Krmarjenje po novi dobi uveljavljanja kibernetske varnosti

KOMENTAR

Komisija za vrednostne papirje in borzo (SEC) je 30. oktobra 2023 omajala predpostavke vodilnih na področju varnosti v različnih panogah, ko je vložil prelomno tožbo proti SolarWinds in njen glavni uradnik za informacijsko varnost (CISO). Mnogi to potezo enačijo kot bombo, ki je eksplodirala za ljudi, ki delajo v vlogi CISO. To je tudi prvič, da je tožba SEC poklicala posameznika iz podjetja na ta način.

Glede na to, da se primer zdaj odvija, ali razumete svojo osebno odgovornost kot CISO? Nekaj ​​je jasno: ta primer pošilja sporočilo. CISO se zdaj soočajo s potencialnimi tveganji odgovornosti brez primere, kar spodbuja potrebo po proaktivnem pristopu k pravni izpostavljenosti vodstvenih delavcev na področju varnosti. Da bi osvetlili to zapleteno vprašanje, smo na okrogli mizi zbrali več kot 60 CISO, nekdanjih članov SEC in pravnih strokovnjakov. Ozadje in verodostojnost sta bila ključnega pomena pri zaposlovanju panelistov za razpravo o tej temi z visokimi vložki. Naš cilj je bil preprost: skupnosti CISO zagotoviti verodostojne smernice in jasnost glede upravljanja obveznosti.

Odbor je razčlenil primer SolarWinds in ugotovil, da se zdi, da se SEC osredotoča na malomarnost in ne na hudo goljufijo. Čeprav je zadeva prikazana kot agresivna, snov morda ni tako robustna. Strokovnjaki predlagajo, naj CISO ta primer vzamejo kot opozorilo, pri čemer poudarjajo potrebo po proaktivnih ukrepih in pristopu v dobri veri do kibernetske varnosti.

Spoznanja, zbrana v tej razpravi, ponujajo načrt za CISO za krmarjenje v tej novi dobi uveljavljanja kibernetske varnosti. Tukaj je nekaj najpomembnejših nasvetov, ki smo se jih naučili na panelu.

Sklenite močna zavezništva z generalnim svetovalcem

Eden prvih – in morda najbolj kritičnih – zaključkov panelne razprave je pomen CISO-jev, ki gradijo močne odnose z generalnim svetovalcem (GC). Po mnenju strokovnjakov je GC lahko ključni zaveznik v času krize, saj zagotavlja dragocene pravne smernice in podporo. Po primeru SolarWinds se CISO svetuje, naj se proaktivno uskladijo s svojim GC, s čimer zagotovijo sodelovalen in dobro pripravljen odziv na morebitne pravne izzive.

Vzpostavite povezave FBI

Drug pomemben nasvet komisije je, da čim prej vzpostavite odnos z lokalnim uradom FBI. Predstavnik FBI je v razpravi poudaril pomen že obstoječih odnosov s FBI. Imeti stik znotraj FBI je lahko ključnega pomena pri navigaciji v situacijah, podobnih primeru SolarWinds. Po besedah ​​predstavnika FBI-ja gre za faktor zaupanja. Opozorili so tudi, da FBI na podjetja v takšnih situacijah gleda kot na žrtve, zato se CISO spodbuja, da vzpostavijo odnos s svojim lokalnim terenskim uradom FBI veliko preden pride do krize.

Bodite pozorni na upoštevanje standardov

Panel je tudi poudaril pomen uskladitve praks kibernetske varnosti z objektivnimi standardi, kot so tisti, ki jih je predstavil Nacionalni inštitut za standarde in tehnologijo (NIST). SEC, kot je prikazano v primeru SolarWinds, lahko zahteva dokazilo o spoštovanju teh standardov. "Vsakič, ko se uskladite z objektivnim standardom, kot je NIST, bo SEC želel dokaz za to," je opozoril eden od naših predstavnikov SEC. Torej, če boste javno objavili, da uporabljate nabor standardov, zagotovite tudi, da upoštevate standarde, ki jih izberete. CISO morajo vzdrževati temeljito dokumentacijo, da po potrebi zagotovijo dokaze.

Usklajuje pravno svetovanje in notranje preiskave

Ko gre za pravnega svetovalca, je tema, ali CISO potrebuje svojega svetovalca ali ne, pritegnila različna mnenja komisije. Torej, kaj naj stori CISO? Panel se je strinjal, da je verjetno potreben osebni odvetnik, zlasti ko ga zaslišuje SEC ali Ministrstvo za pravosodje (DOJ). Imeti pravno zastopanje med notranjimi preiskavami in interakcijo z internimi svetovalci je lahko tudi pametna poteza.

Razmislite o zavarovanju D&O

Razumevanje in vlaganje v zavarovanje direktorjev in uradnikov (D&O) je bil še en ključni vidik, ki ga je poudaril panel. V primeru morebitnih pravnih postopkov lahko pokritost D&O zagotovi finančno zaščito za CISO. Strokovnjaki priporočajo, da se seznanite s kritjem, preverite obstoječe zahtevke in celo razmislite o samostojnem kritju za dodatno zaščito.

Sprejmite tri stebre: uskladitev, razjasnitev, stopnjevanje

V tej novi dobi okrepljenega uveljavljanja kibernetske varnosti svetujemo, da se CISO držijo treh ključnih stebrov: uskladitev, razjasnitev in stopnjevanje. Uskladite prakse kibernetske varnosti s priznanimi standardi, razjasnite komunikacijo s pravnimi osebami in stiki FBI ter stopnjevajte pomisleke navzgor po verigi poveljevanja. Ti stebri tvorijo temelj proaktivnega in zaščitnega pristopa k razvijajočim se izzivom, s katerimi se soočajo vodje kibernetske varnosti.

CISO morajo takoj sprejeti proaktivne ukrepe

Tožba SolarWinds SEC je osvetlila možna tveganja, s katerimi se soočajo vodje kibernetske varnosti. CISO pozivamo, naj sprejmejo proaktivne ukrepe za zaščito pred pravno izpostavljenostjo. Vzpostavitev močnih zavezništev z generalnim pravobranilcem, vzpostavljanje povezav s FBI, upoštevanje standardov kibernetske varnosti, pridobitev D&O zavarovanja in sprejemanje treh stebrov usklajevanja, pojasnjevanja in stopnjevanja so ključni koraki pri obvladovanju izzivov te nove dobe uveljavljanja kibernetske varnosti. Ker se okolje še naprej razvija, morajo CISO ostati pozorni in dobro pripravljeni, da zagotovijo varnost svojih organizacij in zaščitijo svoj poklicni položaj.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement