Vad måste CISO:er göra för att uppfylla nya SEC-regler?

Fråga: Hur kan CISO:er hänga med i ändrade cybersäkerhetsregler?

Ilona Cohen, Chief Legal and Policy Officer, HackerOne: Det är aldrig en lätt tid att vara chef för informationssäkerhet (CISO), men de senaste månaderna har känts särskilt utmanande. Till de vanliga stressfaktorerna i jobbet – som den pågående ökningen av ransomware-attacker och insiderhotens genomträngning – kan vi nu lägga till en ökad granskning av regelverken.

den senaste tidens avgifter från US Security and Exchange Commission (SEC) mot SolarWinds CISO är första gången en CISO pekas ut på detta sätt av byrån. Detta tyder på en större trend med ökat ansvar för personer som ansvarar för att hantera organisatoriska säkerhetsprogram.

Dessutom måste företag som handlas på amerikanska börser följa SEC:s nya cybersäkerhetsupplysning och regler för incidentrapportering börjar nu, och kvalificerade mindre företag måste följa reglerna för incidentrapportering under våren 2024. Dessa förändringar sätter organisatoriska säkerhetsprogram under ännu större granskning och ökar belastningen av ansvar som CISO:er måste spåra.

Det är ingen överraskning att många CISO:er känner mer press än någonsin.

Dessa nya regler och skulder behöver inte nödvändigtvis vara ett hinder för en CISO:s arbete – i själva verket kan de faktiskt vara en källa till stöd för CISO:er. SEC-regler kring cybersäkerhetsavslöjande och incidenter har historiskt sett varit något svåra att urskilja. Genom att förtydliga kraven för att avslöja program för säkerhetsriskhantering, styrning och cyberincidenter förser SEC CISO:er med en guidebok.

Dessutom kan SEC:s ökade förväntningar på riskhantering och styrning ge CISOs större anseende att kräva interna resurser och processer för att möta dessa förväntningar. Nya krav för börsnoterade företag att avslöja riskhanteringsmetoder för investerare skapar ytterligare incitament för att stärka proaktiva cybersäkerhetsförsvar. Redan innan de trädde i kraft har SEC:s nya regler ökat medvetenheten om cybersäkerhetspraxis bland företagsstyrelser och företagsledningar utanför CISO, vilket sannolikt kommer att översättas till mer expansiv cybersäkerhetsresurser.

Offentliga företag med robusta säkerhetsprogram som inkluderar att kontinuerligt identifiera och mildra sårbarheter kan vara mer attraktiva för investerare ur riskhanterings-, säkerhetsmognads- och företagsstyrningsperspektiv. Samtidigt är det mindre benägna att företag som tar en proaktiv hållning för att minska säkerhetsrisker – till exempel implementera och på lämpligt sätt tillhandahålla bästa praxis för cybersäkerhet som de som finns i ISO 27001, 29147 och 30111 – utsätts för materiella cyberattacker som skadar företagets varumärke .

Detta nya regulatoriska landskap representerar en möjlighet för CISO:er att inventera sina interna rapporteringsprocedurer och se till att de är i nivå. Om börsnoterade företag inte redan har rutiner för att eskalera betydande säkerhetsfrågor till företagsledningen, bör dessa processer upprättas omedelbart. CISO:er bör hjälpa till att förbereda avslöjanden om företagets riskhanteringsprocesser och även hjälpa till att säkerställa företagets offentliga uttalanden om säkerhet är korrekta, fylliga och inte vilseledande.

Enligt den nya SEC-regeln måste offentliga företag inom fyra arbetsdagar avslöja alla cybersäkerhetsincidenter som anses vara "väsentliga". Men många incidentsvarare undrar vad det innebär att vara "material", särskilt när SEC avböjde att anta en cybersäkerhetsrelaterad definition av "väsentlighet" i regeln och höll standarden bekant för investerare och offentliga företag. En incident är "väsentlig" om information om den incidenten är något som en rimlig aktieägare skulle ha förlitat sig på för att fatta välgrundade investeringsbeslut eller när det väsentligt skulle ha förändrat den "totala mixen" av information som är tillgänglig för aktieägaren.

Rent praktiskt, avgöra vad som är och inte är väsentligt är inte alltid självklart. Även om en incidentsvarare kan användas för att bedöma säkerhetskonsekvenserna av en incident, till exempel hur många poster som påverkades, hur många obehöriga användare som hade åtkomst eller vilken typ av information som var i riskzonen, kan de vara mindre vana vid att tänka på det bredare konsekvenser för företaget. Det är därför många företag inför protokoll – som hänvisning till en intern kommitté bestående av säkerhetspersonal, advokater och medlemmar i C-suiten – för att bedöma inte bara säkerhetsrisken orsakat av en incident, men påverkan på företaget totalt sett. Ett tvärvetenskapligt team har större sannolikhet att kunna bedöma om händelsen utsätter ett företag för ansvar, påverkar företagets finansiella ställning, stör relationen mellan företaget och dess kunder eller påverkar företagets verksamhet på grund av obehörig åtkomst eller avbrott i tjänsten, allt av vilka är relevanta för väsentlighetsbestämningen.

Med vissa samvetsgranna justeringar av standardförfaranden kan CISO:er effektivt anpassa sig till detta nya regleringsklimat utan att drastiskt öka arbetsbelastningen eller förvärra redan höga nivåer av stress.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-