КОМЕНТАР
30 жовтня 2023 року Комісія з цінних паперів і бірж (SEC) похитнула припущення лідерів безпеки в різних галузях, коли подав знаковий позов проти SolarWinds і його головний спеціаліст з інформаційної безпеки (CISO). Багато хто прирівнює цей крок до вибуху бомби для людей, які працюють на посаді CISO. Це також перший випадок, коли судовий процес SEC викликав особу з компанії таким чином.
З огляду на те, що справа зараз розгортається, чи розумієте ви свою особисту відповідальність як CISO? Ясно одне: цей випадок є сигналом. CISO зараз стикаються з безпрецедентними потенційними ризиками відповідальності, що спонукає до необхідності проактивного підходу до юридичного впливу для керівників безпеки. Щоб пролити світло на це складне питання, ми зібрали понад 60 CISO, колишніх членів SEC та юридичних експертів для панельної дискусії. Довідка та довіра були життєво важливими для залучення експертів для обговорення цієї важливої теми. Наша мета була простою: надати спільноті CISO авторитетні рекомендації та ясність щодо управління зобов’язаннями.
Комісія розібрала справу SolarWinds, зазначивши, що SEC, схоже, зосереджена на недбалості, а не на кричущому шахрайстві. Хоча корпус зображується як агресивний, речовина може бути не настільки міцною. Експерти пропонують CISO сприйняти цей випадок як тривожний дзвінок, наголошуючи на необхідності проактивних заходів і добросовісного підходу до кібербезпеки.
Ідеї, зібрані в ході цієї дискусії, пропонують для CISO дорожню карту для навігації в цю нову еру забезпечення кібербезпеки. Ось деякі з найважливіших порад, які ми отримали від групи.
Створюйте міцні альянси з генеральним юрисконсультом
Одним із перших — і, мабуть, найважливіших — висновків панельної дискусії є важливість для CISO побудови міцних відносин із головним юрисконсультом (GC). На думку експертів, ГК може бути ключовим союзником у часи кризи, надаючи цінні юридичні рекомендації та підтримку. У зв’язку зі справою SolarWinds CISO рекомендовано активно узгоджувати свої дії зі своїм GC, забезпечуючи спільну та добре підготовлену відповідь на потенційні юридичні проблеми.
Встановіть зв'язки з ФБР
Ще одна важлива порада від комісії — якнайшвидше налагодити стосунки з місцевим офісом ФБР. Представник ФБР під час дискусії наголосив на важливості вже існуючих відносин із ФБР. Наявність контактів у ФБР може допомогти впоратися з ситуаціями, подібними до справи SolarWinds. За словами представника ФБР, вся справа в факторі довіри. Вони також зазначили, що ФБР розглядає компанії в таких ситуаціях як жертви, тому CISO заохочують налагоджувати відносини з місцевим офісом ФБР задовго до виникнення кризи.
Будьте обережні у дотриманні стандартів
Група також підкреслила важливість узгодження практик кібербезпеки з об’єктивними стандартами, такими як ті, що викладені Національним інститутом стандартів і технологій (NIST). SEC, як продемонстровано у справі SolarWinds, може вимагати підтвердження дотримання цих стандартів. «Кожного разу, коли ви погоджуєтеся з об’єктивним стандартом, таким як NIST, SEC зажадає доказів цього», — зазначив один із наших представників SEC. Отже, якщо ви збираєтеся публічно оголосити, що використовуєте набір стандартів, також переконайтеся, що ви дотримуєтеся вибраних вами стандартів. CISO повинні вести повну документацію, щоб надати докази, якщо це необхідно.
Координація юридичних рад і внутрішніх розслідувань
Що стосується юридичних консультантів, то питання про те, чи потрібен CISO власний консультант, викликало різні думки експертів. Отже, що робити CISO? Комісія погодилася, що, ймовірно, потрібен особистий адвокат, особливо під час співбесіди в SEC або Міністерстві юстиції (DOJ). Наявність юридичного представництва під час внутрішніх розслідувань і взаємодії з штатними юристами також може бути розумним кроком.
Розгляньте D&O Insurance
Розуміння та інвестування в страхування директорів і посадових осіб (D&O) було ще одним важливим аспектом, на якому наголосила група. Перед обличчям потенційних судових позовів покриття D&O може забезпечити фінансовий захист для CISO. Експерти рекомендують ознайомитись із покриттям, перевірити наявні претензії та навіть розглянути окреме покриття для додаткового захисту.
Прийміть три основи: узгодження, уточнення, ескалація
У цю нову еру посиленого забезпечення кібербезпеки CISO рекомендується дотримуватися трьох основних принципів: узгодження, уточнення та ескалація. Приведіть практику кібербезпеки у відповідність із загальновизнаними стандартами, уточніть зв’язок із контактними особами з юридичних питань і ФБР, а також повідомте про занепокоєння вище по ланцюгу командування. Ці стовпи формують основу проактивного та захисного підходу до нових проблем, з якими стикаються керівники відділів кібербезпеки.
CISO мають вжити проактивних заходів зараз
Позов SolarWinds SEC висвітлив потенційні ризики, з якими стикаються керівники кібербезпеки. CISO закликають вживати профілактичних заходів, щоб захистити себе від правового впливу. Створення міцних альянсів із генеральним юрисконсультом, налагодження зв’язків із ФБР, дотримання стандартів кібербезпеки, отримання страхування D&O та використання трьох стовпів узгодження, роз’яснення та ескалації є ключовими кроками в навігації з викликами цієї нової ери забезпечення кібербезпеки. Оскільки ландшафт продовжує розвиватися, CISO повинні бути пильними та добре підготовленими, щоб забезпечити безпеку своїх організацій і захистити свій власний професійний авторитет.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement
- : має
- :є
- : ні
- $UP
- 2023
- 30
- 60
- a
- МЕНЮ
- За
- через
- дію
- доданий
- дотримуватися
- прихильність
- дотримуючись
- рада
- порадив
- проти
- вік
- агресивний
- вирішено
- подібний
- вирівнювати
- вирівнювання
- вирівнювання
- ВСІ
- Альянси
- Союзник
- Також
- an
- та
- Оголосити
- Інший
- будь-який
- з'являється
- підхід
- ЕСТЬ
- AS
- зовнішній вигляд
- припущення
- фон
- BE
- перед тим
- буття
- бомба
- приніс
- Створюємо
- by
- call
- званий
- CAN
- який
- випадок
- ланцюг
- проблеми
- контроль
- головний
- головний спеціаліст із інформаційної безпеки
- Вибирати
- CISO
- претензій
- ясність
- ясно
- спільний
- приходить
- комісія
- Комунікація
- співтовариство
- Компанії
- компанія
- комплекс
- Турбота
- Зв'язки
- беручи до уваги
- контакт
- Наші контакти
- триває
- адвокат
- охоплення
- правдоподібність
- криза
- критичний
- вирішальне значення
- Кібербезпека
- Попит
- продемонстрований
- відділ
- управління юстиції
- Міністерство юстиції (МЮ)
- Директори
- обговорювати
- обговорення
- do
- документація
- ДоЙ
- під час
- обіймаючи
- підкреслив
- підкреслюючи
- заохочувати
- примус
- забезпечувати
- забезпечення
- Епоха
- ескалація
- ескалація
- особливо
- істотний
- встановити
- налагодження
- Ефір (ETH)
- Навіть
- докази
- еволюціонувати
- еволюціонує
- обмін
- Біржова комісія
- керівництво
- існуючий
- experts
- експонування
- Face
- стикаються
- фактор
- fbi
- поле
- фінансовий
- Фінансовий захист
- Перший
- перший раз
- Сфокусувати
- для
- форма
- Колишній
- фонд
- шахрайство
- від
- зібраний
- Загальне
- мета
- буде
- керівництво
- має
- посилений
- тут
- Виділено
- HTTPS
- if
- значення
- важливо
- in
- індивідуальний
- промисловості
- інформація
- інформаційна безпека
- розуміння
- Інститут
- інструментальний
- страхування
- Взаємодії
- внутрішній
- інтерв'ю
- Дослідження
- інвестування
- питання
- IT
- ЙОГО
- JPG
- юстиція
- ключ
- орієнтир
- ландшафт
- позов
- юрист
- Лідери
- вчений
- легальний
- Юридична дія
- юридичні експерти
- відповідальність
- світло
- як
- Ймовірно
- місцевий
- Довго
- підтримувати
- управління
- манера
- багато
- Може..
- заходи
- члени
- повідомлення
- більше
- найбільш
- рухатися
- повинен
- National
- Переміщення
- навігація
- Необхідність
- необхідний
- потреби
- Нові
- nist
- зазначив,
- відзначивши,
- зараз
- мета
- отримання
- жовтень
- of
- від
- пропонувати
- Office
- Офіцер
- офіцерів
- on
- ONE
- Думки
- or
- організації
- наші
- з
- викладені
- власний
- панель
- дискусія
- Люди
- може бути
- персонал
- частина
- частин
- стовпи
- plato
- Інформація про дані Платона
- PlatoData
- зображено
- це можливо
- потенціал
- практики
- Проактивний
- професійний
- доказ
- захист
- захист
- Захисні
- забезпечувати
- забезпечення
- публічно
- швидше
- RE
- визнаний
- рекомендувати
- наймання
- відносини
- Відносини
- подання
- представник
- Представники
- відповідь
- ризики
- Дорожня карта
- міцний
- Роль
- s
- SEC
- сек позов
- Securities
- Комісія з цінних паперів і бірж
- безпеку
- посилає
- комплект
- пролити
- струснув
- значення
- аналогічний
- простий
- ситуацій
- розумний
- So
- SolarWinds
- деякі
- Скоро
- автономні
- standard
- стандартів
- становище
- залишатися
- заходи
- сильний
- речовина
- такі
- пропонувати
- підтримка
- Приймати
- Takeaways
- Технологія
- ніж
- Що
- Команда
- Пейзаж
- їх
- самі
- Ці
- вони
- річ
- це
- ті
- три
- час
- times
- до
- разом
- тема
- Довіряйте
- розуміти
- розгортання
- безпрецедентний
- використання
- Цінний
- різний
- жертви
- думки
- життєво важливий
- послуга
- хотіти
- було
- we
- були
- Що
- коли
- Чи
- який
- в той час як
- чому
- волі
- з
- в
- робочий
- ви
- вашу
- себе
- зефірнет