چونکہ انٹرپرائزز اس بات کا وزن کرتے رہتے ہیں کہ کون سے سیکیورٹی واقعات نئے کے تحت رپورٹ کیے جانے کے لیے کافی مواد ہیں۔ SEC کے قوانین، CISOs کو یہ فیصلہ کرنے کا چیلنج درپیش ہے کہ کن تفصیلات کو رپورٹ کرنا ہے اور، کہیں زیادہ تنقیدی طور پر، کن کو چھوڑنا ہے۔
"یہ [SEC] اصول CISOs کو بہت نازک پوزیشن میں رکھتا ہے، اور وہ ہیں۔ نوٹ بہت زیادہ رہنمائی یا ہدایت دی جا رہی ہے،" میریٹ میکسم کہتے ہیں، فارسٹر وی پی اور ریسرچ ڈائریکٹر۔ "آپ جانتے ہیں کہ آپ سے سمجھوتہ کیا گیا ہے، لیکن آپ کے پاس پہلے دن تمام حقائق نہیں ہیں۔"
کے معاملے میں a مادی واقعہ, CISO، سیکورٹی آپریشن سینٹر کے ساتھ، واقعہ کی تمام تفصیلات کے ساتھ ایک میمو تیار کرنا ہوگا اور اسے سرمایہ کاروں کے تعلقات اور قانونی کو بھیجنا ہوگا۔ ایک بار جب ان محکموں نے اس کا جائزہ لیا تو، میمو کو سیکیورٹیز اینڈ ایکسچینج کمیشن کے لیے فائلنگ کی تیاری کے لیے استعمال کیا جائے گا۔
اگرچہ SEC کے نئے قوانین 18 دسمبر سے نافذ العمل ہوں گے، لیکن پہلے سے موجود ہیں۔ انکشافات تین کاروباری اداروں سے جنہیں CISOs نئے قواعد کی تعمیل کرنے کے بارے میں اندازہ حاصل کرنے کے لیے دیکھ سکتے ہیں: قیصر۔, MGM، اور دو فائلیں سے کلوروکس.
چونکہ فائلنگ بہت مختلف واقعات سے نمٹتی ہے، اس لیے یہ سمجھ میں آتا ہے کہ اس میں موجود معلومات بھی بہت مختلف ہیں۔ تاہم، فائلنگ اس لحاظ سے مطابقت رکھتی ہیں کہ وہ معلوم ہونے والی چیزوں پر توجہ مرکوز کرتے ہیں اور قیاس آرائیوں اور پیشین گوئیوں سے گریز کرتے ہیں۔ فائلنگ میں ایسی کوئی تفصیلات بھی شیئر نہیں کی گئی ہیں جن میں تبدیلی کا امکان ہو۔
مسابقتی ذمہ داریاں
تین مسابقتی مقاصد ہیں جو CISOs بیک وقت کر رہے ہیں:
- جتنا ہو سکے رپورٹ کریں۔ قانونی طور پر، مقصد سرمایہ کاروں اور ممکنہ سرمایہ کاروں کے ساتھ زیادہ سے زیادہ معلومات کا اشتراک کرنا ہے۔
- جتنا کم ہو سکے رپورٹ کریں۔ سائبرسیکیوریٹی کے نقطہ نظر سے، مقصد یہ ہے کہ ممکنہ حملہ آوروں کو آپ کے خطرے کے منظر نامے اور آپ کے دفاع کے بارے میں جتنا ممکن ہو کم بتایا جائے، خاص طور پر جب حملہ ابھی تک مکمل طور پر موجود نہ ہو۔
- صرف وہی رپورٹ کریں جس کے بارے میں آپ کو یقین ہے۔ زیادہ تر ابتدائی تفصیلات غلط ہیں، اور رپورٹس کو بار بار اپ ڈیٹ کیا جاتا ہے جیسے جیسے دن، ہفتے اور مہینے گزرتے ہیں۔ اس سے ایک کانٹے دار سوال پیدا ہوتا ہے: کیا انٹرپرائز ان معلومات کو ظاہر کرنے کا پابند ہے جسے وہ سمجھتے ہیں - ابتدائی طور پر، کم از کم - بہت کم قابل اعتماد؟
NTT آسٹریلیا کے CISO، Dirk Hodgson کہتے ہیں، "صرف وہی رپورٹ کریں جو آپ جانتے ہیں 80-90% یقین سے۔ "ایک واقعے کے چند دن بعد، آپ کو صرف ایک بڑا سودا معلوم نہیں ہوگا۔ آپ اب بھی ممکنہ طور پر اپنے پورے عالمی ماحول کا سروے کرنے کے قریب بھی نہیں ہیں۔
ڈگلس برش، امریکی وفاقی عدالتوں کے ایک خصوصی ماسٹر اور ایکسل کنسلٹنگ کے چیف ویژنری آفیسر، اس بات پر زور دیتے ہیں کہ سیکیورٹی کے کون سے واقعات کی تفصیلات مواد ہوں اس کا انتخاب کرنا مشکل ہو سکتا ہے۔ ان کا کہنا ہے کہ یہ نتیجہ اخذ کرنا ایک چیز ہے کہ واقعہ مادی ہے، لیکن یہ منتخب کرنا کہ کون سی تفصیلات متعلقہ ہیں اور سرمایہ کاری کرنے والے عوام کے لیے معنی خیز ہیں۔
برش کا کہنا ہے کہ "زیادہ تر کاروباری اداروں کو اندازہ نہیں ہے کہ آخر کار سائبر آپریشنز ان کے کاروبار پر کیا اثر ڈالیں گے۔"
فل نیرے، سائبر ڈیفنس اسٹریٹجی برائے جیم سیکیورٹی کے نائب صدر، کہتے ہیں کہ کلوروکس کی ایس ای سی فائلنگ اس "رپورٹ کو جس کے بارے میں آپ کو یقین ہے" کی وضاحت کرتی ہے۔ ان کا کہنا ہے کہ انہوں نے "جو کچھ وہ جانتے ہیں وہ کہنے اور آپریشنز کو بحال کرنے میں کتنا وقت لگے گا اس کے بارے میں بنیادی تخمینہ لگانے کے درمیان ٹھیک طرح سے ایک لائن پر چلتے ہیں۔"
سیل پوائنٹ کے CISO، ریکس بوتھ سے اتفاق کرتے ہیں کہ انکشافات کو سادہ اور حقائق کے مطابق رکھا جانا چاہیے۔ "اسے ایک سپر سمری لیول پر رکھیں،" وہ کہتے ہیں۔ "چیزیں جو ٹھوس اور قابل پیمائش ہیں: کون سے آپریشنز میں خلل پڑا، کون سے نظاموں سے سمجھوتہ کیا گیا۔ مشاہدہ شدہ اثر کے بارے میں بات کریں نہ کہ سبب کے بارے میں۔ اور کہتے ہیں کہ 'ہم بیرونی اداروں کے ساتھ تحقیقات جاری رکھیں گے۔'
جو آپ کو کہنے کی ضرورت نہیں ہے۔
ایک اور اہم عنصر یہ ہے کہ آیا یہ معلومات حصص یافتگان اور ممکنہ سرمایہ کاروں کے لیے واقعی قابل عمل ہونے والی ہیں۔ بوتھ نے مشورہ دیا کہ کسی مخصوص خطرے کو ظاہر کرنے کی قدر کو حملہ آوروں کو مزید معلومات فراہم کرنے کی صلاحیت کے خلاف متوازن ہونے کی ضرورت ہے جو وہ آپ کے خلاف استعمال کر سکتے ہیں۔
CISOs کو اس بات سے بھی آگاہ ہونا چاہیے کہ کون سی تفصیلات پہلے سے عوامی ہیں۔ سیزر اور ایم جی ایم کے واقعات میں، مثال کے طور پر، فائلنگز کے مقابلے سوشل میڈیا کے ذریعے زیادہ معلومات دستیاب تھیں، جیسے کہ یہ حقیقت کہ دو جوئے خانے میں ٹھہرے ہوئے مہمان اپنے کمروں میں جانے سے قاصر. یہ اس قسم کی تفصیل ہے جسے آپ خفیہ نہیں رکھ سکتے، چاہے آپ چاہیں۔
اگرچہ صرف تصدیق شدہ چیزوں کی اطلاع دینا سمجھ میں آتا ہے، لیکن ضروری نہیں کہ وہ مشورہ ہمیشہ صحیح ہو۔ "ایک طرف، آپ کو معلومات کے مواد کے بارے میں فیصلہ کرنا ہوگا،" نج ادیب کہتے ہیں، جو ڈیلوئٹ میں سائبر اور اسٹریٹجک رسک کے لیے ایک خطرہ اور مالیاتی پرنسپل ہیں۔ "لیکن آپ کی ذمہ داری ظاہر کرنا ہے۔"
ادیب کا کہنا ہے کہ CISOs کو اس سے الگ کرنا چاہیے کہ جو کچھ ہوا اس سے تنظیم کیا کرنے جا رہی ہے۔ انہوں نے مزید کہا کہ "باہر جانے اور تدارک پر بات کرنے کی کوئی ضرورت نہیں ہے۔"
خلاف ورزیوں کے لیے اعلیٰ پروفائل
ایک عملی نقطہ نظر سے، کچھ بھی نہیں بدلا ہے کیا رپورٹ کرنا ضروری ہے، کیونکہ SEC نے ہمیشہ عوامی طور پر ہر کمپنی سے مطالبہ کیا ہے کہ وہ SEC کو کسی بھی مواد کی اطلاع دے۔ تبدیلی وقت کے بارے میں ہے - چار دن کے اندر - اور انکشافات پر زور دیا جا رہا ہے۔ حقیقت یہ ہے کہ SEC کے پاس اب ایک دستاویز ہے جو صرف سائبر سیکیورٹی کے واقعات کی رپورٹنگ کے لیے وقف ہے، ہر بورڈ آف ڈائریکٹرز اور اس لیے، ہر CEO اور CFO کے ساتھ واقعات کو سامنے اور مرکز میں لائے گا۔
"یہ کہیں زیادہ اندرونی توجہ کا باعث بنے گا۔ یہ اب 10K میں سیکڑوں ہزاروں لائنوں میں دفن لائن نہیں ہے، "بوتھ کہتے ہیں۔
ایکسیل کے برش کا کہنا ہے کہ CISOs کو کارپوریٹ کونسل یا باہر کے قانونی مشیروں کو بھی افشاء کے مباحثوں اور فیصلوں میں لانا چاہیے۔ یہ عمل دونوں بحث میں ضروری قانونی مشورہ لاتا ہے۔ اور اٹارنی کلائنٹ کے استحقاق کی وجہ سے بات چیت کو قانونی طور پر قابل دریافت ہونے سے بچاتا ہے۔
برش کا کہنا ہے کہ "اندرونی سیکیورٹی ٹیم کے ساتھ CISO کے رابطے ممکنہ طور پر قابل دریافت ہیں۔ ایک وکیل کے موجود ہونے اور اس طرح محفوظ ہونے کے ساتھ، وہ مزید کہتے ہیں، "جب آپ اپنا حتمی بیان تیار کر رہے ہیں، تو آپ کھلی اور صاف بات چیت کر سکتے ہیں۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/edge/what-cisos-should-exclude-from-sec-cybersecurity-filings
- : ہے
- : ہے
- : نہیں
- 10K
- 7
- a
- ہمارے بارے میں
- اس کے بارے میں
- عمل
- جوڑتا ہے
- مشورہ
- مشیر
- کے خلاف
- تمام
- ساتھ
- پہلے ہی
- بھی
- ہمیشہ
- an
- اور
- کوئی بھی
- کچھ
- کیا
- AS
- At
- حملہ
- توجہ
- آسٹریلیا
- دستیاب
- سے اجتناب
- آگاہ
- بنیادی
- BE
- رہا
- کیا جا رہا ہے
- کے درمیان
- بورڈ
- بورڈ آف ڈائریکٹرز
- دونوں
- لانے
- لاتا ہے
- کاروبار
- لیکن
- by
- قیصر۔
- فون
- کر سکتے ہیں
- کیس
- جوئے بازی کے اڈوں
- سینٹر
- سی ای او
- یقین
- سی ایف او
- چیلنج
- چیلنج
- تبدیل
- تبدیل کر دیا گیا
- چیف
- منتخب کریں
- CISO
- کلوز
- کمیشن
- کموینیکیشن
- کمپنی کے
- مقابلہ کرنا
- عمل
- سمجھوتہ کیا
- نتیجہ اخذ
- اعتماد
- منسلک
- غور کریں
- متواتر
- قیام
- مشاورت
- پر مشتمل ہے
- جاری
- مکالمات
- کارپوریٹ
- وکیل
- عدالتیں
- سائبر
- سائبر سیکیورٹی
- دن
- دن
- نمٹنے کے
- فیصلہ کرنا
- فیصلے
- وقف
- دفاع
- ڈیلائٹ
- محکموں
- تفصیل
- تفصیلات
- مختلف
- سمت
- ڈائریکٹر
- ڈائریکٹرز
- ظاہر
- انکشاف
- بات چیت
- بحث
- بات چیت
- do
- دستاویز
- ڈان
- دو
- اثر
- عنصر
- زور
- کافی
- انٹرپرائز
- اداروں
- پوری
- اداروں
- ماحولیات
- خاص طور پر
- اندازوں کے مطابق
- بھی
- آخر میں
- ہر کوئی
- مثال کے طور پر
- ایکسچینج
- چہرہ
- حقیقت یہ ہے
- حقائق
- دور
- وفاقی
- چند
- فائلنگ
- فائلیں
- فائنل
- مالی
- آخر
- توجہ مرکوز
- کے لئے
- فاریسٹر
- چار
- فرینک
- سے
- مکمل طور پر
- منی
- حاصل
- دی
- گلوبل
- Go
- مقصد
- جا
- عظیم
- مہمانوں
- رہنمائی
- ہاتھ
- ہوا
- ہے
- ہونے
- he
- Held
- کس طرح
- کیسے
- تاہم
- HTTPS
- سینکڑوں
- خیال
- if
- وضاحت
- اثر
- اہم
- in
- واقعہ
- معلومات
- ابتدائی
- ابتدائی طور پر
- کے اندر
- اندرونی
- میں خلل
- میں
- کی تحقیقات
- سرمایہ کاری
- سرمایہ کار
- سرمایہ
- IT
- فوٹو
- صرف
- رکھیں
- رکھی
- بچے
- جان
- جانا جاتا ہے
- زمین کی تزئین کی
- وکیل
- قیادت
- کم سے کم
- قانونی
- قانونی مشیر
- قانونی طور پر
- سطح
- امکان
- لائن
- لائنوں
- تھوڑا
- لانگ
- اب
- دیکھو
- بہت
- لو
- بنا
- بناتا ہے
- بنانا
- ماسٹر
- مواد
- میکسم
- مئی..
- بامعنی
- میڈیا
- میمو
- ماہ
- زیادہ
- سب سے زیادہ
- بہت
- ضروری
- ضروری ہے
- ضروری
- ضروریات
- نئی
- نہیں
- کچھ بھی نہیں
- اب
- NTT
- مقاصد
- ذمہ داری
- of
- افسر
- on
- ایک بار
- ایک
- والوں
- صرف
- کھول
- آپریشنز
- or
- تنظیم
- باہر
- باہر
- نقطہ نظر
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پوزیشن
- ممکن
- ممکنہ
- ممکنہ طور پر
- عملی
- پیشن گوئی
- تیار
- کی تیاری
- حال (-)
- صدر
- پرنسپل
- استحقاق
- پروفائل
- مناسب طریقے سے
- محفوظ
- فراہم کرنے
- عوامی
- عوامی طور پر
- رکھتا ہے
- سوال
- بہت
- اٹھاتا ہے
- کے بارے میں
- تعلقات
- متعلقہ
- وشوسنییتا
- بار بار
- رپورٹ
- اطلاع دی
- رپورٹ
- رپورٹیں
- ضرورت
- ضرورت
- تحقیق
- بحال
- انکشاف
- -جائزہ لیا
- ٹھیک ہے
- رسک
- حکمرانی
- قوانین
- s
- کا کہنا ہے کہ
- یہ کہہ
- کا کہنا ہے کہ
- SEC
- خفیہ
- سیکورٹیز
- سیکورٹیز اینڈ ایکسچینج کمیشن
- سیکورٹی
- منتخب
- بھیجنے
- احساس
- علیحدہ
- سیکنڈ اور
- شیئردارکوں
- ہونا چاہئے
- سادہ
- صرف
- بیک وقت
- سماجی
- سوشل میڈیا
- کچھ
- خصوصی
- مخصوص
- تفصیلات
- بیان
- رہ
- ابھی تک
- حکمت عملی
- حکمت عملی
- اس طرح
- خلاصہ
- سپر
- سروے
- سسٹمز
- لے لو
- بات
- ٹھوس
- ٹیم
- بتا
- سے
- کہ
- ۔
- کے بارے میں معلومات
- ان
- وہاں.
- لہذا
- وہ
- بات
- چیزیں
- اس
- ان
- ہزاروں
- خطرہ
- تین
- اس طرح
- وقت
- کرنے کے لئے
- واقعی
- دو
- کے تحت
- اپ ڈیٹ
- us
- امریکی وفاقی
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- قیمت
- Ve
- بہت
- کی طرف سے
- وائس
- نائب صدر
- بصیرت
- vp
- خطرے کا سامنا
- چلا گیا
- چاہتے ہیں
- تھا
- we
- مہینے
- وزن
- اچھا ہے
- تھے
- کیا
- کیا ہے
- جب
- چاہے
- جس
- گے
- ساتھ
- گا
- غلط
- ابھی
- تم
- اور
- زیفیرنیٹ
