การนำทางสู่ยุคใหม่ของการบังคับใช้ความปลอดภัยทางไซเบอร์

COMMENTARY

เมื่อวันที่ 30 ตุลาคม 2023 สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) เขย่าสมมติฐานของผู้นำด้านความปลอดภัยในอุตสาหกรรมต่างๆ เมื่อ ได้ยื่นฟ้องคดีสำคัญ กับ SolarWinds และประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) หลายๆ คนมองว่าการเคลื่อนไหวนี้เหมือนกับการวางระเบิดสำหรับคนที่ทำงานในบทบาท CISO นี่เป็นครั้งแรกที่คดีของ ก.ล.ต. เรียกบุคคลจากบริษัทในลักษณะนี้

เมื่อคดีนี้กำลังคลี่คลาย คุณเข้าใจถึงความรับผิดส่วนบุคคลของคุณในฐานะ CISO หรือไม่ สิ่งหนึ่งที่ชัดเจน: คดีนี้ส่งข้อความ ปัจจุบัน CISO เผชิญกับความเสี่ยงในการรับผิดที่อาจเกิดขึ้นอย่างที่ไม่เคยเกิดขึ้นมาก่อน ส่งผลให้ผู้บริหารด้านความปลอดภัยต้องมีแนวทางเชิงรุกในการเปิดเผยข้อมูลทางกฎหมาย เพื่อให้ความกระจ่างเกี่ยวกับปัญหาที่ซับซ้อนนี้ เราได้นำ CISO, อดีตสมาชิก SEC และผู้เชี่ยวชาญด้านกฎหมายมากกว่า 60 คนมาอภิปรายกัน ความเป็นมาและความน่าเชื่อถือมีความสำคัญในการสรรหาผู้ร่วมอภิปรายเพื่อหารือในหัวข้อที่มีเดิมพันสูงนี้ เป้าหมายของเรานั้นเรียบง่าย: เพื่อให้ชุมชน CISO ได้รับคำแนะนำที่เชื่อถือได้และความชัดเจนในการจัดการความรับผิด

คณะผู้พิจารณาได้วิเคราะห์กรณี SolarWinds โดยสังเกตว่าจุดมุ่งเน้นของ ก.ล.ต. ดูเหมือนจะอยู่ที่ความประมาทเลินเล่อมากกว่าการฉ้อโกงอย่างร้ายแรง แม้ว่าคดีนี้จะถูกมองว่าก้าวร้าว แต่เนื้อหาอาจไม่แข็งแกร่งเท่าที่ควร ผู้เชี่ยวชาญแนะนำว่า CISO ถือว่ากรณีนี้เป็นการเตือน โดยเน้นถึงความจำเป็นในการใช้มาตรการเชิงรุกและแนวทางรักษาความปลอดภัยทางไซเบอร์โดยสุจริต

ข้อมูลเชิงลึกที่รวบรวมจากการสนทนานี้นำเสนอแผนงานสำหรับ CISO เพื่อนำทางไปสู่ยุคใหม่ของการบังคับใช้ความปลอดภัยทางไซเบอร์ คำแนะนำที่สำคัญที่สุดบางส่วนที่เราได้เรียนรู้จากคณะผู้อภิปรายมีดังนี้

สร้างพันธมิตรที่แข็งแกร่งด้วยที่ปรึกษาทั่วไป

ประเด็นสำคัญประการแรกๆ และอาจสำคัญที่สุดจากการอภิปรายแบบกลุ่มคือความสำคัญของ CISO ในการสร้างความสัมพันธ์ที่แน่นแฟ้นกับที่ปรึกษาทั่วไป (GC) ตามที่ผู้เชี่ยวชาญระบุ GC อาจเป็นพันธมิตรที่สำคัญในช่วงวิกฤต โดยให้คำแนะนำและการสนับสนุนทางกฎหมายที่มีคุณค่า จากกรณีของ SolarWinds CISO จะได้รับคำแนะนำให้ปรับตัวในเชิงรุกกับ GC ของตน เพื่อให้มั่นใจว่ามีการร่วมมือกันและเตรียมพร้อมรับมือกับความท้าทายทางกฎหมายที่อาจเกิดขึ้น

สร้างการเชื่อมต่อ FBI

คำแนะนำที่สำคัญอีกประการหนึ่งจากคณะผู้อภิปรายคือการสร้างความสัมพันธ์กับสำนักงานภาคสนามของ FBI ในพื้นที่โดยเร็วที่สุด ตัวแทนเอฟบีไอในการสนทนาเน้นย้ำถึงความสำคัญของความสัมพันธ์ที่มีอยู่แล้วกับเอฟบีไอ การมีผู้ติดต่อภายใน FBI อาจเป็นประโยชน์ในการนำทางสถานการณ์ที่คล้ายกับกรณี SolarWinds ทั้งหมดนี้ขึ้นอยู่กับปัจจัยด้านความไว้วางใจ ตามที่ตัวแทน FBI ของคณะผู้พิจารณาระบุ พวกเขายังตั้งข้อสังเกตอีกว่า FBI มองว่าบริษัทต่างๆ ในสถานการณ์เช่นนี้เป็นเหยื่อ ซึ่งเป็นเหตุผลว่าทำไม CISO จึงได้รับการสนับสนุนให้สร้างความสัมพันธ์กับสำนักงานภาคสนามของ FBI ในพื้นที่ของตนก่อนที่วิกฤตจะเกิดขึ้น

ดูแลให้เป็นไปตามมาตรฐาน

นอกจากนี้ คณะผู้อภิปรายยังเน้นย้ำถึงความสำคัญของการปรับแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ให้สอดคล้องกับมาตรฐานวัตถุประสงค์ เช่น มาตรฐานที่กำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ก.ล.ต. ดังที่แสดงในกรณี SolarWinds อาจต้องการหลักฐานการปฏิบัติตามมาตรฐานเหล่านี้ “เมื่อใดก็ตามที่คุณปรับตัวเองให้สอดคล้องกับมาตรฐานวัตถุประสงค์ เช่น NIST ก.ล.ต. จะต้องการหลักฐานดังกล่าว” หนึ่งในตัวแทน ก.ล.ต. ของเราตั้งข้อสังเกต ดังนั้น หากคุณกำลังจะประกาศต่อสาธารณะว่าคุณกำลังใช้ชุดมาตรฐาน คุณต้องแน่ใจว่าคุณปฏิบัติตามมาตรฐานที่คุณเลือกด้วย CISO จะต้องเก็บรักษาเอกสารอย่างละเอียดเพื่อเป็นหลักฐานหากจำเป็น

ประสานงานที่ปรึกษากฎหมายและการสืบสวนภายใน

เมื่อพูดถึงที่ปรึกษากฎหมาย หัวข้อที่ว่า CISO ต้องการที่ปรึกษาของตนเองหรือไม่นั้น ดึงความคิดเห็นที่แตกต่างกันจากคณะผู้อภิปราย ดังนั้น CISO จะต้องทำอะไร? คณะผู้พิจารณาเห็นพ้องกันว่าจำเป็นต้องมีทนายความส่วนตัว โดยเฉพาะอย่างยิ่งเมื่อถูกสัมภาษณ์โดยสำนักงาน ก.ล.ต. หรือกระทรวงยุติธรรม (DOJ) มีความจำเป็น การมีตัวแทนทางกฎหมายในระหว่างการสอบสวนภายในและการมีปฏิสัมพันธ์กับที่ปรึกษาภายในอาจเป็นการดำเนินการที่ชาญฉลาด

พิจารณาประกันภัย D&O

การทำความเข้าใจและการลงทุนในประกันภัยสำหรับกรรมการและเจ้าหน้าที่ (D&O) เป็นอีกหนึ่งประเด็นสำคัญที่คณะผู้อภิปรายเน้นย้ำ เมื่อเผชิญกับการดำเนินการทางกฎหมายที่อาจเกิดขึ้น การมีความคุ้มครองของ D&O สามารถให้ความคุ้มครองทางการเงินแก่ CISO ได้ ผู้เชี่ยวชาญแนะนำให้ทำความคุ้นเคยกับความคุ้มครอง ตรวจสอบการเคลมที่มีอยู่ หรือแม้แต่พิจารณาความคุ้มครองแบบสแตนด์อโลนเพื่อเพิ่มความคุ้มครอง

โอบกอดสามเสาหลัก: จัดแนว ชี้แจง บานปลาย

ในยุคใหม่ของการบังคับใช้ความปลอดภัยทางไซเบอร์ที่เข้มข้นขึ้นนี้ CISO ได้รับคำแนะนำให้ปฏิบัติตามเสาหลักสามประการ: สอดคล้อง ชี้แจง และยกระดับ จัดแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ให้สอดคล้องกับมาตรฐานที่เป็นที่ยอมรับ ชี้แจงการสื่อสารกับผู้ติดต่อด้านกฎหมายและ FBI และเพิ่มข้อกังวลในสายการบังคับบัญชา เสาหลักเหล่านี้เป็นรากฐานของแนวทางเชิงรุกและการป้องกันต่อความท้าทายที่กำลังพัฒนาซึ่งผู้บริหารความปลอดภัยทางไซเบอร์ต้องเผชิญ

CISO ต้องใช้มาตรการเชิงรุกทันที

คดีฟ้องร้องของ SolarWinds SEC ได้ชี้แจงถึงความเสี่ยงที่อาจเกิดขึ้นที่ผู้บริหารความปลอดภัยทางไซเบอร์ต้องเผชิญ CISO ได้รับการกระตุ้นให้ใช้มาตรการเชิงรุกเพื่อปกป้องตนเองจากการเปิดเผยทางกฎหมาย การสร้างพันธมิตรที่เข้มแข็งกับที่ปรึกษาทั่วไป การสร้างความสัมพันธ์กับ FBI การปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์ การได้รับการประกัน D&O และการยอมรับเสาหลักสามประการของการจัดตำแหน่ง การชี้แจง และการยกระดับเป็นขั้นตอนสำคัญในการเผชิญกับความท้าทายในยุคใหม่ของการบังคับใช้ความปลอดภัยทางไซเบอร์ ในขณะที่ภูมิทัศน์ยังคงมีการพัฒนาอย่างต่อเนื่อง CISO จะต้องระมัดระวังและเตรียมพร้อมอย่างดีเพื่อให้มั่นใจในความปลอดภัยขององค์กรและปกป้องจุดยืนทางวิชาชีพของตนเอง

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement