İhlal Bildirimi , Güvenlik İşlemleri , Standartlar, Düzenlemeler ve Uyumluluk
Venable’dan Grant Schneider, Olay İfşasının İş Etkisine Neden Bakması Gerektiği Konusunda
Micheal Novinson (Michael Novinson) •
11 Ağustos 2023
Venable’dan Grant Schneider, yeni ABD raporlama gereklilikleri kapsamında bir güvenlik olayını ifşa eden halka açık şirketlerin ticari etkiye odaklanması ve teknik parçalardan uzak durması gerektiğini söyledi.
Ayrıca bakınız: Bağlama Duyarlı Değişiklik Yönetimi Sayesinde Daha Güçlü Güvenlik: Bir Örnek Olay İncelemesi
Açıklama, güvenlik olayının geliri, kârlılığı ve kamu algısını nasıl etkileyeceğini incelemelidir. Olayın nasıl gerçekleştiği ve halen devam edip etmediğinin tartışılmasından kaçınılmalıdır, dedi. Menkul Kıymetler ve Borsa Komisyonu tarafından kabul edilen yeni kurallar, borsada işlem gören firmaları, “önemli siber güvenlik olaylarının” çoğunu önemliliğin belirlenmesinden sonraki dört iş günü içinde ifşa etmeye zorlayacak (bkz.: SEC, 4 Gün İçinde Önemli Olay Açıklamasını Zorunlu Hale Getiriyor).
Schneider, “Sahip olacağım tek endişe, sorunun hafifletilmemiş olabileceğidir.” Dedi. “Bir kuruluşun hâlâ yanıt vermeye, toparlanmaya ve hafifletmeye çalıştığı devam eden bir olay olabilir. Dışarı çıkıp ‘Yaralandım’ dediğinizde bir nevi hedef haline geliyorsunuz. bu kuruluşlar için potansiyel güvenlik.”
Information Security Media Group ile yapılan bu video röportajında Schneider ayrıca şunları tartıştı:
- Kuruluşlar, bir güvenlik olayının önemli olup olmadığını nasıl belirleyecek;
- Şirketlerin ulusal güvenlik nedenleriyle açıklamayı ne sıklıkla erteleyebilecekleri;
- Yeni SEC kurallarını ihlal ettiği tespit edilen şirketler için olası sonuçlar.
Venable’dan önce Schneider, ABD federal CISO ve ABD federal CISO yardımcısı ve Beyaz Saray Ulusal Güvenlik Konseyi’nde siber güvenlik politikası kıdemli direktörü olarak görev yaptı. Daha önce, Savunma İstihbarat Teşkilatında yedi yıl baş bilgi görevlisi olarak görev yaptı.