COMMENTARY
Vào ngày 30 tháng 2023 năm XNUMX, Ủy ban Chứng khoán và Giao dịch (SEC) đã làm lung lay giả định của các nhà lãnh đạo ngành bảo mật trong các ngành khi nó đã đệ đơn kiện mang tính bước ngoặt chống lại SolarWinds và giám đốc an ninh thông tin (CISO). Nhiều người coi động thái này giống như một quả bom phát nổ đối với những người làm việc trong vai trò CISO. Đây cũng là lần đầu tiên một vụ kiện của SEC chỉ trích một cá nhân của một công ty theo cách này.
Khi vụ việc đang diễn ra, bạn có hiểu trách nhiệm cá nhân của mình với tư cách là CISO không? Một điều rõ ràng: Trường hợp này gửi một tin nhắn. CISO hiện đang phải đối mặt với những rủi ro trách nhiệm pháp lý tiềm ẩn chưa từng có, dẫn đến nhu cầu về cách tiếp cận chủ động đối với các rủi ro pháp lý đối với các nhà điều hành bảo mật. Để làm sáng tỏ vấn đề phức tạp này, chúng tôi đã tập hợp hơn 60 CISO, các cựu thành viên SEC và các chuyên gia pháp lý để tham gia một cuộc thảo luận nhóm. Nền tảng và độ tin cậy là rất quan trọng trong việc tuyển dụng các tham luận viên để thảo luận về chủ đề có tính quan trọng cao này. Mục tiêu của chúng tôi rất đơn giản: cung cấp cho cộng đồng CISO hướng dẫn có thẩm quyền và sự rõ ràng về quản lý trách nhiệm pháp lý.
Hội đồng đã mổ xẻ trường hợp SolarWinds, lưu ý rằng trọng tâm của SEC dường như là sơ suất hơn là gian lận nghiêm trọng. Mặc dù vụ án được miêu tả là hung hãn nhưng bản chất có thể không mạnh mẽ bằng. Các chuyên gia đề nghị các CISO coi trường hợp này như một lời cảnh tỉnh, nhấn mạnh sự cần thiết của các biện pháp chủ động và cách tiếp cận thiện chí đối với an ninh mạng.
Những hiểu biết sâu sắc thu thập được từ cuộc thảo luận này đưa ra lộ trình để các CISO định hướng kỷ nguyên thực thi an ninh mạng mới này. Dưới đây là một số lời khuyên quan trọng nhất mà chúng tôi học được từ hội thảo.
Xây dựng liên minh mạnh mẽ với Tổng cố vấn
Một trong những điều đầu tiên - và có lẽ là quan trọng nhất - rút ra từ cuộc thảo luận của hội thảo là tầm quan trọng của việc CISO xây dựng mối quan hệ bền chặt với tổng cố vấn (GC). Theo các chuyên gia, GC có thể là đồng minh quan trọng trong thời kỳ khủng hoảng, cung cấp hướng dẫn và hỗ trợ pháp lý có giá trị. Sau vụ SolarWinds, các CISO nên chủ động liên kết với GC của mình, đảm bảo phản ứng hợp tác và được chuẩn bị tốt trước những thách thức pháp lý tiềm ẩn.
Thiết lập kết nối FBI
Một lời khuyên quan trọng khác từ hội đồng là thiết lập mối quan hệ với văn phòng FBI địa phương càng sớm càng tốt. Một đại diện FBI trong cuộc thảo luận đã nhấn mạnh tầm quan trọng của mối quan hệ từ trước với FBI. Việc có mối liên hệ trong FBI có thể là công cụ giúp giải quyết các tình huống tương tự như vụ SolarWinds. Theo đại diện FBI của hội thảo, tất cả đều nằm ở yếu tố tin cậy. Họ cũng lưu ý rằng FBI coi các công ty trong những tình huống như vậy là nạn nhân, đó là lý do tại sao CISO được khuyến khích thiết lập mối quan hệ với văn phòng FBI địa phương của họ từ lâu trước khi khủng hoảng xảy ra.
Hãy cẩn thận trong việc tuân thủ các tiêu chuẩn
Hội thảo cũng nhấn mạnh tầm quan trọng của việc điều chỉnh các hoạt động an ninh mạng với các tiêu chuẩn khách quan, chẳng hạn như các tiêu chuẩn do Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) nêu ra. SEC, như đã được chứng minh trong trường hợp SolarWinds, có thể yêu cầu bằng chứng về việc tuân thủ các tiêu chuẩn này. Một trong những đại diện SEC của chúng tôi lưu ý: “Bất cứ khi nào bạn điều chỉnh bản thân theo một tiêu chuẩn khách quan, như NIST, SEC sẽ muốn có bằng chứng về điều đó”. Vì vậy, nếu bạn định thông báo công khai rằng bạn đang sử dụng một bộ tiêu chuẩn, hãy đảm bảo rằng bạn tuân thủ các tiêu chuẩn mà bạn chọn. CISO phải duy trì tài liệu kỹ lưỡng để cung cấp bằng chứng nếu cần.
Phối hợp tư vấn pháp lý và điều tra nội bộ
Khi nói đến cố vấn pháp lý, chủ đề liệu CISO có cần luật sư riêng hay không đã thu hút nhiều ý kiến khác nhau từ hội đồng. Vậy CISO phải làm gì? Hội thảo đồng ý rằng có thể cần có một luật sư cá nhân, đặc biệt là khi được SEC hoặc Bộ Tư pháp (DOJ) phỏng vấn. Có đại diện pháp lý trong quá trình điều tra nội bộ và tương tác với luật sư nội bộ cũng có thể là một bước đi thông minh.
Xem xét bảo hiểm D&O
Hiểu biết và đầu tư vào bảo hiểm giám đốc và cán bộ (D&O) là một khía cạnh quan trọng khác được hội thảo nhấn mạnh. Trước các hành động pháp lý tiềm ẩn, việc có bảo hiểm D&O có thể mang lại sự bảo vệ tài chính cho CISO. Các chuyên gia khuyên bạn nên tự làm quen với phạm vi bảo hiểm, kiểm tra mọi khiếu nại hiện có và thậm chí xem xét phạm vi bảo hiểm độc lập để được bảo vệ thêm.
Nắm vững ba trụ cột: Căn chỉnh, làm rõ, nâng cao
Trong kỷ nguyên mới của việc thực thi an ninh mạng được nâng cao, CISO nên tuân thủ ba trụ cột chính: điều chỉnh, làm rõ và báo cáo cấp cao. Điều chỉnh các hoạt động an ninh mạng phù hợp với các tiêu chuẩn được công nhận, làm rõ thông tin liên lạc với các đầu mối liên hệ pháp lý và FBI, đồng thời nâng cao mối lo ngại lên cấp chỉ huy. Những trụ cột này tạo thành nền tảng của cách tiếp cận chủ động và bảo vệ trước những thách thức ngày càng gia tăng mà các nhà điều hành an ninh mạng phải đối mặt.
CISO phải thực hiện các biện pháp chủ động ngay bây giờ
Vụ kiện của SolarWinds SEC đã làm sáng tỏ những rủi ro tiềm ẩn mà các giám đốc điều hành an ninh mạng phải đối mặt. CISO được khuyến khích thực hiện các biện pháp chủ động để bảo vệ bản thân khỏi bị ảnh hưởng bởi pháp luật. Xây dựng liên minh chặt chẽ với tổng cố vấn, thiết lập mối liên hệ với FBI, tuân thủ các tiêu chuẩn an ninh mạng, mua bảo hiểm D&O và tuân thủ ba trụ cột liên kết, làm rõ và leo thang là những bước quan trọng để vượt qua những thách thức của thời đại thực thi an ninh mạng mới này. Khi bối cảnh tiếp tục phát triển, các CISO phải luôn cảnh giác và chuẩn bị tốt để đảm bảo an ninh cho tổ chức của mình và bảo vệ vị thế nghề nghiệp của chính họ.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement
- : có
- :là
- :không phải
- $ LÊN
- 2023
- 30
- 60
- 7
- a
- Giới thiệu
- Theo
- ngang qua
- Hoạt động
- thêm
- tham gia
- tuân thủ
- tôn trọng
- tư vấn
- khuyên
- chống lại
- tuổi
- tích cực
- đồng ý
- dòng chảy
- sắp xếp
- sắp xếp
- liên kết
- Tất cả
- Liên minh
- Đồng minh
- Ngoài ra
- an
- và
- Thông báo
- Một
- bất kì
- xuất hiện
- phương pháp tiếp cận
- LÀ
- AS
- khía cạnh
- giả định
- lý lịch
- BE
- trước
- được
- bom
- Mang lại
- Xây dựng
- by
- cuộc gọi
- gọi là
- CAN
- mà
- trường hợp
- chuỗi
- thách thức
- kiểm tra
- chánh
- Trưởng phòng an ninh thông tin
- Chọn
- CISO
- tuyên bố
- rõ ràng
- trong sáng
- hợp tác
- đến
- hoa hồng
- Giao tiếp
- cộng đồng
- Các công ty
- công ty
- phức tạp
- Mối quan tâm
- Kết nối
- xem xét
- liên lạc
- Liên hệ
- liên tiếp
- tư vấn
- bảo hiểm
- tin tưởng
- cuộc khủng hoảng
- quan trọng
- quan trọng
- An ninh mạng
- Nhu cầu
- chứng minh
- bộ
- sở tư pháp
- Bộ Tư pháp (DoJ)
- Giám đốc
- thảo luận
- thảo luận
- do
- tài liệu hướng dẫn
- DoJ
- suốt trong
- ôm hôn
- nhấn mạnh
- nhấn mạnh
- khuyến khích
- thực thi
- đảm bảo
- đảm bảo
- Kỷ nguyên
- leo thang
- leo thang
- đặc biệt
- thiết yếu
- thành lập
- thành lập
- Ngay cả
- bằng chứng
- phát triển
- phát triển
- Sàn giao dịch
- giám đốc điều hành
- hiện tại
- các chuyên gia
- Tiếp xúc
- Đối mặt
- phải đối mặt
- yếu tố
- fbi
- lĩnh vực
- tài chính
- Bảo vệ tài chính
- Tên
- lần đầu tiên
- Tập trung
- Trong
- hình thức
- Cựu
- Nền tảng
- gian lận
- từ
- tập hợp
- Tổng Quát
- mục tiêu
- đi
- hướng dẫn
- có
- nâng cao
- tại đây
- Nhấn mạnh
- HTTPS
- if
- tầm quan trọng
- quan trọng
- in
- hệ thống riêng biệt,
- các ngành công nghiệp
- thông tin
- bảo mật thông tin
- những hiểu biết
- Viện
- cụ
- bảo hiểm
- tương tác
- nội bộ
- phỏng vấn
- Điều tra
- đầu tư
- vấn đề
- IT
- ITS
- jpg
- Tư pháp
- Key
- mốc
- cảnh quan
- vụ kiện
- luật sư
- các nhà lãnh đạo
- học
- Hợp pháp
- Hành động pháp lý
- chuyên gia pháp lý
- trách nhiệm
- ánh sáng
- Lượt thích
- Có khả năng
- địa phương
- dài
- duy trì
- quản lý
- cách thức
- nhiều
- Có thể..
- các biện pháp
- Các thành viên
- tin nhắn
- chi tiết
- hầu hết
- di chuyển
- phải
- quốc dân
- Điều hướng
- điều hướng
- Cần
- cần thiết
- nhu cầu
- Mới
- nắm tay
- lưu ý
- Lưu ý
- tại
- Mục tiêu
- có được
- Tháng Mười
- of
- off
- cung cấp
- Office
- Nhân viên văn phòng
- cán bộ
- on
- ONE
- Ý kiến
- or
- tổ chức
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- nêu
- riêng
- bảng điều khiển
- thảo luận nhóm
- người
- có lẽ
- riêng
- mảnh
- miếng
- trụ cột
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- có thể
- tiềm năng
- thực hành
- Chủ động
- chuyên nghiệp
- bằng chứng
- bảo vệ
- bảo vệ
- bảo vệ
- cho
- cung cấp
- công khai
- hơn
- RE
- công nhận
- giới thiệu
- tuyển dụng
- mối quan hệ
- Mối quan hệ
- đại diện
- đại diện
- Đại diện
- phản ứng
- rủi ro
- lộ trình
- mạnh mẽ
- Vai trò
- s
- SEC
- kiện giây
- Chứng khoán
- Ủy ban chứng khoán
- an ninh
- gửi
- định
- đổ
- lắc lư
- ý nghĩa
- tương tự
- Đơn giản
- tình huống
- thông minh
- So
- SolarWinds
- một số
- sớm
- độc lập
- Tiêu chuẩn
- tiêu chuẩn
- đứng
- ở lại
- Các bước
- mạnh mẽ
- chất
- như vậy
- đề nghị
- hỗ trợ
- Hãy
- Takeaways
- Công nghệ
- hơn
- việc này
- Sản phẩm
- Phong cảnh
- cung cấp their dịch
- tự
- Kia là
- họ
- điều
- điều này
- những
- số ba
- thời gian
- thời gian
- đến
- bên nhau
- chủ đề
- NIỀM TIN
- hiểu
- mở ra
- chưa từng có
- sử dụng
- Quý báu
- thay đổi
- nạn nhân
- Lượt xem
- quan trọng
- Đánh thức
- muốn
- là
- we
- là
- Điều gì
- khi nào
- liệu
- cái nào
- trong khi
- tại sao
- sẽ
- với
- ở trong
- đang làm việc
- Bạn
- trên màn hình
- mình
- zephyrnet