Что должны сделать директора по информационной безопасности, чтобы соответствовать новым правилам SEC?

Вопрос: Как директора по информационной безопасности могут идти в ногу с меняющимися правилами кибербезопасности?

Илона Коэн, директор по правовым вопросам и политике HackerOne: Быть директором по информационной безопасности (CISO) никогда не было легким временем, но последние несколько месяцев оказались особенно трудными. К обычным стрессовым факторам работы — таким как продолжающийся рост атак с использованием программ-вымогателей и повсеместное распространение инсайдерских угроз — теперь мы можем добавить усиленный контроль со стороны регулирующих органов.

Недавняя обвинения Комиссии по ценным бумагам и биржам США (SEC) против директора по информационной безопасности SolarWinds — это первый случай, когда агентство выделяет директора по информационной безопасности таким образом. Это предполагает более крупный тенденция повышения ответственности для лиц, отвечающих за управление программами безопасности организации.

Кроме того, компании, акции которых торгуются на биржах США, должны соблюдать новые требования SEC по раскрытию информации о кибербезопасности и правила сообщения об инцидентах начинаются сейчас, а небольшие компании, соответствующие критериям, должны соблюдать правила отчетности об инцидентах весной 2024 года. Эти изменения ставят программы безопасности организаций под еще более тщательный контроль и увеличивают нагрузку, которую должны отслеживать директора по информационной безопасности.

Неудивительно, что многие директора по информационной безопасности чувствуют большее давление, чем когда-либо.

Эти новые правила и обязательства не обязательно должны быть помехой в работе директора по информационной безопасности — на самом деле они могут быть источником поддержки для директора по информационной безопасности. Правила SEC относительно раскрытия информации и инцидентов в сфере кибербезопасности исторически было довольно сложно различить. Разъясняя требования к раскрытию программ управления рисками безопасности, управления и киберинцидентов, SEC предоставляет директорам по информационной безопасности руководство.

Кроме того, возросшие ожидания SEC в отношении управления рисками и корпоративного управления могут дать директорам по информационной безопасности более высокий статус требовать внутренних ресурсов и процессов для удовлетворения этих ожиданий. Новые требования к публичным компаниям раскрывать инвесторам методы управления рисками создают дополнительные стимулы для усиления превентивной защиты от кибербезопасности. Еще до того, как они вступили в силу, новые правила SEC повысили осведомленность о методах кибербезопасности среди советов директоров компаний и руководства компаний, не входящих в CISO, что, вероятно, приведет к увеличению ресурсов в области кибербезопасности.

Публичные компании с надежными программами безопасности, включающими постоянное выявление и устранение уязвимостей, могут быть более привлекательными для инвесторов с точки зрения управления рисками, зрелости безопасности и корпоративного управления. В то же время компании, которые занимают активную позицию по снижению риска безопасности — например, внедряют и обеспечивают надлежащим образом передовые методы кибербезопасности, такие как те, которые содержатся в ISO 27001, 29147 и 30111 — с меньшей вероятностью пострадают от существенных кибератак, которые наносят ущерб бренду компании. .

Эта новая нормативно-правовая база предоставляет директорам по информационной безопасности возможность подвести итоги своих процедур внутренней отчетности и убедиться, что они находятся на должном уровне. Если в публичных компаниях еще нет процедур для передачи важных вопросов безопасности высшему руководству, эти процессы должны быть установлены немедленно. Директора по информационной безопасности должны помочь подготовить раскрытие информации о процессах управления рисками компании, а также обеспечить публичные заявления компании о безопасности являются точными, полными и не вводят в заблуждение.

Согласно новому правилу SEC, публичные компании должны в течение четырех рабочих дней раскрывать информацию о любом инциденте кибербезопасности, который считается «существенным». Но многие специалисты по реагированию на инциденты задаются вопросом, что значит быть «существенным», особенно после того, как SEC отказалась принять определение «существенности», связанное с кибербезопасностью, и сохранила стандарт, знакомый инвесторам и публичным компаниям. Инцидент считается «существенным», если информация об этом инциденте является чем-то, на что разумный акционер мог бы положиться при принятии обоснованных инвестиционных решений, или когда это могло бы существенно изменить «общий набор» информации, доступной акционеру.

Практически говоря, определение того, что является существенным, а что нет не всегда очевидно. Хотя специалисты по реагированию на инциденты могут быть использованы для оценки последствий инцидента для безопасности, например, сколько записей было затронуто, сколько неавторизованных пользователей имели доступ или какой тип информации находился под угрозой, они, возможно, менее привыкли думать о более широком смысле. последствия для компании. Вот почему многие компании внедряют протоколы — такие как обращение во внутренний комитет, состоящий из специалистов по безопасности, юристов и членов высшего руководства — для оценки не только угроза безопасности вызвано инцидентом, но влияет на компанию в целом. Междисциплинарная группа с большей вероятностью сможет оценить, подвергает ли инцидент ответственности компанию, влияет на ее финансовое положение, нарушает отношения между компанией и ее клиентами или влияет на деятельность компании из-за несанкционированного доступа или сбоя в обслуживании, все из которых имеют отношение к определению существенности.

При некоторых добросовестных корректировках стандартных рабочих процедур директора по информационной безопасности могут эффективно адаптироваться к этому новому нормативному климату без резкого увеличения рабочей нагрузки или усугубления и без того высокого уровня стресса.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-