CISO ต้องทำอะไรเพื่อให้เป็นไปตามกฎระเบียบใหม่ของ SEC?

คำถาม: CISO จะตามทันกฎระเบียบด้านความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงไปได้อย่างไร

Ilona Cohen ประธานเจ้าหน้าที่ฝ่ายกฎหมายและนโยบาย HackerOne: การเป็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ไม่ใช่เรื่องง่าย แต่ในช่วงไม่กี่เดือนที่ผ่านมารู้สึกว่ามีความท้าทายเป็นพิเศษ สำหรับสิ่งที่สร้างความเครียดตามปกติของงาน เช่น การโจมตีของแรนซัมแวร์ที่เพิ่มขึ้นอย่างต่อเนื่อง และภัยคุกคามจากภายในที่แพร่หลายมากขึ้น ขณะนี้เราสามารถเพิ่มการตรวจสอบการบังคับใช้ด้านกฎระเบียบที่เข้มงวดยิ่งขึ้นได้

เมื่อเร็ว ๆ นี้ ค่าธรรมเนียมจากคณะกรรมการความมั่นคงและการแลกเปลี่ยนของสหรัฐอเมริกา (SEC) กับ CISO ของ SolarWinds นับเป็นครั้งแรกที่ CISO ได้รับการแยกออกมาในลักษณะนี้โดยหน่วยงาน นี่แสดงว่าใหญ่กว่านี้ แนวโน้มความรับผิดชอบที่เพิ่มขึ้น สำหรับบุคคลที่รับผิดชอบในการจัดการโปรแกรมความปลอดภัยขององค์กร

นอกจากนี้ บริษัทที่ซื้อขายในการแลกเปลี่ยนของสหรัฐฯ จะต้องปฏิบัติตามการเปิดเผยข้อมูลความปลอดภัยทางไซเบอร์ใหม่ของ SEC และ กฎการรายงานเหตุการณ์เริ่มตั้งแต่ตอนนี้และบริษัทขนาดเล็กที่มีคุณสมบัติเหมาะสมจะต้องปฏิบัติตามกฎการรายงานเหตุการณ์ในฤดูใบไม้ผลิปี 2024 การเปลี่ยนแปลงเหล่านี้ทำให้โปรแกรมการรักษาความปลอดภัยขององค์กรอยู่ภายใต้การตรวจสอบอย่างละเอียดยิ่งขึ้น และเพิ่มภาระความรับผิดชอบที่ CISO ต้องติดตาม

ไม่น่าแปลกใจเลยที่ CISO จำนวนมากจะรู้สึกกดดันมากขึ้นกว่าเดิม

ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน กฎและความรับผิดใหม่ ไม่จำเป็นต้องเป็นอุปสรรคต่อการทำงานของ CISO จริงๆ แล้ว สิ่งเหล่านี้สามารถเป็นแหล่งสนับสนุน CISO ได้จริงๆ กฎของ ก.ล.ต. เกี่ยวกับการเปิดเผยข้อมูลและเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ในอดีตค่อนข้างยากที่จะแยกแยะ โดยการชี้แจงข้อกำหนดสำหรับการเปิดเผยโปรแกรมการจัดการความเสี่ยงด้านความปลอดภัย การกำกับดูแล และเหตุการณ์ทางไซเบอร์ ก.ล.ต. กำลังจัดทำคู่มือ CISO

นอกจากนี้ ความคาดหวังที่เพิ่มขึ้นของ ก.ล.ต. สำหรับการบริหารความเสี่ยงและการกำกับดูแลอาจเพิ่มขึ้น ทำให้ CISO มีจุดยืนมากขึ้น เพื่อเรียกร้องทรัพยากรและกระบวนการภายในเพื่อตอบสนองความคาดหวังเหล่านั้น ข้อกำหนดใหม่สำหรับบริษัทที่มีการซื้อขายหุ้นสาธารณะในการเปิดเผยแนวทางปฏิบัติในการบริหารความเสี่ยงแก่นักลงทุน จะสร้างแรงจูงใจเพิ่มเติมเพื่อเสริมสร้างการป้องกันความปลอดภัยทางไซเบอร์เชิงรุก กฎใหม่ของ SEC ได้เพิ่มความตระหนักรู้เกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ในหมู่คณะกรรมการของบริษัทและผู้นำของบริษัทที่ไม่ใช่ CISO เสียก่อน ซึ่งน่าจะแปลไปสู่การจัดหาทรัพยากรด้านความปลอดภัยทางไซเบอร์ที่กว้างขวางมากขึ้น

บริษัทมหาชนที่มีโปรแกรมความปลอดภัยที่แข็งแกร่งซึ่งรวมถึงการระบุและบรรเทาช่องโหว่อย่างต่อเนื่องอาจดึงดูดนักลงทุนมากกว่าจากการบริหารความเสี่ยง วุฒิภาวะด้านความปลอดภัย และมุมมองการกำกับดูแลกิจการ ในเวลาเดียวกัน บริษัทที่มีจุดยืนเชิงรุกในการลดความเสี่ยงด้านความปลอดภัย เช่น การใช้และจัดหาแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์อย่างเหมาะสม เช่นเดียวกับที่มีอยู่ใน ISO 27001, 29147 และ 30111 มีโอกาสน้อยที่จะประสบกับการโจมตีทางไซเบอร์ที่สำคัญซึ่งสร้างความเสียหายให้กับแบรนด์ของบริษัท .

ภาพรวมด้านกฎระเบียบใหม่นี้แสดงถึงโอกาสสำหรับ CISO ในการตรวจสอบขั้นตอนการรายงานภายในของตน และตรวจสอบให้แน่ใจว่ากระบวนการเหล่านั้นมีมาตรฐาน หากบริษัทที่ซื้อขายในตลาดหลักทรัพย์ไม่มีขั้นตอนในการแจ้งปัญหาด้านความปลอดภัยที่สำคัญไปยังฝ่ายบริหาร กระบวนการเหล่านี้ควรได้รับการจัดตั้งขึ้นทันที CISO ควรช่วยเตรียมการเปิดเผยเกี่ยวกับกระบวนการบริหารความเสี่ยงของบริษัท และยังช่วยให้แน่ใจว่า คำแถลงสาธารณะของบริษัทเกี่ยวกับความปลอดภัย ถูกต้อง ครบถ้วน และไม่ทำให้เข้าใจผิด

ภายใต้กฎใหม่ของ ก.ล.ต. บริษัทมหาชนจะต้องเปิดเผยเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่ถือว่าเป็น "สาระสำคัญ" ภายในสี่วันทำการ แต่ผู้เผชิญเหตุจำนวนมากสงสัยว่า "วัตถุ" หมายความว่าอย่างไร โดยเฉพาะอย่างยิ่งเมื่อ ก.ล.ต. ปฏิเสธที่จะนำคำจำกัดความที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ของ "วัตถุ" มาใช้ในกฎ และรักษามาตรฐานที่นักลงทุนและบริษัทมหาชนคุ้นเคย เหตุการณ์ถือเป็น "สาระสำคัญ" หากข้อมูลเกี่ยวกับเหตุการณ์นั้นเป็นสิ่งที่ผู้ถือหุ้นที่สมเหตุสมผลจะต้องพึ่งพาในการตัดสินใจลงทุนโดยมีข้อมูลครบถ้วน หรือเมื่อจะเปลี่ยนแปลง "การผสมผสานทั้งหมด" ของข้อมูลที่มีให้กับผู้ถือหุ้นอย่างมีนัยสำคัญ

ในทางปฏิบัติแล้ว การกำหนดสิ่งที่เป็นและไม่ใช่สาระสำคัญ ไม่ได้ชัดเจนเสมอไป แม้ว่าผู้ตอบสนองต่อเหตุการณ์อาจถูกใช้เพื่อประเมินผลกระทบด้านความปลอดภัยของเหตุการณ์ เช่น จำนวนบันทึกที่ได้รับผลกระทบ จำนวนผู้ใช้ที่ไม่ได้รับอนุญาตที่เข้าถึงได้ หรือข้อมูลประเภทใดที่มีความเสี่ยง พวกเขาอาจไม่คุ้นเคยกับการคิดในวงกว้างมากขึ้น ผลกระทบต่อบริษัท นั่นเป็นเหตุผลที่หลายบริษัทวางระเบียบปฏิบัติ เช่น การอ้างอิงไปยังคณะกรรมการภายในที่ประกอบด้วยผู้เชี่ยวชาญด้านความปลอดภัย ทนายความ และสมาชิกของกลุ่มผู้บริหาร เพื่อประเมิน ไม่ใช่แค่ความเสี่ยงด้านความปลอดภัยเท่านั้น เกิดจากเหตุการณ์แต่ผลกระทบต่อบริษัทโดยรวม ทีมสหวิทยาการมีแนวโน้มที่จะสามารถประเมินได้ว่าเหตุการณ์ดังกล่าวทำให้บริษัทต้องรับผิด ส่งผลกระทบต่อสถานะทางการเงินของบริษัท รบกวนความสัมพันธ์ระหว่างบริษัทกับลูกค้า หรือส่งผลกระทบต่อการดำเนินงานของบริษัทเนื่องจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือการหยุดชะงักในการให้บริการ ทั้งหมด ซึ่งเกี่ยวข้องกับการกำหนดสาระสำคัญ

ด้วยการปรับเปลี่ยนขั้นตอนการปฏิบัติงานมาตรฐานอย่างสมเหตุสมผล CISO สามารถปรับตัวเข้ากับบรรยากาศด้านกฎระเบียบใหม่ได้อย่างมีประสิทธิภาพ โดยไม่ต้องเพิ่มภาระงานอย่างมากหรือเพิ่มความเครียดในระดับสูงอยู่แล้ว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-