Kaj morajo storiti CISO, da izpolnjujejo nove predpise SEC?

Vprašanje: Kako lahko CISO sledijo spreminjajočim se predpisom o kibernetski varnosti?

Ilona Cohen, glavna pravna in politična direktorica, HackerOne: Nikoli ni lahko biti glavni uradnik za informacijsko varnost (CISO), vendar se je zadnjih nekaj mesecev zdelo še posebej zahtevno. Običajnim stresnim dejavnikom na delovnem mestu – kot sta nenehno naraščanje števila napadov z izsiljevalsko programsko opremo in razširjenost notranjih groženj – lahko zdaj dodamo okrepljen regulativni nadzor.

Nedavna obtožbe ameriške komisije za varnost in menjavo (SEC) proti CISO SolarWinds je prvič, da je agencija na ta način izpostavila CISO. To kaže na večjo trend povečane odgovornosti za posameznike, zadolžene za vodenje organizacijskih varnostnih programov.

Poleg tega morajo podjetja, s katerimi se trguje na ameriških borzah, upoštevati novo razkritje informacij SEC o kibernetski varnosti in pravila za poročanje o incidentih, ki se začnejo zdaj, manjša podjetja, ki izpolnjujejo pogoje, pa morajo spomladi 2024 spoštovati pravila o poročanju o incidentih. Te spremembe postavljajo organizacijske varnostne programe pod še večji nadzor in povečujejo breme odgovornosti, ki jim morajo slediti CISO.

Ni presenetljivo, da mnogi CISO čutijo večji pritisk kot kdaj koli prej.

te nova pravila in obveznosti ni nujno, da so ovira za delo CISO – pravzaprav so lahko dejansko vir podpore za CISO. Pravila SEC v zvezi z razkritji podatkov o kibernetski varnosti in incidenti je bilo v preteklosti nekoliko težko razbrati. Z razjasnitvijo zahtev za razkritje programov za obvladovanje varnostnih tveganj, upravljanja in kibernetskih incidentov SEC CISO zagotavlja vodnik.

Poleg tega lahko povečana pričakovanja SEC glede obvladovanja tveganj in upravljanja dati CISO večji ugled zahtevati notranje vire in procese za izpolnitev teh pričakovanj. Nove zahteve za javne družbe, da vlagateljem razkrijejo prakse obvladovanja tveganj, ustvarjajo dodatne spodbude za krepitev proaktivne obrambe kibernetske varnosti. Še preden so začela veljati, so nova pravila SEC povečala ozaveščenost upravnih odborov podjetij in vodstva podjetij, ki niso člani CISO, o praksah kibernetske varnosti, kar bo verjetno pomenilo obsežnejše zagotavljanje virov za kibernetsko varnost.

Javna podjetja z robustnimi varnostnimi programi, ki vključujejo stalno prepoznavanje in blaženje ranljivosti, so lahko bolj privlačna za vlagatelje z vidika obvladovanja tveganja, varnostne zrelosti in korporativnega upravljanja. Hkrati je manj verjetno, da bodo podjetja, ki zavzamejo proaktivno držo za zmanjševanje varnostnega tveganja – na primer izvajanje in ustrezno financiranje najboljših praks kibernetske varnosti, kot so tiste iz standardov ISO 27001, 29147 in 30111 – utrpela materialne kibernetske napade, ki škodijo blagovni znamki podjetja. .

Ta nova regulativna pokrajina predstavlja priložnost za CISO, da pregledajo svoje interne postopke poročanja in zagotovijo, da so na ravni. Če družbe, ki kotirajo na borzi, še nimajo postopkov za eskalacijo pomembnejših varnostnih vprašanj izvršnemu vodstvu, je treba te postopke vzpostaviti takoj. CISO bi morali pomagati pri pripravi razkritij o procesih upravljanja s tveganji v podjetju in tudi pomagati pri zagotavljanju javne izjave podjetja o varnosti so točni, resnični in niso zavajajoči.

V skladu z novim pravilom SEC morajo javna podjetja v štirih delovnih dneh razkriti vsak kibernetski varnostni incident, ki se šteje za "pomemben". Vendar se mnogi odzivniki na incidente sprašujejo, kaj pomeni biti "pomemben", zlasti ko je SEC zavrnil sprejetje definicije "pomembnosti", povezane s kibernetsko varnostjo, v pravilu in ohranil standard, ki ga poznajo vlagatelji in javna podjetja. Incident je "pomemben", če so informacije o tem incidentu nekaj, na kar bi se razumni delničar zanesel pri sprejemanju premišljenih naložbenih odločitev, ali če bi znatno spremenil "celotno mešanico" informacij, ki so na voljo delničarju.

Praktično gledano, ugotavljanje, kaj je in kaj ni materialno ni vedno očitno. Medtem ko se odzivnik na incidente lahko uporablja za ocenjevanje varnostnih posledic incidenta, kot je na primer, koliko zapisov je bilo prizadetih, koliko nepooblaščenih uporabnikov je imelo dostop ali kakšna vrsta informacij je bila ogrožena, so morda manj navajeni razmišljati o širšem posledice za podjetje. Zato mnoga podjetja uvajajo protokole – kot je napotitev na notranji odbor, ki ga sestavljajo varnostni strokovnjaki, odvetniki in člani vodstva – za oceno ne le varnostno tveganje ki jih je povzročil incident, temveč vpliv na celotno podjetje. Interdisciplinarna ekipa bo bolj verjetno lahko ocenila, ali incident izpostavi podjetje odgovornosti, vpliva na finančni položaj podjetja, moti odnos med podjetjem in njegovimi strankami ali vpliva na poslovanje podjetja zaradi nepooblaščenega dostopa ali motenj v storitvi, vse ki so pomembne za določitev pomembnosti.

Z nekaj vestnimi prilagoditvami standardnih operativnih postopkov se lahko CISO učinkovito prilagodijo tej novi regulativni klimi, ne da bi drastično povečali delovne obremenitve ali povečali že tako visoke stopnje stresa.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-