Liderlik ve Yönetici İletişimi, Standartlar, Düzenlemeler ve Uyumluluk, Eğitim ve Güvenlik Liderliği
Avukat, 2020 İhlalinin Ardından CISO Tim Brown’a Yönelik Suçlamaların Etkisini Tartışıyor
Anna Delaney (Annamadeline) •
1 Kasım 2023
ABD Menkul Kıymetler ve Borsa Komisyonu’nun SolarWinds ve onun CISO’suna yönelik dolandırıcılık ve iç kontrol başarısızlıkları suçlamalarının sonuçlarının tüm sektör üzerinde etkileri var. Cordery Compliance’ın avukatlarından Jonathan Armstrong, güvenlik liderlerine “dikkatli olmalarını ve bugünkü eylemlerin yarın kaderinizi belirleyeceğini hatırlamalarını” tavsiye ediyor.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
SEC düzenleyicileri Pazartesi günü SolarWinds ve CISO Tim Brown’ı yatırımcıları şirketin siber güvenlik uygulamaları ve riskleri konusunda yanıltmakla suçlayan suçlamalarda bulundular; belirli konuları bilmelerine rağmen yalnızca genel ve varsayımsal riskleri açıkladılar. SEC suçlamaları, Solar Winds’in Aralık 2020’de Orion ağ izleme ürününün daha sonra Rusya Dış İstihbarat Teşkilatı’ndan bilgisayar korsanlarına atfedilen bir saldırıda ele geçirildiğini açıklamasından yaklaşık üç yıl sonra geldi. Dokuz federal kurum tehlikeye girdi.
SEC, New York’un Güney Bölgesi’nde yaptığı şikayette “Yanlış beyanlar, ihmaller ve planlar, şirketin zayıf siber güvenlik uygulamalarını ve artan ve artan siber güvenlik risklerini gizledi” dedi.
Armstrong, “SEC ve diğer düzenleyiciler örnek oluşturmaya çalışırken, bu, verileri koruma ve şeffaflığı sağlama sorumluluğunun asla hafife alınmaması gerektiğinin açık bir hatırlatıcısıdır” dedi. “Kuruluşunuzun bütünlüğünün koruyucuları ve koruyucuları olarak rolünüzde dikkatli olun.”
“Güvenlik liderleri olarak kaynak ihtiyaçları ile sistemik sorunlar arasındaki boşluğu kapatmak, kuruluşlarımızla net bir şekilde iletişim kurmak ve kurullarla yapılan zorlu tartışmalara göğüs germek bizim görevimizdir” dedi. Sadece ağlarımızın korunmasına öncelik vermenin değil, aynı zamanda CISO’nun rolünün ve uzmanlığının önemini vurgulamanın da çok önemli olduğunu ekledi. Aynı derecede önemli olan, şirket yönetim kurullarının siber güvenlik tehditlerinin oluşturduğu riskleri doğru bir şekilde değerlendirmek için yeterli donanıma sahip olmasını sağlamaktır.
Bilgi Güvenliği Medya Grubu ile yapılan bu video röportajında Armstrong şunları tartıştı:
- SEC’in SolarWinds ve onun CISO’suna karşı öne sürdüğü önemli iddiaların dökümü;
- İddiaların doğru olduğu kanıtlanırsa Brown’un karşılaşabileceği potansiyel sonuçlar ve bunun benzer pozisyonlardaki diğer güvenlik liderleri için ne anlama gelebileceği;
- Güvenlik liderleri yatırımcılara güven vermek ile kuruluşlarının siber güvenlik sorunları konusunda şeffaf olmak arasında nasıl bir denge kurabilir?
Londra’da Cordery’de deneyimli bir avukat olan Armstrong, veri koruma ve veri güvenliği hukuku konusunda uzmandır. Çok uluslu şirketlere risk, uyumluluk ve teknoloji konularında danışmanlık yapmaktadır.