Запитання: як CISO можуть йти в ногу зі зміною правил кібербезпеки?
Ілона Коен, директор з правових питань і політики HackerOne: Бути головним спеціалістом з інформаційної безпеки (CISO) ніколи не буває легко, але останні кілька місяців видалися особливо складними. До звичайних стресових факторів, пов’язаних із роботою, — таких як постійне збільшення кількості атак програм-вимагачів і поширеність внутрішніх загроз — тепер ми можемо додати посилений регуляторний контроль.
Недавня звинувачення Комісії з безпеки та обміну США (SEC) проти CISO SolarWinds — це перший випадок, коли агентство виділило CISO таким чином. Це говорить про більшу тенденція підвищення відповідальності для осіб, відповідальних за управління програмами організаційної безпеки.
Крім того, компанії, які торгуються на американських біржах, повинні відповідати новому розкриттю SEC щодо кібербезпеки та Правила звітування про інциденти діють зараз, а невеликі компанії, які відповідають вимогам, повинні дотримуватися правил звітування про інциденти навесні 2024 року. Ці зміни піддають ще більшому контролю організаційні програми безпеки та збільшують обсяг обов’язків, які мають відстежувати CISO.
Не дивно, що багато CISO відчувають більший тиск, ніж будь-коли.
Ці нові правила та обов'язки не обов’язково повинні бути перешкодою для роботи CISO — насправді вони можуть бути джерелом підтримки для CISO. Правила SEC щодо розкриття інформації та інцидентів у сфері кібербезпеки історично було дещо важко розпізнати. Уточнюючи вимоги до розкриття програм управління ризиками безпеки, управління та кіберінцидентів, SEC надає CISO посібник.
Крім того, підвищені очікування SEC щодо управління ризиками та управління можуть підвищити авторитет CISO вимагати внутрішні ресурси та процеси для задоволення цих очікувань. Нові вимоги до публічних компаній розкривати інвесторам практики управління ризиками створюють додаткові стимули для посилення проактивного захисту кібербезпеки. Ще до того, як вони набули чинності, нові правила SEC підвищили обізнаність про практику кібербезпеки серед правлінь компаній та керівництва компаній, які не належать до CISO, що, ймовірно, призведе до збільшення ресурсів для кібербезпеки.
Публічні компанії з надійними програмами безпеки, які включають постійне виявлення та пом’якшення вразливостей, можуть бути більш привабливими для інвесторів з точки зору управління ризиками, зрілості безпеки та корпоративного управління. У той же час компанії, які займають проактивну позицію щодо зниження ризиків безпеки — наприклад, впроваджують і належним чином забезпечують ресурсами найкращі практики кібербезпеки, як ті, що містяться в ISO 27001, 29147 і 30111 — з меншою ймовірністю постраждають від суттєвих кібератак, які завдадуть шкоди бренду компанії. .
Цей новий нормативний ландшафт дає можливість для CISO оцінити свої внутрішні процедури звітності та переконатися, що вони відповідають вимогам. Якщо публічні компанії ще не мають процедур для передачі важливих питань безпеки виконавчому керівництву, ці процеси мають бути запроваджені негайно. CISO повинні допомогти підготувати інформацію про процеси управління ризиками компанії, а також допомогти забезпечити публічні заяви компанії про безпеку є точними, достовірними та не вводять в оману.
Згідно з новим правилом SEC, публічні компанії повинні розкрити протягом чотирьох робочих днів будь-який інцидент кібербезпеки, який вважається «суттєвим». Але багато спеціалістів із реагування на інциденти цікавляться, що означає бути «суттєвим», особливо коли SEC відмовилася прийняти визначення «суттєвості», пов’язане з кібербезпекою, у правилі та зберегла стандарт, знайомий інвесторам і публічним компаніям. Інцидент є «суттєвим», якщо інформація про цей інцидент є чимось, на що розумний акціонер міг би покластися для прийняття обґрунтованих інвестиційних рішень, або коли він суттєво змінив би «загальну суміш» інформації, доступної акціонеру.
Практично кажучи, визначення того, що є, а що ні не завжди очевидна. Хоча спеціаліст з реагування на інциденти може бути використаний для оцінки наслідків інциденту для безпеки, наприклад, скільки записів було вражено, скільки неавторизованих користувачів мали доступ або який тип інформації був під загрозою, він може бути менш звикли думати про ширше наслідки для компанії. Ось чому багато компаній встановлюють протоколи, як-от перенаправлення до внутрішнього комітету, що складається з професіоналів із безпеки, юристів і керівників, щоб оцінити не тільки ризик безпеки викликаний інцидентом, але вплив на компанію в цілому. Міждисциплінарна команда з більшою ймовірністю зможе оцінити, чи наражає інцидент компанію на відповідальність, впливає на фінансовий стан компанії, порушує відносини між компанією та її клієнтами чи впливає на діяльність компанії через несанкціонований доступ або збій в обслуговуванні, все це з яких мають відношення до визначення суттєвості.
Завдяки деяким сумлінним змінам стандартних операційних процедур CISO можуть ефективно адаптуватися до цього нового регуляторного клімату без різкого збільшення робочого навантаження чи ускладнення і без того високого рівня стресу.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-
- : має
- :є
- : ні
- $UP
- 2024
- 27001
- 7
- a
- Здатний
- МЕНЮ
- доступ
- точний
- насправді
- пристосовувати
- додавати
- доповнення
- Додатковий
- коректування
- прийняти
- проти
- агентство
- ВСІ
- вже
- Також
- змінений
- завжди
- серед
- an
- та
- будь-який
- відповідним чином
- ЕСТЬ
- навколо
- AS
- оцінити
- Оцінювання
- At
- нападки
- привабливий
- доступний
- обізнаність
- BE
- було
- перед тим
- КРАЩЕ
- передового досвіду
- між
- марка
- ширше
- бізнес
- але
- by
- C-люкс
- CAN
- викликаний
- складні
- Зміни
- заміна
- заряд
- головний
- головний спеціаліст із інформаційної безпеки
- CISO
- клімат
- Cohen
- комітет
- Компанії
- компанія
- дотримуватися
- містяться
- постійно
- Корпоративний
- створювати
- Клієнти
- кібер-
- кібератаки
- Кібербезпека
- пошкодження
- Днів
- рішення
- вважається
- визначення
- Попит
- визначення
- розрізнення
- Розкрити
- Розкриття
- розкриття
- Зрив
- do
- різко
- два
- легко
- ефект
- фактично
- примус
- забезпечувати
- ескалація
- особливо
- встановлений
- Навіть
- НІКОЛИ
- приклад
- обмін
- Біржі
- виконавчий
- виконавче управління
- експансивний
- очікування
- факт
- знайомий
- почуття
- помилка
- кілька
- фінансовий
- Перший
- перший раз
- для
- чотири
- від
- управління
- великий
- було
- Жорсткий
- Мати
- посилений
- допомога
- Високий
- перешкода
- історично
- Як
- HTTPS
- ідентифікує
- if
- негайно
- Impact
- вплив
- реалізації
- наслідки
- in
- стимули
- інцидент
- включати
- Augmenter
- збільшений
- зростаючий
- осіб
- інформація
- інформаційна безпека
- повідомив
- Інсайдер
- внутрішній
- в
- інвестиції
- Інвестори
- isn
- питання
- IT
- ЙОГО
- робота
- JPG
- просто
- тримати
- збережений
- ландшафт
- більше
- адвокати
- Керівництво
- легальний
- менше
- рівні
- відповідальність
- як
- Ймовірно
- загрузка
- made
- зробити
- управління
- управління
- багато
- матеріал
- зрілість
- Може..
- засоби
- Зустрічатися
- члени
- вводить в оману
- пом’якшення
- змішувати
- місяців
- більше
- повинен
- обов'язково
- Необхідність
- ніколи
- Нові
- немає
- зараз
- Очевидний
- of
- Офіцер
- on
- постійний
- операційний
- операції
- Можливість
- or
- організаційної
- з
- загальний
- особливо
- Минуле
- перспективи
- місце
- plato
- Інформація про дані Платона
- PlatoData
- політика
- положення
- практики
- Готувати
- тиск
- Проактивний
- Процедури
- процеси
- професіонали
- програми
- протоколи
- забезпечення
- громадськість
- публічні компанії
- публічно
- put
- Поклавши
- кваліфікаційний
- вимагачів
- Вимагальні програми
- RE
- розумний
- останній
- облік
- зниження
- Напрямки
- правила
- регуляторні
- нормативний ландшафт
- відносини
- доречний
- Звітність
- представляє
- Вимога
- ресурси
- обов'язки
- Risk
- управління ризиками
- міцний
- Правило
- Правила
- s
- то ж
- огляд
- SEC
- безпеку
- управління ризиками безпеки
- обслуговування
- акціонера
- Повинен
- значний
- істотно
- менше
- SolarWinds
- деякі
- що в сім'ї щось
- кілька
- Source
- розмова
- весна
- позиція
- standard
- Починаючи
- заяви
- акції
- Зміцнювати
- стрес
- такі
- Запропонує
- підтримка
- Переконайтеся
- сюрприз
- Приймати
- команда
- ніж
- Що
- Команда
- їх
- Ці
- вони
- Мислення
- це
- ті
- загрози
- час
- до
- Усього:
- трек
- торгував
- переводити
- тип
- несанкціонований
- при
- us
- використовуваний
- користувачі
- звичайний
- Уразливості
- було
- шлях..
- we
- пішов
- були
- Що
- Що таке
- коли
- Чи
- який
- в той час як
- чому
- волі
- з
- в
- без
- цікаво
- Work
- б
- зефірнет