Навигация в новую эпоху обеспечения кибербезопасности

КОММЕНТАРИЙ

30 октября 2023 года Комиссия по ценным бумагам и биржам (SEC) потрясла предположения лидеров безопасности в разных отраслях, когда подал знаковый иск против SolarWinds и его директор по информационной безопасности (CISO). Многие приравнивают этот шаг к взрыву бомбы для людей, работающих в роли директора по информационной безопасности. Кроме того, это первый случай, когда в иске Комиссии по ценным бумагам и биржам (SEC) подобное лицо было вызвано из компании.

Учитывая, что сейчас разворачивается дело, понимаете ли вы свою личную ответственность как директора по информационной безопасности? Ясно одно: этот случай посылает сигнал. В настоящее время директора по информационной безопасности сталкиваются с беспрецедентными потенциальными рисками ответственности, что вызывает необходимость активного подхода к юридическим воздействиям для руководителей служб безопасности. Чтобы пролить свет на этот сложный вопрос, мы собрали более 60 директоров по информационной безопасности, бывших членов SEC и экспертов по правовым вопросам для групповой дискуссии. Предыстория и авторитет имели решающее значение при наборе участников дискуссии для обсуждения этой важной темы. Наша цель была проста: предоставить сообществу CISO авторитетные рекомендации и ясность в вопросах управления ответственностью.

Комиссия проанализировала дело SolarWinds, отметив, что SEC, похоже, сосредоточивает внимание на халатности, а не на вопиющем мошенничестве. Хотя случай изображается как агрессивный, вещество может быть не таким надежным. Эксперты предлагают директорам по информационной безопасности воспринять этот случай как тревожный сигнал, подчеркивая необходимость принятия превентивных мер и добросовестного подхода к кибербезопасности.

Информация, полученная в результате этого обсуждения, предлагает руководителям информационной безопасности дорожную карту для продвижения в эту новую эру обеспечения кибербезопасности. Вот некоторые из наиболее важных советов, которые мы извлекли из дискуссии.

Создавайте крепкие альянсы с главным юрисконсультом

Одним из первых — и, возможно, наиболее важных — выводов групповой дискуссии является важность построения прочных отношений между директорами по информационной безопасности и главным юрисконсультом (GC). По мнению экспертов, ГК может стать важнейшим союзником во время кризиса, предоставляя ценные юридические рекомендации и поддержку. После дела SolarWinds директорам по информационной безопасности рекомендуется активно сотрудничать со своим генеральным директором, обеспечивая совместный и хорошо подготовленный ответ на потенциальные юридические проблемы.

Установить связи с ФБР

Еще один важный совет комиссии — как можно скорее установить отношения с местным отделением ФБР. Представитель ФБР в ходе дискуссии подчеркнул важность ранее существовавших отношений с ФБР. Наличие контактов в ФБР может сыграть важную роль в разрешении ситуаций, аналогичных случаю с SolarWinds. По словам представителя ФБР, все дело в факторе доверия. Они также отметили, что ФБР рассматривает компании, оказавшиеся в таких ситуациях, как жертв, поэтому директорам по информационной безопасности рекомендуется устанавливать отношения с местными отделениями ФБР задолго до того, как произойдет кризис.

Будьте осторожны в соблюдении стандартов

Группа также подчеркнула важность приведения практики кибербезопасности в соответствие с объективными стандартами, такими как стандарты, изложенные Национальным институтом стандартов и технологий (NIST). Комиссия по ценным бумагам и биржам (SEC), как это продемонстрировало дело SolarWinds, может потребовать доказательств соблюдения этих стандартов. «Каждый раз, когда вы придерживаетесь объективного стандарта, такого как NIST, Комиссия по ценным бумагам и биржам (SEC) потребует доказательств этого», – заметил один из наших представителей SEC. Итак, если вы собираетесь публично объявить, что используете набор стандартов, убедитесь, что вы придерживаетесь выбранных вами стандартов. Директора по информационной безопасности должны вести тщательную документацию для предоставления доказательств в случае необходимости.

Координация юрисконсультов и внутренних расследований

Когда дело доходит до юрисконсульта, вопрос о том, нужен ли директору по информационной безопасности собственный адвокат, вызвал разные мнения в группе. Итак, что же делать директору по информационной безопасности? Комиссия согласилась с тем, что, вероятно, потребуется личный адвокат, особенно во время собеседования в Комиссии по ценным бумагам и биржам США или Министерстве юстиции (DOJ). Наличие юридического представительства во время внутренних расследований и взаимодействия со штатным юристом также может быть разумным шагом.

Рассмотрите возможность страхования D&O

Понимание и инвестирование в страхование директоров и должностных лиц (D&O) было еще одним важным аспектом, подчеркнутым экспертной группой. Перед лицом потенциальных судебных исков страхование D&O может обеспечить финансовую защиту директорам по информационной безопасности. Эксперты рекомендуют ознакомиться со страховым покрытием, проверить наличие существующих претензий и даже рассмотреть возможность отдельного покрытия для дополнительной защиты.

Примите три основных принципа: выравнивание, уточнение, эскалация

В эту новую эпоху ужесточения мер по обеспечению кибербезопасности директорам по информационной безопасности рекомендуется придерживаться трех ключевых принципов: согласование, уточнение и эскалация. Приведите практику кибербезопасности в соответствие с признанными стандартами, уточните общение с юридическими лицами и представителями ФБР, а также сообщите о проблемах выше по инстанциям. Эти столпы составляют основу упреждающего и защитного подхода к меняющимся проблемам, с которыми сталкиваются руководители кибербезопасности.

Директора по информационной безопасности должны принять активные меры прямо сейчас

Иск SolarWinds SEC выявил потенциальные риски, с которыми сталкиваются руководители кибербезопасности. Директорам по информационной безопасности настоятельно рекомендуется принять активные меры, чтобы защитить себя от юридического воздействия. Создание прочных союзов с генеральным юрисконсультом, установление связей с ФБР, соблюдение стандартов кибербезопасности, получение страховки D&O и использование трех столпов согласования, разъяснения и эскалации являются ключевыми шагами в решении проблем новой эпохи обеспечения соблюдения кибербезопасности. Поскольку ситуация продолжает меняться, директора по информационной безопасности должны сохранять бдительность и быть хорошо подготовленными, чтобы обеспечить безопасность своих организаций и защитить свою профессиональную репутацию.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement