CISO'ların SEC Siber Güvenlik Başvurularından Neleri Hariç Tutması Gerekir? - Dünyadan Güncel Teknoloji Haberleri

CISO'ların SEC Siber Güvenlik Başvurularından Neleri Hariç Tutması Gerekir? - Dünyadan Güncel Teknoloji Haberleri
  • Mümkün olduğu kadar az rapor verin

    Booth, “Bu, çok daha fazla dahili ilgiye yol açacak

    Brush, “Çoğu kuruluşun siber operasyonların sonunda işletmeleri üzerinde ne gibi bir etki yaratacağı konusunda hiçbir fikri yok” diyor “Bir olaydan birkaç gün sonra, çok fazla şey bilmeyeceksiniz ”

    Söylemeniz Gerekmeyen Şeyler

    Bir diğer önemli unsur, bilgilerin hissedarlar ve potansiyel yatırımcılar için gerçekten işlem yapılabilir bir değere sahip olup olmayacağıdır

    Accel’s Brush, CISO’ların ayrıca şirket danışmanlarını veya dışarıdan hukuk danışmanlarını da açıklama tartışmalarına ve kararlarına dahil etmesi gerektiğini söylüyor Deloitte’un siber ve stratejik risklerden sorumlu risk ve finans müdürü Naj Adib, “Bir yandan, bilginin materyali hakkında bir karara varmak zorundasınız” diyor Bu durum çetrefilli bir soruyu gündeme getiriyor: Kuruluş, en azından başlangıçta çok düşük güvenilirliğe sahip olduğunu düşündüğü bilgileri açıklamakla yükümlü mü?

  • NTT Avustralya’nın CISO’su Dirk Hodgson, “Yalnızca %80-90 kesinlikle bildiklerinizi bildirin” diyor Ancak başvurular bilinenlere odaklanmaları ve spekülasyonlardan ve tahminlerden kaçınmaları açısından tutarlı “Bildiklerini söylemek ile operasyonları yeniden başlatmanın ne kadar süreceği konusunda temel tahminler yapmak arasında ince bir çizgide düzgün bir şekilde yürüdüklerini” söyledi Başlangıçtaki ayrıntıların çoğu yanlıştır ve günler, haftalar ve aylar geçtikçe raporlar tekrar tekrar güncellenmektedir Bu, isteseniz bile sır olarak saklayamayacağınız türden bir ayrıntıdır ”



    siber-1

    Nedensellik değil, gözlemlenen etki hakkında konuşun

    Rakip Yükümlülükler

    CISO’ların eş zamanlı olarak hokkabazlık yaptığı üç rakip hedef vardır:

    • Mümkün olduğu kadar rapor verin

      CISO’lar ayrıca hangi ayrıntıların halihazırda kamuya açık olduğunun farkında olmalıdır Bu departmanlar bunu inceledikten sonra not, Menkul Kıymetler ve Borsa Komisyonu’na başvuruyu hazırlamak için kullanılacak Booth, belirli bir güvenlik açığını ortaya çıkarmanın değerinin, saldırganlara size karşı kullanabilecekleri daha fazla bilgi sağlama potansiyeline göre dengelenmesi gerektiğini tavsiye ediyor

      Yalnızca onaylanmış şeyleri bildirmek mantıklı olsa da, bu tavsiye her zaman doğru çağrı olmayabilir Bu eylem hem tartışmaya gerekli hukuki tavsiyeyi getirir Ve avukat-müvekkil ayrıcalığı nedeniyle konuşmaların yasal olarak keşfedilmesini önler

    • Yalnızca emin olduğunuz şeyleri bildirin ”

      ABD federal mahkemelerinde özel uzman ve Accel Consulting’in vizyon sahibi başkanı Douglas Brush, hangi güvenlik olayı ayrıntılarının önemli olacağını seçmenin zor olabileceğini vurguluyor Ve ‘dış kuruluşlarla araştırmaya devam edeceğiz’ deyin

      Gem Security’nin siber savunma stratejisinden sorumlu başkan yardımcısı Phil Neray, Clorox’un SEC dosyalarının bu “neye güvendiğinizi bildirin” noktasını iyi gösterdiğini söylüyor “Bunu süper özet seviyesinde tutun” diyor Örneğin Caesars ve MGM olaylarında, iki kumarhanede kalan misafirlerin odalarına girememeleri gibi, sosyal medya aracılığıyla başvurulardan daha fazla bilgi mevcuttu Kendisi, olayın önemli olduğu sonucuna varmanın bir şey olduğunu, ancak yatırım yapan halk için hangi ayrıntıların ilgili ve anlamlı olduğunu seçmenin oldukça farklı olduğunu söylüyor

      “Bu [SEC] kural CISO’ları çok hassas bir duruma sokuyor ve onlar Olumsuz Forrester Başkan Yardımcısı ve araştırma direktörü Merritt Maxim, “Çok fazla rehberlik ve yönlendirme veriliyor” diyor ve şöyle devam ediyor: “İhlal edildiğinin farkındasın ama ilk gün tüm gerçeklere sahip değilsin

      Sailpoint’in CISO’su Rex Booth, açıklamaların basit ve gerçeklere uygun tutulması gerektiğini kabul ediyor ”

      Maddi bir olay olması durumunda CISO, güvenlik operasyonları merkeziyle birlikte olayın tüm ayrıntılarını içeren bir not hazırlamak ve bunu yatırımcı ilişkileri ve hukuk departmanına göndermek zorunda kalacaktı “Somut ve ölçülebilir şeyler: hangi operasyonların kesintiye uğradığı, hangi sistemlerin tehlikeye atıldığı Değişiklik, zamanlamayla (dört gün içinde) ve açıklamalara verilen önemle ilgili “Dışarı çıkıp iyileştirmeyi tartışmaya gerek yok” diye ekliyor Yasal olarak amaç, yatırımcılarla ve potansiyel yatırımcılarla mümkün olduğunca fazla bilgi paylaşmaktır Bir avukatın hazır bulunması ve dolayısıyla korunmasıyla şunu ekliyor: “Nihai beyanınızı hazırlarken açık ve samimi tartışmalar yapabilirsiniz ”

      Adib, CISO’ların olanlarla kuruluşun bu konuda yapacaklarını ayırması gerektiğini söylüyor Bu artık 10K’da yüzbinlerce satıra gömülü bir çizgi değil” diyor

      Yeni SEC kuralları 18 Aralık’ta yürürlüğe girse de, CISO’ların yeni kurallara nasıl uyum sağlanacağına dair fikir edinmek için inceleyebileceği üç kuruluştan halihazırda açıklamalar var: Sezarlar, MGMve iki Başvurular itibaren Clorox

      İhlaller için Daha Yüksek Profil

      Pratik açıdan bakıldığında hiçbir şey değişmedi Ne SEC her zaman halka açık her şirketin önemli her şeyi SEC’e raporlamasını zorunlu kıldığından, bu durumların rapor edilmesi gerekmektedir

      Başvurular çok farklı olayları ele aldığından, içerilen bilgilerin de çok farklı olması mantıklıdır Siber güvenlik açısından bakıldığında amaç, özellikle saldırı henüz tamamen kontrol altına alınmadığında, potansiyel saldırganlara tehdit ortamınız ve savunmalarınız hakkında mümkün olduğunca az bilgi vermektir

      Brush, “CISO’nun iç güvenlik ekibiyle olan iletişimlerinin tümü potansiyel olarak keşfedilebilir” diyor Hala tüm küresel çevrenizi inceleme noktasına bile yaklaşmış değilsiniz “Ama senin yükümlülüğün bunu açıklamak Başvurularda değişmesi muhtemel hiçbir ayrıntı da paylaşılmıyor SEC’in artık yalnızca siber güvenlik olaylarını raporlamaya yönelik bir belgeye sahip olması, olayları her yönetim kurulunun ve dolayısıyla her CEO ve CFO’nun gündemine taşıyacak



      Kuruluşlar, hangi güvenlik olaylarının yeni SEC kurallarına göre rapor edilmeye yetecek kadar önemli olduğunu tartmaya devam ettikçe, CISO’lar hangi ayrıntıları rapor edeceklerine ve daha da önemlisi hangilerini atlayacaklarına karar verme zorluğuyla karşı karşıya kalıyor