サイバーセキュリティ執行の新時代を乗り切る

解説

30 年 2023 月 XNUMX 日、証券取引委員会 (SEC) は、業界全体のセキュリティ リーダーの想定を揺るがしました。 画期的な訴訟を起こした に対して SolarWinds および最高情報セキュリティ責任者 (CISO)。多くの人は、この動きを CISO の役割で働く人々にとって爆弾が爆発するようなものだとみなしています。また、SECの訴訟で企業の個人がこのような形で非難されたのは初めてである。

事件が明らかになった現在、CISO としての個人的な責任を理解していますか? 60 つ明らかなことは、このケースはメッセージを送っているということです。 CISO は現在、前例のない潜在的な責任リスクに直面しており、セキュリティ担当者の法的暴露に対する積極的なアプローチの必要性が高まっています。この複雑な問題に光を当てるために、私たちは XNUMX 人以上の CISO、元 SEC メンバー、法律専門家をパネルディスカッションに集めました。この一か八かのテーマを議論するためにパネリストを採用するには、背景と信頼性が不可欠でした。私たちの目標は単純でした。CISO コミュニティに責任管理に関する権威あるガイダンスと明確さを提供することです。

委員会はソーラーウィンズ事件を詳しく分析し、SECの焦点は重大な詐欺ではなく過失にあるようだと指摘した。この事件は攻撃的なものとして描かれていますが、本質はそれほど強力ではない可能性があります。専門家らは、CISOが今回の件を警鐘として受け止め、サイバーセキュリティに対する事前対策と誠実なアプローチの必要性を強調するよう提案している。

このディスカッションから収集された洞察は、CISO がサイバーセキュリティ施行の新時代を乗り切るためのロードマップを提供します。ここでは、パネルから学んだ最も重要なアドバイスをいくつか紹介します。

法務顧問との強力な連携を構築する

パネルディスカッションで最初に、そしておそらく最も重要な点の 1 つは、CISO が法務顧問 (GC) と強力な関係を築くことの重要性です。専門家によると、GC は危機の際に重要な味方となり、貴重な法的指導と支援を提供してくれるそうです。 SolarWinds 事件を受けて、CISO は GC と積極的に連携し、潜在的な法的問題に対して協力して十分に準備を整えて対応することが推奨されます。

FBIとの接続を確立する

委員会からのもう 1 つの重要なアドバイスは、できるだけ早く地元の FBI 現地事務所との関係を確立することです。議論に参加したFBIの代表者は、FBIとの既存の関係の重要性を強調した。 FBI 内に連絡先を持つことは、SolarWinds の事件と同様の状況を乗り越えるのに役立ちます。パネルのFBI代表者によると、すべては信頼性に関する要素だという。また、FBI はこのような状況にある企業を被害者とみなしており、そのため CISO は危機が発生するずっと前に地元の FBI 現地事務所との関係を築くことが推奨されているとも指摘しました。

基準の順守に注意する

パネルはまた、サイバーセキュリティの実践を、米国国立標準技術研究所 (NIST) によって概説されているような客観的な標準と整合させることの重要性を強調しました。 SolarWinds の事件で実証されたように、SEC はこれらの基準への準拠の証拠を要求する可能性があります。 「NISTのような客観的な基準に自分自身を合わせようとするときはいつでも、SECはその証拠を求めるでしょう」と当社のSEC代表者の一人は述べた。したがって、一連の標準を使用していることを公表する場合は、選択した標準を遵守していることも確認してください。 CISO は、必要に応じて証拠を提供できるよう、徹底的な文書を維持する必要があります。

弁護士と内部調査の調整

法律顧問に関しては、CISO に独自の弁護士が必要かどうかというテーマで、パネルからさまざまな意見が集まりました。では、CISO は何をすべきでしょうか?委員会は、特に SEC または司法省 (DOJ) による面接を受ける場合には個人弁護士が必要になる可能性が高いということで同意した。内部調査や社内弁護士とのやり取りの際に法的代理人を立てることも賢明な選択かもしれません。

D&O保険を検討してください

取締役および役員 (D&O) 保険への理解と投資は、パネルが強調したもう 1 つの重要な側面です。潜在的な法的措置に直面した場合、D&O をカバーすることで CISO を経済的に保護できます。専門家は、補償範囲をよく理解し、既存の保険請求がないか確認し、さらに保護を強化するために単独の補償を検討することを推奨しています。

3 つの柱を受け入れる: 調整、明確化、エスカレーション

サイバーセキュリティの施行が強化されるこの新時代において、CISO は、調整、明確化、エスカレーションという 3 つの重要な柱を遵守することが推奨されます。サイバーセキュリティの実践を認知された標準に合わせ、法務担当者や FBI の担当者とのコミュニケーションを明確にし、懸念を指揮系統にエスカレーションします。これらの柱は、サイバーセキュリティ幹部が直面する進化する課題に対するプロアクティブかつ保護的なアプローチの基礎を形成します。

CISO は今すぐ積極的な対策を講じる必要があります

SolarWinds SEC 訴訟は、サイバーセキュリティ幹部が直面する潜在的なリスクを明らかにしました。 CISO は、法的暴露から身を守るために積極的な措置を講じることが求められています。法律顧問との強力な連携を構築し、FBI との関係を確立し、サイバーセキュリティ基準を遵守し、D&O 保険を取得し、調整、明確化、エスカレーションの 3 つの柱を受け入れることは、サイバーセキュリティ執行の新時代の課題を乗り越えるための重要なステップです。状況が進化し続ける中、CISO は組織のセキュリティを確保し、自身の専門的地位を守るために常に警戒し、十分な準備を整えておく必要があります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement