Artık SEC, tespitten sonraki dört gün içinde herhangi bir maddi güvenlik olayı hakkında bilgi edinmek istediğine göre, CISO’ların neyin maddi güvenlik olayı teşkil ettiğini belirlemesi gerekiyor. — bu sadece bir veri ihlalinin çok ötesine geçiyor.
Zorlayıcı unsurlardan biri, ister şirket içinde keşfedilmiş olsun, ister dış bir kaynak tarafından raporlanmış olsun, güvenlik açıkları etrafında dönüyor. Güvenlik liderlerinin şunu sorması gerekiyor: Saldırganlar bu kusuru keşfedip kullanırsa ne olabilir? Bu ne kadar zararlı olabilir? Bu cevaplar, güvenlik liderlerinin güvenlik kusurunun SEC’e bildirilmesi gerekip gerekmediğini anlamalarına yardımcı olabilir.
SEC kuralının son metni, siber güvenlik tehdidini “kayıt ettirenin bilgi sistemlerinin veya burada bulunan herhangi bir bilginin gizliliğini, bütünlüğünü veya kullanılabilirliğini olumsuz yönde etkilemeye yönelik yetkisiz bir çabayla sonuçlanabilecek herhangi bir potansiyel olay” olarak tanımlıyor.
Ancak odak noktası süreç üzerindedir — bireysel bir güvenlik açığı değil. Bu nedenle, yeni SEC kuralına göre güvenlik açıklarının rapor edilmesi gerekmeyebilir mi? Bir güvenlik açığı giderildiyse devam eden bir risk kalmaz. Ve eğer bir güvenlik kusuru henüz giderilmemişse SEC, bunun şirketin siber güvenlik duruşunu zayıflatıp zayıflatmayacağına ilişkin raporlamada bir istisna oluşturmuştur.
Siber güvenlik uyumluluğu nadiren bu kadar basit olduğundan bu kadar basit olamaz.
Akamai’de 25 yıl boyunca CISO olarak görev yapan YL Ventures’ın işletme ortağı Andy Ellis, “Önemliliği düşündüğümde, güvenlik açığının doğrudan özelliklerinden ziyade, güvenlik açığından yararlanacak bir ihlalin sonucunu dikkate alıyorum” diyor. yıllar. “Bu güvenlik açığını kullanan bir ihlal felakete yol açacaksa, bunun önemliliği artırdığını düşünüyorum.”
Bunun güvenlik açığından ziyade şirketin risk yönetimi süreci ve prosedürleriyle ilgili olduğunu ekliyor.
“Gerçekten tutarlı bir risk yönetimi yapıyor musunuz? [security] boşluktaki delik gerçekten önemli değil. SEC bu fırsatı kaçırdı. İyi bir risk yönetimi yapıyorsanız sorunları çözüyorsunuz demektir. Onlar meli Ellis, şirketlerin risk yönetimi ölçümlerini açıklamasını zorunlu kıldığını söylüyor. “Kaç tane delik kapatıldı? Bu riskleri nasıl tespit edip azalttınız?”
Açıklama ve Düzeltmeler için Makul Bir Zaman Çizelgesi
Rising Tide Security adlı kendi siber güvenlik danışmanlık işini kurmak üzere ayrıldığı eylül ayına kadar Talend’de CISO olarak görev yapan Nick Vigier, CISO’ların bilmediği zayıflıkların her yerde mevcut olduğunu söylüyor.
“Her zaman boşluklar ve potansiyel sorunlar vardır ve her potansiyel sorunu tek tek saymak imkansızdır” diyor. “Bazı [attacks using security holes] olağanüstü derecede olası değil.”
Risk ve Dayanıklılık Uygulaması kapsamında Kuzey Amerika’da siber güvenlik çalışmalarına liderlik eden McKinsey ortağı Justin Greis, “Fiili iyileştirmenin zorluğu çoğu zaman politikanın söylediklerinin ötesine geçiyor. Bu çok kaygan bir zemin” diye ekliyor. “Ya onarım onbinlerce sunucunun yamalanmasını gerektiriyorsa ve bu otomasyonla yapılamıyorsa? Bu bir düğme yama işlemi olmayabilir.”
Kurumsal güvenlik liderlerinin, güvenlik açıklarını değerlendirmek ve hem güvenlik hem de iş ihtiyaçlarını dikkate alan bir onarım öncelik listesi oluşturmak için sıkı bir süreçle başlamaları gerekir. Ortak hedef, kritik güvenlik kusurlarının yedi gün içinde, yüksek güvenlik açığına sahip olanların iki hafta içinde ve düşük önem derecesine sahip olanların 30 gün içinde çözülmesidir. Greis diyor ki.
“İşletmeler siber güvenlik hijyeni açısından zayıf olduğunda ve açıkları çok uzun süre açık bıraktığında, bunlar gerçekleşmeyi bekleyen sorunlardır” diyor. “Bu şeylerin ne kadar hızlı olacağına dair bir politika koyun ihtiyaç düzeltilmek.”
Bulut ortamları aynı zamanda karmaşıklıkları da artırıyor çünkü işletmenin bazı onarımlar için bulut satıcısına güvenmesi gerekiyor.
Ellis, Akamai’de CISO iken “tüm müşterilerin önce düzeltmeyi dağıtması gerektiğinden çözülmesi yıllar süren bazı güvenlik açıklarımız vardı” diyor.
Pazartesi Sabahı Oyun Kurucu
Bir saldırganın bir güvenlik açığından yararlanıp başarılı bir saldırı gerçekleştirmesi ve kuruluşun veri ihlalini önemli bir güvenlik olayı olarak SEC’ye bildirmesi, hissedarların hayal kırıklığına uğramasına ve hatta davalara yol açabilir. Ancak her güvenlik açığını anında düzeltecek kaynaklar olmadığında CISO imkansız bir duruma düşer.
ABD Adalet Bakanlığı’na başkanlık eden ve siber güvenlik uygulamalarında uzmanlaşmış bir avukat olan Mark Rasch, “Bir güvenlik açığının belirlenmesi ve hemen onarılmaması risk bazlı bir süreçtir. SEC kurallarında şirketlerin sıfır riske sahip olmaları gerektiğini söyleyen hiçbir şey yoktur” diyor Bakanlığın ileri teknoloji suçlarıyla ilgilenen birimi.
CISO, güvenlik açığının doğasını dikkate almalıdır. Rasch ekler.
“Bildiğimiz istismarlar var mı? Bir istismarın geliştirilme olasılığı nedir? Bir istismar yaratmak için gereken beceri seti nedir? Senaryo çocuklarından mı yoksa ulus devletten mi bahsediyoruz?” “Zarar olasılığı nedir? Kabul edilebilir telafi edici kontroller var mı? Hangi maliyetler söz konusu? Biz sadece para değil, aynı zamanda iş kesintileri ve süreç kesintileriyiz. Ayrıca, hafifletmenin olası maliyetini hesaplamak da var.”