CISO phải làm gì để đáp ứng các quy định mới của SEC?

Câu hỏi: Làm thế nào CISO có thể theo kịp các quy định an ninh mạng đang thay đổi?

Ilona Cohen, Giám đốc Chính sách và Pháp lý, HackerOne: Trở thành giám đốc an ninh thông tin (CISO) chưa bao giờ là thời điểm dễ dàng, nhưng những tháng vừa qua tôi cảm thấy đặc biệt khó khăn. Đối với những yếu tố gây căng thẳng thông thường của công việc — chẳng hạn như sự gia tăng liên tục của các cuộc tấn công bằng ransomware và sự lan rộng của các mối đe dọa nội bộ — giờ đây chúng tôi có thể tăng cường giám sát việc thực thi quy định.

Gần đây cáo buộc từ Ủy ban An ninh và Giao dịch Hoa Kỳ (SEC) chống lại CISO của SolarWinds là lần đầu tiên một CISO được cơ quan này chỉ định theo cách này. Điều này gợi ý một quy mô lớn hơn xu hướng tăng cường trách nhiệm cho các cá nhân chịu trách nhiệm quản lý các chương trình an ninh của tổ chức.

Ngoài ra, các công ty giao dịch trên các sàn giao dịch của Hoa Kỳ phải tuân thủ quy định và quy định mới về an ninh mạng của SEC. quy tắc báo cáo sự cố bắt đầu từ bây giờvà các công ty nhỏ đủ điều kiện phải tuân thủ các quy tắc báo cáo sự cố vào mùa xuân năm 2024. Những thay đổi này đặt các chương trình bảo mật của tổ chức dưới sự giám sát chặt chẽ hơn nữa và tăng thêm gánh nặng trách nhiệm mà CISO phải theo dõi.

Không có gì ngạc nhiên khi nhiều CISO đang cảm thấy áp lực hơn bao giờ hết.

Kia là quy định và trách nhiệm mới không nhất thiết phải là trở ngại cho công việc của CISO - trên thực tế, họ thực sự có thể là nguồn hỗ trợ cho CISO. Các quy định của SEC về tiết lộ thông tin và sự cố an ninh mạng trước đây hơi khó phân biệt. Bằng cách làm rõ các yêu cầu tiết lộ các chương trình quản lý rủi ro bảo mật, quản trị và sự cố mạng, SEC đang cung cấp cho CISO một cuốn sách hướng dẫn.

Ngoài ra, kỳ vọng ngày càng tăng của SEC về quản lý và quản trị rủi ro có thể mang lại cho CISO vị thế cao hơn yêu cầu các nguồn lực và quy trình nội bộ để đáp ứng những mong đợi đó. Các yêu cầu mới đối với các công ty giao dịch đại chúng về việc tiết lộ các biện pháp quản lý rủi ro cho các nhà đầu tư sẽ tạo thêm động lực để tăng cường các biện pháp phòng vệ an ninh mạng chủ động. Ngay cả trước khi chúng có hiệu lực, các quy tắc mới của SEC đã nâng cao nhận thức về thực hành an ninh mạng trong hội đồng quản trị công ty và lãnh đạo công ty không thuộc CISO, điều này có thể sẽ chuyển sang nguồn cung cấp nguồn lực an ninh mạng mở rộng hơn.

Các công ty đại chúng có chương trình bảo mật mạnh mẽ bao gồm việc liên tục xác định và giảm thiểu các lỗ hổng có thể hấp dẫn hơn đối với các nhà đầu tư từ góc độ quản lý rủi ro, mức độ hoàn thiện về bảo mật và quản trị doanh nghiệp. Đồng thời, các công ty có lập trường chủ động giảm thiểu rủi ro bảo mật - ví dụ: triển khai và cung cấp nguồn lực thích hợp cho các phương pháp hay nhất về an ninh mạng như những phương pháp có trong ISO 27001, 29147 và 30111 - sẽ ít gặp phải các cuộc tấn công mạng nghiêm trọng làm tổn hại đến thương hiệu của công ty .

Bối cảnh quy định mới này tạo cơ hội cho các CISO xem xét lại các thủ tục báo cáo nội bộ của họ và đảm bảo rằng chúng phù hợp. Nếu các công ty giao dịch đại chúng chưa có quy trình để chuyển các vấn đề bảo mật quan trọng lên ban quản lý điều hành thì các quy trình này cần được thiết lập ngay lập tức. CISO sẽ giúp chuẩn bị các thông tin về quy trình quản lý rủi ro của công ty và cũng giúp đảm bảo tuyên bố công khai của công ty về an ninh chính xác, đầy đủ và không gây hiểu nhầm.

Theo quy định mới của SEC, các công ty đại chúng phải tiết lộ trong vòng bốn ngày làm việc bất kỳ sự cố an ninh mạng nào được coi là “quan trọng”. Nhưng nhiều người ứng phó sự cố đang thắc mắc thế nào là “quan trọng”, đặc biệt là khi SEC từ chối áp dụng định nghĩa “quan trọng” liên quan đến an ninh mạng trong quy tắc và giữ tiêu chuẩn quen thuộc với các nhà đầu tư và công ty đại chúng. Một sự cố là “quan trọng” nếu thông tin về sự cố đó là thông tin mà một cổ đông hợp lý có thể dựa vào để đưa ra quyết định đầu tư sáng suốt hoặc khi nó sẽ làm thay đổi đáng kể “tổng thể” thông tin có sẵn cho cổ đông.

Nói thực tế, xác định cái gì là vật chất và cái gì không phải là vật chất không phải lúc nào cũng rõ ràng. Mặc dù người ứng phó sự cố có thể được sử dụng để đánh giá các tác động bảo mật của một sự cố, chẳng hạn như có bao nhiêu hồ sơ bị ảnh hưởng, bao nhiêu người dùng trái phép có quyền truy cập hoặc loại thông tin nào có nguy cơ gặp rủi ro, nhưng họ có thể ít quen với việc nghĩ về những vấn đề rộng hơn. ý nghĩa đối với công ty. Đó là lý do tại sao nhiều công ty đang áp dụng các quy trình - chẳng hạn như giới thiệu đến một ủy ban nội bộ gồm các chuyên gia bảo mật, luật sư và thành viên của C-Suite - để đánh giá. không chỉ là rủi ro bảo mật do một sự cố gây ra mà còn ảnh hưởng đến toàn bộ công ty. Một nhóm liên ngành có nhiều khả năng đánh giá xem liệu sự cố có khiến công ty phải chịu trách nhiệm pháp lý hay không, ảnh hưởng đến tình hình tài chính của công ty, làm xáo trộn mối quan hệ giữa công ty và khách hàng hay ảnh hưởng đến hoạt động của công ty do truy cập trái phép hoặc gián đoạn dịch vụ, tất cả trong số đó có liên quan đến việc xác định tính trọng yếu.

Với một số điều chỉnh tận tâm đối với quy trình vận hành tiêu chuẩn, CISO có thể thích ứng hiệu quả với môi trường pháp lý mới này mà không làm tăng đáng kể khối lượng công việc hoặc làm tăng thêm mức độ căng thẳng vốn đã cao.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-