- Regra
- regras
- s
- mesmo
- escrutínio
- SEC
- segurança
- gerenciamento de riscos de segurança
- serviço
- acionista
- rede de apoio social
- periodo
- de forma considerável
- menor
- SolarWinds
- alguns
- algo
- um pouco
- fonte
- falando
- primavera
- posição
- padrão
- Comece
- declarações
- estoque
- Fortalecer
- estresse
- tal
- Sugere
- ajuda
- certo
- surpresa
- Tire
- Profissionais
- do que
- que
- A
- deles
- Este
- deles
- Pensando
- isto
- aqueles
- ameaças
- tempo
- para
- Total
- pista
- negociadas
- traduzir
- tipo
- não autorizado
- para
- us
- usava
- usuários
- habitual
- vulnerabilidades
- foi
- Caminho..
- we
- fui
- foram
- O Quê
- O que é a
- quando
- se
- qual
- enquanto
- porque
- precisarão
- de
- dentro
- sem
- perguntando
- Atividades:
- seria
- zefirnet
