Що повинні робити CISO, щоб відповідати новим правилам SEC?

Запитання: як CISO можуть йти в ногу зі зміною правил кібербезпеки?

Ілона Коен, директор з правових питань і політики HackerOne: Бути головним спеціалістом з інформаційної безпеки (CISO) ніколи не буває легко, але останні кілька місяців видалися особливо складними. До звичайних стресових факторів, пов’язаних із роботою, — таких як постійне збільшення кількості атак програм-вимагачів і поширеність внутрішніх загроз — тепер ми можемо додати посилений регуляторний контроль.

Недавня звинувачення Комісії з безпеки та обміну США (SEC) проти CISO SolarWinds — це перший випадок, коли агентство виділило CISO таким чином. Це говорить про більшу тенденція підвищення відповідальності для осіб, відповідальних за управління програмами організаційної безпеки.

Крім того, компанії, які торгуються на американських біржах, повинні відповідати новому розкриттю SEC щодо кібербезпеки та Правила звітування про інциденти діють зараз, а невеликі компанії, які відповідають вимогам, повинні дотримуватися правил звітування про інциденти навесні 2024 року. Ці зміни піддають ще більшому контролю організаційні програми безпеки та збільшують обсяг обов’язків, які мають відстежувати CISO.

Не дивно, що багато CISO відчувають більший тиск, ніж будь-коли.

Ці нові правила та обов'язки не обов’язково повинні бути перешкодою для роботи CISO — насправді вони можуть бути джерелом підтримки для CISO. Правила SEC щодо розкриття інформації та інцидентів у сфері кібербезпеки історично було дещо важко розпізнати. Уточнюючи вимоги до розкриття програм управління ризиками безпеки, управління та кіберінцидентів, SEC надає CISO посібник.

Крім того, підвищені очікування SEC щодо управління ризиками та управління можуть підвищити авторитет CISO вимагати внутрішні ресурси та процеси для задоволення цих очікувань. Нові вимоги до публічних компаній розкривати інвесторам практики управління ризиками створюють додаткові стимули для посилення проактивного захисту кібербезпеки. Ще до того, як вони набули чинності, нові правила SEC підвищили обізнаність про практику кібербезпеки серед правлінь компаній та керівництва компаній, які не належать до CISO, що, ймовірно, призведе до збільшення ресурсів для кібербезпеки.

Публічні компанії з надійними програмами безпеки, які включають постійне виявлення та пом’якшення вразливостей, можуть бути більш привабливими для інвесторів з точки зору управління ризиками, зрілості безпеки та корпоративного управління. У той же час компанії, які займають проактивну позицію щодо зниження ризиків безпеки — наприклад, впроваджують і належним чином забезпечують ресурсами найкращі практики кібербезпеки, як ті, що містяться в ISO 27001, 29147 і 30111 — з меншою ймовірністю постраждають від суттєвих кібератак, які завдадуть шкоди бренду компанії. .

Цей новий нормативний ландшафт дає можливість для CISO оцінити свої внутрішні процедури звітності та переконатися, що вони відповідають вимогам. Якщо публічні компанії ще не мають процедур для передачі важливих питань безпеки виконавчому керівництву, ці процеси мають бути запроваджені негайно. CISO повинні допомогти підготувати інформацію про процеси управління ризиками компанії, а також допомогти забезпечити публічні заяви компанії про безпеку є точними, достовірними та не вводять в оману.

Згідно з новим правилом SEC, публічні компанії повинні розкрити протягом чотирьох робочих днів будь-який інцидент кібербезпеки, який вважається «суттєвим». Але багато спеціалістів із реагування на інциденти цікавляться, що означає бути «суттєвим», особливо коли SEC відмовилася прийняти визначення «суттєвості», пов’язане з кібербезпекою, у правилі та зберегла стандарт, знайомий інвесторам і публічним компаніям. Інцидент є «суттєвим», якщо інформація про цей інцидент є чимось, на що розумний акціонер міг би покластися для прийняття обґрунтованих інвестиційних рішень, або коли він суттєво змінив би «загальну суміш» інформації, доступної акціонеру.

Практично кажучи, визначення того, що є, а що ні не завжди очевидна. Хоча спеціаліст з реагування на інциденти може бути використаний для оцінки наслідків інциденту для безпеки, наприклад, скільки записів було вражено, скільки неавторизованих користувачів мали доступ або який тип інформації був під загрозою, він може бути менш звикли думати про ширше наслідки для компанії. Ось чому багато компаній встановлюють протоколи, як-от перенаправлення до внутрішнього комітету, що складається з професіоналів із безпеки, юристів і керівників, щоб оцінити не тільки ризик безпеки викликаний інцидентом, але вплив на компанію в цілому. Міждисциплінарна команда з більшою ймовірністю зможе оцінити, чи наражає інцидент компанію на відповідальність, впливає на фінансовий стан компанії, порушує відносини між компанією та її клієнтами чи впливає на діяльність компанії через несанкціонований доступ або збій в обслуговуванні, все це з яких мають відношення до визначення суттєвості.

Завдяки деяким сумлінним змінам стандартних операційних процедур CISO можуть ефективно адаптуватися до цього нового регуляторного клімату без різкого збільшення робочого навантаження чи ускладнення і без того високого рівня стресу.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-