Întrebare: Cum pot CISO să țină pasul cu schimbarea reglementărilor de securitate cibernetică?
Ilona Cohen, Chief Legal and Policy Officer, HackerOne: Nu este niciodată un moment ușor să fii ofițer șef de securitate a informațiilor (CISO), dar ultimele luni s-au simțit deosebit de provocatoare. La factorii de stres obișnuiți ai meseriei - cum ar fi creșterea continuă a atacurilor ransomware și amploarea amenințărilor interne - putem adăuga acum un control sporit de aplicare a reglementărilor.
Recente taxe de la Comisia de Securitate și Schimb din SUA (SEC) împotriva CISO al SolarWinds este pentru prima dată când un CISO este identificat în acest fel de către agenție. Acest lucru sugerează o mai mare tendință de creștere a răspunderii pentru persoanele responsabile cu gestionarea programelor de securitate organizațională.
În plus, companiile tranzacționate la bursele din SUA trebuie să respecte noua dezvăluire a SEC privind securitatea cibernetică și regulile de raportare a incidentelor începând de acum, iar companiile mai mici care se califică trebuie să respecte regulile de raportare a incidentelor în primăvara anului 2024. Aceste schimbări pun programele de securitate organizațională sub un control și mai mare și adaugă la încărcătura de responsabilități pe care CISO trebuie să le urmărească.
Nu este surprinzător faptul că mulți CISO simt mai multă presiune ca niciodată.
Acestea noi reguli și obligații nu trebuie neapărat să fie o piedică în activitatea unui CISO – de fapt, ele pot fi de fapt o sursă de sprijin pentru CISO. Regulile SEC cu privire la dezvăluirile și incidentele de securitate cibernetică au fost oarecum greu de identificat. Prin clarificarea cerințelor pentru dezvăluirea programelor de management al riscului de securitate, guvernanței și incidentelor cibernetice, SEC furnizează CISO un ghid.
În plus, așteptările crescute ale SEC pentru managementul riscului și guvernanță ar putea acordă CISO-urilor o mai mare poziție să solicite resurse și procese interne pentru a satisface aceste așteptări. Noile cerințe pentru companiile cotate la bursă de a dezvălui investitorilor practicile de gestionare a riscurilor creează stimulente suplimentare pentru a consolida apărarea proactivă a securității cibernetice. Chiar înainte de a intra în vigoare, noile reguli ale SEC au sporit gradul de conștientizare a practicilor de securitate cibernetică în rândul consiliilor de administrație ale companiei și al conducerii companiilor non-CISO, ceea ce se va traduce probabil într-o resurse mai extinse de securitate cibernetică.
Companiile publice cu programe de securitate robuste care includ identificarea și atenuarea continuă a vulnerabilităților pot fi mai atractive pentru investitori din perspectiva managementului riscului, maturității securității și guvernanței corporative. În același timp, companiile care adoptă o atitudine proactivă în ceea ce privește reducerea riscului de securitate – de exemplu, implementând și dotând cu resurse adecvate cele mai bune practici de securitate cibernetică, cum ar fi cele conținute în ISO 27001, 29147 și 30111 – sunt mai puțin susceptibile de a suferi atacuri cibernetice materiale care dăunează mărcii companiei. .
Acest nou peisaj de reglementare reprezintă o oportunitate pentru CISO de a face bilanțul procedurilor lor interne de raportare și de a se asigura că sunt la înălțime. Dacă companiile cotate la bursă nu au deja proceduri de escaladare a problemelor semnificative de securitate către conducerea executivă, aceste procese ar trebui stabilite imediat. CISO ar trebui să ajute la pregătirea dezvăluirilor despre procesele de management al riscului companiei și, de asemenea, să contribuie la asigurarea declarațiile publice ale companiei despre securitate sunt precise, complete și nu induc în eroare.
Conform noii reguli SEC, companiile publice trebuie să dezvăluie în termen de patru zile lucrătoare orice incident de securitate cibernetică considerat „material”. Dar mulți respondenți la incident se întreabă ce înseamnă a fi „material”, mai ales atunci când SEC a refuzat să adopte o definiție legată de securitatea cibernetică a „materialității” în regulă și a păstrat standardul familiar investitorilor și companiilor publice. Un incident este „material” dacă informațiile despre acel incident sunt ceva pe care un acționar rezonabil s-ar fi bazat pentru a lua decizii de investiții în cunoștință de cauză sau atunci când ar fi modificat în mod semnificativ „mixul total” de informații disponibile pentru acționar.
Practic vorbind, stabilirea a ceea ce este și ce nu este material nu este întotdeauna evident. În timp ce un răspuns la incident poate fi folosit pentru a evalua implicațiile de securitate ale unui incident, cum ar fi câte înregistrări au fost afectate, câți utilizatori neautorizați au avut acces sau ce tip de informații erau în pericol, aceștia ar putea fi mai puțin obișnuiți să se gândească la o mai mare măsură. implicatii pentru companie. De aceea, multe companii pun în aplicare protocoale - cum ar fi trimiterea către un comitet intern format din profesioniști în securitate, avocați și membri ai C-suite - pentru a evalua nu doar riscul de securitate cauzate de un incident, dar impactul asupra companiei în ansamblu. O echipă interdisciplinară este mai probabil să poată evalua dacă incidentul expune o companie la răspundere, afectează poziția financiară a companiei, perturbă relația dintre companie și clienții săi sau afectează operațiunile companiei din cauza accesului neautorizat sau a întreruperii serviciului, toate dintre care sunt relevante pentru determinarea semnificației.
Cu unele ajustări conștiincioase ale procedurilor standard de operare, CISO se pot adapta în mod eficient la acest nou climat de reglementare fără a crește drastic volumul de muncă sau a agrava nivelurile deja ridicate de stres.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- :are
- :este
- :nu
- $UP
- 2024
- 27001
- 7
- a
- Capabil
- Despre Noi
- acces
- precis
- de fapt
- adapta
- adăuga
- plus
- Suplimentar
- ajustări
- adopta
- împotriva
- agenție
- TOATE
- deja
- de asemenea
- modificate
- mereu
- printre
- an
- și
- Orice
- în mod corespunzător
- SUNT
- în jurul
- AS
- evalua
- evaluarea
- At
- Atacuri
- atractiv
- disponibil
- gradului de conştientizare
- BE
- fost
- înainte
- CEL MAI BUN
- Cele mai bune practici
- între
- marca
- mai larg
- afaceri
- dar
- by
- C-suite
- CAN
- cauzată
- provocare
- Modificări
- schimbarea
- taxă
- şef
- ofițer de securitate a informațiilor
- CISO
- Climat
- Cohen
- comitet
- Companii
- companie
- se conforma
- conținute
- continuu
- Istoria
- crea
- clienţii care
- Cyber
- atacuri cibernetice
- Securitate cibernetică
- prejudiciu
- Zi
- Deciziile
- considerate
- definiție
- Cerere
- determinare
- discerne
- dezvălui
- Dezvăluirea
- dezvăluire
- Ruptură
- do
- drastic
- două
- uşor
- efect
- în mod eficient
- executare
- asigura
- escalada
- mai ales
- stabilit
- Chiar
- EVER
- exemplu
- schimb
- Platforme de tranzacţionare
- executiv
- conducerea executivă
- expansiv
- aşteptări
- fapt
- familiar
- senzaţie
- eroare
- puțini
- financiar
- First
- prima dată
- Pentru
- patru
- din
- guvernare
- mai mare
- HAD
- Greu
- Avea
- sporit
- ajutor
- Înalt
- împiedicare
- istoricește
- Cum
- HTTPS
- identificarea
- if
- imediat
- Impactul
- afectate
- Punere în aplicare a
- implicații
- in
- stimulente
- incident
- include
- Crește
- a crescut
- crescând
- persoane fizice
- informații
- securitatea informațiilor
- informat
- Inițiat
- intern
- în
- investiţie
- Investitori
- ISN
- probleme de
- IT
- ESTE
- Loc de munca
- jpg
- doar
- A pastra
- ținut
- peisaj
- mai mare
- avocaţi
- Conducere
- Legal
- mai puțin
- nivelurile de
- răspundere
- ca
- Probabil
- încărca
- făcut
- face
- administrare
- de conducere
- multe
- material
- scadență
- Mai..
- mijloace
- Întâlni
- Membri actuali
- derutant
- atenuant
- amesteca
- luni
- mai mult
- trebuie sa
- în mod necesar
- Nevoie
- nu
- Nou
- Nu.
- acum
- evident
- of
- Ofiţer
- on
- în curs de desfășurare
- de operare
- Operațiuni
- Oportunitate
- or
- de organizare
- afară
- global
- în special
- trecut
- perspective
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- Politica
- poziţie
- practicile
- Pregăti
- presiune
- Proactivă
- Proceduri
- procese
- profesioniști
- Programe
- protocoale
- furnizarea
- public
- companii publice
- public
- pune
- Punând
- de calificare
- Ransomware
- Atacuri Ransomware
- RE
- rezonabil
- recent
- înregistrări
- reducerea
- Referire
- regulament
- autoritățile de reglementare
- peisajul de reglementare
- relaţie
- Raportarea
- reprezintă
- Cerinţe
- Resurse
- responsabilităţi
- Risc
- de gestionare a riscurilor
- robust
- Regula
- norme
- s
- acelaşi
- control
- SEC
- securitate
- managementul riscului de securitate
- serviciu
- acționar
- să
- semnificativ
- semnificativ
- mai mici
- SolarWinds
- unele
- ceva
- oarecum
- Sursă
- vorbire
- primăvară
- atitudine
- standard
- Pornire
- Declarații
- stoc
- A intari
- stres
- astfel de
- sugerează
- a sustine
- sigur
- surpriză
- Lua
- echipă
- decât
- acea
- lor
- Acestea
- ei
- Gândire
- acest
- aceste
- amenințări
- timp
- la
- Total
- urmări
- firmei
- Traduceți
- tip
- neautorizat
- în
- us
- utilizat
- utilizatorii
- ca de obicei
- Vulnerabilitățile
- a fost
- Cale..
- we
- a mers
- au fost
- Ce
- Ce este
- cand
- dacă
- care
- în timp ce
- de ce
- voi
- cu
- în
- fără
- întrebam
- Apartamente
- ar
- zephyrnet
