[ This article was originally published here ]
Menkul Kıymetler ve Borsa Komisyonu (SEC), halka açık şirketlerin siber güvenlik olayları konusunda daha şeffaf olmalarını gerektiren yeni bir kural getirdi. Yeni kural, şirketlerin herhangi bir önemli siber güvenlik olayını bu kararın ardından dört iş günü içinde açıklamasını gerektiriyor. Açıklamada olayın niteliği, şirket üzerindeki etkisi ve şirketin tepkisi de dahil olmak üzere olayın önemli yönleri anlatılmalıdır.
SEC’in önerdiği kurallar arasında yazılı siber güvenlik politikaları ve prosedürleri, BT risk değerlendirmeleri, kullanıcı güvenliği ve erişim kontrolleri, tehdit ve güvenlik açığı yönetimi, olay müdahalesi ve kurtarma planları, yönetim kurulu gözetimi, kayıt tutma ve siber güvenlik olayı raporlaması ve açıklamaları yer alıyor.
CISO’ların bu gereksinimi mevcut olay müdahale planlarına sorunsuz bir şekilde dahil etmelerine yardımcı olmak için işte bazı uygulanabilir ipuçları:
Olay müdahale planınızı tekrar gözden geçirin: Olay müdahale planı, bir güvenlik ihlali veya başka beklenmedik bir olay sırasında atacağınız adımların ana hatlarını çizen yapılandırılmış bir yaklaşımdır. Bir müdahale planı olmadan işletmeniz bir güvenlik olayına hazırlıksız olabilir. Etkili bir plan, tehditleri hızlı bir şekilde tanımlamanıza ve kontrol altına almanıza, hassas bilgileri korumanıza, kesinti süresini en aza indirmenize ve bir saldırının veya diğer beklenmedik olayların mali etkisini azaltmanıza yardımcı olur.
Bildirim prosedürünü ve bildirim için proaktif planlamayı güncelleyin: SEC gerekliliklerine uymaya yönelik adımları özetleyen iyi tanımlanmış bir bildirim prosedürü oluşturun. Bildirimlerin hazırlanması, onaylanması ve ilgili taraflara iletilmesi için roller ve sorumluluklar atayın. Kriz sırasında doldurulacak olaya özgü ayrıntılara yer bırakarak, önceden onaylanmış içeriğe sahip iletişim şablonları geliştirin.
Maddi olayın tespiti ve etkisi: Finansal, itibari ve operasyonel sonuçlar da dahil olmak üzere önemliliğin belirlenmesine yönelik kriterleri tanımlayın. Bu adım, dört günlük sıkı raporlama son tarihine uyulması açısından kritik öneme sahiptir.
Veri koruma ve açıklama dengesi: Kamuya yapılan açıklamalar sırasında gizli bilgilerin korunmasına yönelik protokoller geliştirin ve açıklama düzenlemelerine uygunluğu sağlamak için hukuk müşavirleriyle yakın işbirliği yapın.
Düzenli plan incelemeleri ve üçüncü taraf değerlendirmeleri: Gelişen tehditlere ve uyumluluk gereksinimlerine ayak uydurmak için olay müdahale planınızı düzenli olarak güncelleyin. Kapsamlı değerlendirmeler yapmak, boşlukları ve derhal ilgilenilmesi gereken potansiyel güvenlik açıklarını belirlemek için harici siber güvenlik uzmanlarıyla iletişime geçin.
Masaüstü egzersizleri yapın: Gerçek dünyadaki siber güvenlik olaylarını simüle eden masa üstü tatbikatlar düzenleyin. Bu tatbikatların karar alma, iletişim ve olay etki değerlendirmesine odaklanarak iş boyutunu içerdiğinden emin olun. Bu tatbikatlar ekibinizin becerilerini geliştirecek ve yeni 4 günlük süreye hazırlıklılığı artıracaktır.
Siber güvenlik farkındalığı kültürünü teşvik edin: Siber güvenlik farkındalığına ve olay raporlamaya öncelik veren şirket çapında bir kültür oluşturun. Çalışanlarınızı potansiyel tehditleri derhal bildirmeye teşvik ederek ekibinizin riskleri azaltmak için hızlı bir şekilde yanıt vermesini sağlayın.
Hazırlık duruşunuzu belirlemek için kendinize aşağıdaki soruları sorun:
Olay raporlama ve yönetim soruları
- Siber güvenlik olaylarını bildirme süreciniz nedir?
- Bir ihlalin veya saldırının önemliliğini etkili bir şekilde nasıl belirleyebilirsiniz?
- Önemliliğin belirlenmesine yönelik süreçleriniz ayrıntılı bir şekilde belgeleniyor mu?
- Açıklanacak doğru bilgi düzeyini belirlediniz mi?
- Dört gün içinde rapor verebilir misiniz?
- “Önemli” olarak nitelendirilen ilgili olayları bildirme zorunluluğuna nasıl uyacaksınız?
Olay yönetimi politikaları ve prosedürleri
- Kuruluşunuzun politika ve prosedürleri, risk değerlendirmeleri, kontrolleri ve kontrol izlemeleri kamuya açıklanacak kadar güçlü mü?
- Politikalarınız ve prosedürleriniz, tanınmış en az bir sektör çerçevesindeki spesifikasyonlarla uyumlu mu? Düzenli olarak güncelleniyorlar mı? Organizasyondaki herkes onların ne olduğunu ve onları takip etmekten nasıl sorumlu olduklarını biliyor mu? Bunlar iyi uygulanıyor mu?
Yönetişim ve risk yönetimi
- Risk değerlendirmeniz sağlam mı ve işletmenizin karşı karşıya olduğu en önemli risklere odaklanarak kuruluş genelinde uygulanıyor mu?
- Risk değerlendirmelerini ne sıklıkla yapıyorsunuz? Değerlendirme sonuçları kurumsal siber stratejinize, risk yönetimi programınıza ve sermaye tahsislerinize dahil ediliyor mu?
- Siber güvenlik programınızı değerlendirmesi için üçüncü bir tarafla görüştünüz mü?
Yönetim kurulu ve liderlik farkındalığı
- Kuruluşunuz risk azaltma faaliyetlerinin ve kontrollerinin etkinliğini nasıl izliyor? Bir endüstri çerçevesine göre değerlendirildiğinde yetenekleriniz ne kadar olgun?
- Liderlik ve yönetim kurulu bu kontrollerin etkinliği konusunda nasıl bilgilendiriliyor?
- C düzeyindeki yöneticileriniz, siber güvenliği yönetim kurulu düzeyinde denetlemek için gereken bilgileri alıyor mu?
Çözüm
Sonuç olarak, halka açık şirketler ve siber güvenlik olaylarına ilişkin yeni SEC kuralı, şirketlerin maddi siber güvenlik olayları konusunda daha şeffaf olmasını gerektiriyor. Bu gerekliliğe uymak için şirketler olay müdahale planlarını yeniden gözden geçirmeli, bildirim prosedürlerini güncellemeli, maddi olay tanımlama ve etki değerlendirmeleri yapmalı, veri koruma ve açıklama dengesine yönelik protokoller geliştirmeli, düzenli plan incelemeleri ve üçüncü taraf değerlendirmeleri yürütmeli, masaüstü tatbikatlar yapmalı, ve siber güvenlik farkındalığı kültürünü teşvik etmek. Şirketler, doğru soruları sorarak ve gerekli adımları atarak SEC’in yeni siber güvenlik olaylarını açıklama kuralına uymaya hazır olduklarından emin olabilirler.
Reklam