Soru: CISO’lar değişen siber güvenlik düzenlemelerine nasıl ayak uydurabilir?
Ilona Cohen, Hukuk ve Politika Direktörü, HackerOne: Bilgi güvenliği sorumlusu (CISO) olmak hiçbir zaman kolay bir zaman olmadı, ancak son birkaç ay özellikle zorlu geçti. Fidye yazılımı saldırılarında devam eden artış ve içeriden gelen tehditlerin yaygınlığı gibi işin olağan stres faktörlerine artık daha sıkı düzenleyici yaptırım incelemelerini ekleyebiliriz.
Son zamanlarda ABD Güvenlik ve Borsa Komisyonu’ndan ücretler (SEC), SolarWinds’in CISO’suna karşı, ajans tarafından ilk kez bir CISO’nun bu şekilde seçildiği bir durum. Bu daha büyük olduğunu gösteriyor artan sorumluluk eğilimi Kurumsal güvenlik programlarının yönetilmesinden sorumlu kişiler için.
Ayrıca, ABD borsalarında işlem gören şirketlerin SEC’in yeni siber güvenlik açıklamasına uyması ve olay raporlama kuralları şimdi başlıyorve nitelikli küçük şirketlerin 2024 baharında olay raporlama kurallarına uyması gerekiyor. Bu değişiklikler kurumsal güvenlik programlarını daha da fazla inceleme altına alıyor ve CISO’ların takip etmesi gereken sorumluluk yükünü artırıyor.
Birçok CISO’nun her zamankinden daha fazla baskı hissetmesi şaşırtıcı değil.
Bunlar yeni kurallar ve yükümlülükler Bir CISO’nun çalışmasına mutlaka engel teşkil etmeleri gerekmez; aslında CISO’lar için bir destek kaynağı olabilirler. Siber güvenlik açıklamaları ve olayları ile ilgili SEC kurallarının anlaşılması tarihsel olarak biraz zor olmuştur. SEC, güvenlik riski yönetimi programlarını, yönetişimi ve siber olayları açıklamaya yönelik gereklilikleri açıklığa kavuşturarak CISO’lara bir rehber sağlıyor.
Ayrıca SEC’in risk yönetimi ve yönetişime ilişkin artan beklentileri, CISO’lara daha fazla itibar kazandırmak Bu beklentileri karşılamak için iç kaynakları ve süreçleri talep etmek. Halka açık şirketlerin risk yönetimi uygulamalarını yatırımcılara açıklamasına yönelik yeni gereklilikler, proaktif siber güvenlik savunmalarını güçlendirmek için ek teşvikler yaratıyor. SEC’in yeni kuralları, yürürlüğe girmeden önce bile şirket yönetim kurulları ve CISO dışı şirket liderleri arasında siber güvenlik uygulamalarına ilişkin farkındalığı artırdı ve bu da muhtemelen daha kapsamlı siber güvenlik kaynaklarına dönüşecek.
Sürekli olarak güvenlik açıklarını tespit eden ve azaltan güçlü güvenlik programlarına sahip halka açık şirketler, risk yönetimi, güvenlik olgunluğu ve kurumsal yönetim perspektifleri açısından yatırımcılar için daha çekici olabilir. Aynı zamanda, güvenlik riskini azaltmak için proaktif bir duruş sergileyen şirketlerin (örneğin, ISO 27001, 29147 ve 30111’de yer alan siber güvenlik için en iyi uygulamaları uygulayan ve uygun şekilde kaynak sağlayan), şirketin markasına zarar veren maddi siber saldırılara maruz kalma olasılığı daha düşüktür. .
Bu yeni düzenleme ortamı, CISO’lara iç raporlama prosedürlerini değerlendirme ve bunların eşit olduğundan emin olma fırsatını temsil ediyor. Halka açık şirketlerin önemli güvenlik sorunlarını üst düzey yönetime iletecek prosedürleri halihazırda yoksa, bu süreçler derhal oluşturulmalıdır. CISO’lar şirketin risk yönetimi süreçlerine ilişkin açıklamaların hazırlanmasına yardımcı olmalı ve ayrıca şirketin güvenlikle ilgili kamuya açık beyanları doğrudur, doyurucudur ve yanıltıcı değildir.
Yeni SEC kuralına göre halka açık şirketler, “önemli” sayılan herhangi bir siber güvenlik olayını dört iş günü içinde açıklamak zorunda. Ancak olaya müdahale eden birçok kişi, özellikle SEC’in kuralda siber güvenlikle ilgili bir “önemlilik” tanımını benimsemeyi reddettiği ve bu standardı yatırımcıların ve kamu şirketlerinin aşina olduğu bir standart olarak tuttuğu göz önüne alındığında, “maddi” olmanın ne anlama geldiğini merak ediyor. Bir olay, eğer söz konusu olay hakkındaki bilgi, makul bir hissedarın bilinçli yatırım kararları vermek için güvenebileceği bir şeyse veya hissedarın elindeki “toplam bilgi karışımını” önemli ölçüde değiştirmişse “önemli”dir.
Pratik olarak konuşmak, neyin önemli olup olmadığının belirlenmesi her zaman açık değildir. Bir olay müdahale ekibi, bir olayın güvenlik sonuçlarını (örneğin, kaç kaydın etkilendiği, kaç yetkisiz kullanıcının erişim sağladığı veya ne tür bilgilerin risk altında olduğu) değerlendirmek için kullanılabilse de, daha geniş kapsamlı düşünmeye daha az alışkın olabilirler. şirket için etkileri. Bu nedenle birçok şirket, güvenlik uzmanlarından, avukatlardan ve üst düzey yöneticilerden oluşan bir iç komiteye yönlendirme gibi protokolleri uygulamaya koyuyor. sadece güvenlik riski değil bir olaydan kaynaklanmıştır ancak genel olarak şirket üzerindeki etkisidir. Disiplinlerarası bir ekibin, olayın bir şirketi sorumluluğa maruz bırakıp bırakmadığını, şirketin mali durumunu etkileyip etkilemediğini, şirket ile müşterileri arasındaki ilişkiyi bozup bozmadığını veya yetkisiz erişim veya hizmet kesintisi nedeniyle şirketin faaliyetlerini etkileyip etkilemediğini değerlendirme olasılığı daha yüksektir. önemliliğin belirlenmesiyle ilgilidir.
CISO’lar, standart işletim prosedürlerinde yapılan bazı dikkatli ayarlamalarla, iş yüklerini büyük ölçüde artırmadan veya halihazırda yüksek düzeydeki stresi daha da artırmadan bu yeni düzenleme ortamına etkili bir şekilde uyum sağlayabilirler.
