Navigálás a kiberbiztonság végrehajtásának új korszakában

Navigálás a kiberbiztonság végrehajtásának új korszakában

Időbélyeg: 4. január 2024. 10:00
Forrás csomópont: 3046344

KOMMENTÁR

30. október 2023-án az Értékpapír- és Tőzsdefelügyelet (SEC) megrendítette az iparágak biztonsági vezetőinek feltételezéseit, amikor mérföldkőnek számító pert indított ellen SolarWinds és információbiztonsági igazgatója (CISO). Sokan ezt a lépést a CISO szerepkörében dolgozó emberek bombájához hasonlítják. Ez az első alkalom, hogy egy SEC-per ilyen módon egy magánszemélyt hív ki egy cégből.

A most kibontakozó ügyben megérti-e személyes felelősségét CISO-ként? Egy dolog világos: ez az eset üzenetet küld. A CISO-k most példátlan potenciális felelősségi kockázatokkal szembesülnek, ami arra készteti, hogy proaktív megközelítésre van szükség a biztonsági vezetők jogi kitettsége tekintetében. Ennek az összetett kérdésnek a megvilágítása érdekében több mint 60 CISO-t, korábbi SEC-tagot és jogi szakértőt hívtunk össze egy panelbeszélgetésre. A háttér és a hitelesség létfontosságú volt a paneltagok toborzásánál, hogy megvitassák ezt a nagy téttel bíró témát. Célunk egyszerű volt: hiteles útmutatást és egyértelműséget adunk a CISO közösségnek a felelősségkezelésről.

A testület a SolarWinds-ügyet boncolgatta, és megjegyezte, hogy a SEC úgy tűnik, a gondatlanságra összpontosít, nem pedig a kirívó csalásra. Bár az esetet agresszívnek ábrázolják, az anyag nem biztos, hogy olyan robusztus. A szakértők azt javasolják, hogy a CISO-k ezt az esetet ébresztőként vegyék, hangsúlyozva a proaktív intézkedések és a kiberbiztonság jóhiszemű megközelítésének szükségességét.

Az ebből a megbeszélésből összegyűjtött betekintések ütemtervet kínálnak a CISO-k számára, hogy eligazodjanak a kiberbiztonsági betartatás új korszakában. Íme néhány a legfontosabb tanácsok közül, amelyeket a testülettől tanultunk.

Építsen erős szövetséget a főtanácsossal

A panelbeszélgetés egyik első – és talán legkritikusabb – megjegyzése annak fontossága, hogy a CISO-k erős kapcsolatokat építsenek ki az általános jogtanácsossal (GC). A szakértők szerint a GC döntő szövetséges lehet a válság idején, értékes jogi útmutatást és támogatást nyújtva. A SolarWinds-ügy nyomán a CISO-knak azt tanácsolják, hogy proaktívan igazodjanak el GC-jükhöz, biztosítva az együttműködésen alapuló és jól előkészített választ a lehetséges jogi kihívásokra.

FBI-kapcsolatok létrehozása

A testület másik lényeges tanácsa, hogy mielőbb alakítsanak ki kapcsolatot az FBI helyi irodájával. Az FBI képviselője a megbeszélésen hangsúlyozta az FBI-val már meglévő kapcsolatok fontosságát. Az FBI-n belüli kapcsolattartás nagyban hozzájárulhat a SolarWinds esetéhez hasonló helyzetekben való eligazodáshoz. A testület FBI-képviselője szerint minden a bizalmi tényezőről szól. Azt is megjegyezték, hogy az FBI áldozatként tekint az ilyen helyzetekben lévő vállalatokra, ezért a CISO-kat arra biztatják, hogy jóval a válság bekövetkezte előtt lépjenek kapcsolatba helyi FBI-irodájukkal.

Ügyeljen a szabványok betartására

A testület kiemelte a kiberbiztonsági gyakorlatok objektív szabványokhoz való igazításának jelentőségét is, például a National Institute of Standards and Technology (NIST) által körvonalazottakkal. A SEC, amint azt a SolarWinds eset is bemutatta, igazolást kérhet a szabványok betartásáról. „Bármikor, amikor egy objektív szabványhoz igazodik, mint például a NIST, a SEC bizonyítékot akar erre” – jegyezte meg a SEC egyik képviselője. Tehát, ha nyilvánosan bejelenti, hogy szabványokat használ, győződjön meg arról is, hogy betartja a választott szabványokat. A CISO-knak alapos dokumentációt kell vezetniük, hogy szükség esetén bizonyítékot nyújthassanak.

Jogi tanácsadás és belső vizsgálatok koordinálása

Ami a jogtanácsost illeti, az a téma, hogy a CISO-nak szüksége van-e saját jogászra, eltérő véleményeket váltott ki a testületből. Szóval, mit kell tennie a CISO-nak? A testület egyetértett abban, hogy valószínűleg szükség van személyes ügyvédre, különösen, ha a SEC vagy az Igazságügyi Minisztérium (DOJ) interjút készít vele. Okos lépés lehet a jogi képviselet a belső vizsgálatok során és a házon belüli ügyvéddel való interakciók során.

Fontolja meg a D&O Biztosítást

Az igazgatói és tisztségviselői (D&O) biztosítás megértése és az abba való befektetés egy másik kulcsfontosságú szempont volt, amelyet a testület hangsúlyozott. Az esetleges jogi lépésekkel szemben a D&O lefedettség pénzügyi védelmet nyújthat a CISO-k számára. A szakértők azt javasolják, hogy ismerkedjen meg a fedezettel, ellenőrizze a meglévő igényeket, és fontolja meg az önálló fedezetet is a további védelem érdekében.

Öleld át a három pillért: igazítás, tisztázás, eszkaláció

A fokozott kiberbiztonsági betartatás új korszakában a CISO-knak három kulcsfontosságú pillérhez kell ragaszkodniuk: az összehangoláshoz, a tisztázáshoz és az eszkalációhoz. Igazítsa a kiberbiztonsági gyakorlatokat az elismert szabványokhoz, tisztázza a kommunikációt a jogi és FBI-kapcsolatokkal, és terjessze az aggodalmakat a parancsnoki láncban. Ezek a pillérek képezik a proaktív és védelmező megközelítés alapját a kiberbiztonsági vezetők előtt álló változó kihívásokkal szemben.

A CISO-knak most proaktív intézkedéseket kell tenniük

A SolarWinds SEC per rávilágított a potenciális kockázatokra, amelyekkel a kiberbiztonsági vezetők szembesülnek. A CISO-kat sürgetik, hogy tegyenek proaktív intézkedéseket, hogy megvédjék magukat a jogi kitettséggel szemben. Az erős szövetségek kialakítása a főtanácsadóval, kapcsolatok kialakítása az FBI-val, a kiberbiztonsági szabványok betartása, a D&O biztosítás megszerzése, valamint az összehangolás, a tisztázás és az eszkaláció három pillérének elfogadása kulcsfontosságú lépések a kiberbiztonsági betartatás új korszakának kihívásaiban való eligazodásban. Ahogy a táj tovább fejlődik, a CISO-knak ébernek és jól felkészültnek kell lenniük, hogy biztosítsák szervezeteik biztonságát és megóvják saját szakmai pozíciójukat.

Időbélyeg:

Még több Sötét olvasmány