Вопрос: Как директора по информационной безопасности могут идти в ногу с меняющимися правилами кибербезопасности?
Илона Коэн, директор по правовым вопросам и политике HackerOne: Быть директором по информационной безопасности (CISO) никогда не было легким временем, но последние несколько месяцев оказались особенно трудными. К обычным стрессовым факторам работы — таким как продолжающийся рост атак с использованием программ-вымогателей и повсеместное распространение инсайдерских угроз — теперь мы можем добавить усиленный контроль со стороны регулирующих органов.
Недавняя обвинения Комиссии по ценным бумагам и биржам США (SEC) против директора по информационной безопасности SolarWinds — это первый случай, когда агентство выделяет директора по информационной безопасности таким образом. Это предполагает более крупный тенденция повышения ответственности для лиц, отвечающих за управление программами безопасности организации.
Кроме того, компании, акции которых торгуются на биржах США, должны соблюдать новые требования SEC по раскрытию информации о кибербезопасности и правила сообщения об инцидентах начинаются сейчас, а небольшие компании, соответствующие критериям, должны соблюдать правила отчетности об инцидентах весной 2024 года. Эти изменения ставят программы безопасности организаций под еще более тщательный контроль и увеличивают нагрузку, которую должны отслеживать директора по информационной безопасности.
Неудивительно, что многие директора по информационной безопасности чувствуют большее давление, чем когда-либо.
Эти новые правила и обязательства не обязательно должны быть помехой в работе директора по информационной безопасности — на самом деле они могут быть источником поддержки для директора по информационной безопасности. Правила SEC относительно раскрытия информации и инцидентов в сфере кибербезопасности исторически было довольно сложно различить. Разъясняя требования к раскрытию программ управления рисками безопасности, управления и киберинцидентов, SEC предоставляет директорам по информационной безопасности руководство.
Кроме того, возросшие ожидания SEC в отношении управления рисками и корпоративного управления могут дать директорам по информационной безопасности более высокий статус требовать внутренних ресурсов и процессов для удовлетворения этих ожиданий. Новые требования к публичным компаниям раскрывать инвесторам методы управления рисками создают дополнительные стимулы для усиления превентивной защиты от кибербезопасности. Еще до того, как они вступили в силу, новые правила SEC повысили осведомленность о методах кибербезопасности среди советов директоров компаний и руководства компаний, не входящих в CISO, что, вероятно, приведет к увеличению ресурсов в области кибербезопасности.
Публичные компании с надежными программами безопасности, включающими постоянное выявление и устранение уязвимостей, могут быть более привлекательными для инвесторов с точки зрения управления рисками, зрелости безопасности и корпоративного управления. В то же время компании, которые занимают активную позицию по снижению риска безопасности — например, внедряют и обеспечивают надлежащим образом передовые методы кибербезопасности, такие как те, которые содержатся в ISO 27001, 29147 и 30111 — с меньшей вероятностью пострадают от существенных кибератак, которые наносят ущерб бренду компании. .
Эта новая нормативно-правовая база предоставляет директорам по информационной безопасности возможность подвести итоги своих процедур внутренней отчетности и убедиться, что они находятся на должном уровне. Если в публичных компаниях еще нет процедур для передачи важных вопросов безопасности высшему руководству, эти процессы должны быть установлены немедленно. Директора по информационной безопасности должны помочь подготовить раскрытие информации о процессах управления рисками компании, а также обеспечить публичные заявления компании о безопасности являются точными, полными и не вводят в заблуждение.
Согласно новому правилу SEC, публичные компании должны в течение четырех рабочих дней раскрывать информацию о любом инциденте кибербезопасности, который считается «существенным». Но многие специалисты по реагированию на инциденты задаются вопросом, что значит быть «существенным», особенно после того, как SEC отказалась принять определение «существенности», связанное с кибербезопасностью, и сохранила стандарт, знакомый инвесторам и публичным компаниям. Инцидент считается «существенным», если информация об этом инциденте является чем-то, на что разумный акционер мог бы положиться при принятии обоснованных инвестиционных решений, или когда это могло бы существенно изменить «общий набор» информации, доступной акционеру.
Практически говоря, определение того, что является существенным, а что нет не всегда очевидно. Хотя специалисты по реагированию на инциденты могут быть использованы для оценки последствий инцидента для безопасности, например, сколько записей было затронуто, сколько неавторизованных пользователей имели доступ или какой тип информации находился под угрозой, они, возможно, менее привыкли думать о более широком смысле. последствия для компании. Вот почему многие компании внедряют протоколы — такие как обращение во внутренний комитет, состоящий из специалистов по безопасности, юристов и членов высшего руководства — для оценки не только угроза безопасности вызвано инцидентом, но влияет на компанию в целом. Междисциплинарная группа с большей вероятностью сможет оценить, подвергает ли инцидент ответственности компанию, влияет на ее финансовое положение, нарушает отношения между компанией и ее клиентами или влияет на деятельность компании из-за несанкционированного доступа или сбоя в обслуживании, все из которых имеют отношение к определению существенности.
При некоторых добросовестных корректировках стандартных рабочих процедур директора по информационной безопасности могут эффективно адаптироваться к этому новому нормативному климату без резкого увеличения рабочей нагрузки или усугубления и без того высокого уровня стресса.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- :имеет
- :является
- :нет
- $UP
- 2024
- 27001
- 7
- a
- в состоянии
- О нас
- доступ
- точный
- на самом деле
- приспосабливать
- Добавить
- дополнение
- дополнительный
- корректировки
- принять
- против
- агентство
- Все
- уже
- причислены
- изменен
- всегда
- среди
- an
- и
- любой
- надлежащим образом
- МЫ
- около
- AS
- оценить
- Оценка
- At
- нападки
- привлекательный
- доступен
- осведомленность
- BE
- было
- до
- ЛУЧШЕЕ
- лучшие практики
- между
- марка
- шире
- бизнес
- но
- by
- С-люкс
- CAN
- вызванный
- сложные
- изменения
- изменения
- заряд
- главный
- начальник отдела информационной безопасности
- CISO
- климат
- Cohen
- комитет
- Компании
- Компания
- соблюдать
- содержащегося
- непрерывно
- Корпоративное
- Создайте
- Клиенты
- кибер-
- кибератаки
- Информационная безопасность
- повреждение
- Дней
- решения
- считается
- определение
- Спрос
- определение
- усмотреть
- Раскрывать
- Раскрытие
- раскрытие
- Нарушение
- do
- кардинально
- два
- легко
- эффект
- фактически
- принуждение
- обеспечивать
- обострять
- особенно
- установленный
- Даже
- НИКОГДА
- пример
- обмена
- Биржи
- исполнительный
- Исполнительная дирекция
- экспансивный
- ожидания
- факт
- знакомый
- чувствуя
- ошибка
- несколько
- финансовый
- Во-первых,
- Впервые
- Что касается
- 4
- от
- управление
- большой
- было
- Жесткий
- Есть
- повышенный
- помощь
- High
- помеха
- исторически
- Как
- HTTPS
- идентифицирующий
- if
- немедленно
- Влияние
- влияние
- Осуществляющий
- последствия
- in
- Стимулы
- инцидент
- включают
- Увеличение
- расширились
- повышение
- лиц
- информация
- информационная безопасность
- сообщил
- Инсайдер
- в нашей внутренней среде,
- в
- инвестиций
- Инвесторы
- мобильной
- вопросы
- IT
- ЕГО
- работа
- JPG
- всего
- Сохранить
- хранится
- пейзаж
- больше
- Адвокаты
- Наша команда
- Юр. Информация
- Меньше
- уровни
- ответственность
- такое как
- Вероятно
- загрузка
- сделанный
- сделать
- управление
- управления
- многих
- материала
- зрелость
- Май..
- означает
- Встречайте
- Участники
- дезориентировать
- смягчающим
- смешивать
- месяцев
- БОЛЕЕ
- должен
- обязательно
- Необходимость
- никогда
- Новые
- нет
- сейчас
- Очевидный
- of
- сотрудник
- on
- постоянный
- операционный
- Операционный отдел
- Возможность
- or
- организационной
- внешний
- общий
- особенно
- мимо
- перспективы
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политика
- должность
- практиками
- Подготовить
- давление
- Проактивная
- Процедуры
- Процессы
- профессионалы
- Программы
- протоколы
- обеспечение
- что такое варган?
- публичные компании
- публично
- положил
- Полагая
- квалификационный
- вымогателей
- Атаки вымогателей
- RE
- разумный
- последний
- учет
- снижение
- Партнерская
- правила
- регуляторы
- нормативно-правовая база
- отношения
- соответствующие
- Reporting
- представляет
- Требования
- Полезные ресурсы
- ответственности
- Снижение
- управление рисками
- надежный
- Правило
- условиями,
- s
- то же
- рассмотрение
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- безопасность
- управление рисками безопасности
- обслуживание
- акционер
- должен
- значительный
- существенно
- меньше
- SolarWinds
- некоторые
- удалось
- в некотором роде
- Источник
- Говоря
- весна
- позиция
- стандарт
- Начало
- отчетность
- акции
- УКРЕПЛЯТЬ
- стресс
- такие
- Предлагает
- поддержка
- Убедитесь
- сюрприз
- взять
- команда
- чем
- который
- Ассоциация
- их
- Эти
- они
- мышление
- этой
- те
- угрозы
- время
- в
- Всего
- трек
- торговал
- переведите
- напишите
- неразрешенный
- под
- us
- используемый
- пользователей
- обычный
- Уязвимости
- законопроект
- Путь..
- we
- пошел
- были
- Что
- Что такое
- когда
- будь то
- , которые
- в то время как
- зачем
- будете
- в
- без
- интересно
- Работа
- бы
- зефирнет