Uzun zamandır beklenen Menkul Kıymetler ve Borsa Komisyonu Siber olay raporlamaya ilişkin kural Salı günü yürürlüğe girerek üst düzey yöneticiler ve yönetim kurulu düzeyinde önemli değişiklikler yarattı.
Kurallar, muhtemelen yalnızca maddi bir olaya müdahale etmekle kalmayıp aynı zamanda bu olayı komuta zincirine raporlama ve resmi bir düzenleyici açıklama yapma göreviyle karşı karşıya kalacak olan CISO’nun rolünü ve sorumluluğunu yeniden çerçeveleyecek.
CISO’lar için kişisel ve profesyonel riskler hiç bu kadar büyük olmamıştı. Geçtiğimiz yıl, Uber’in eski STK’sı, Federal Ticaret Komisyonu tarafından daha önce başlatılan bir veri güvenliği soruşturması sırasında bir fidye yazılımı saldırısının örtbas edilmesine yardımcı olduğu için federal mahkemede mahkum edildi. Haziran ayında SolarWinds’ta CFO ve CISO Sunburst kötü amaçlı yazılım saldırısındaki rolleri nedeniyle SEC tarafından sivil soruşturma altında oldukları bildirildi.
“CISO rolü hiçbir zaman kolay olmadı ve baskıya, çağrı saatlerine ve strese sorumluluk ve cezai sorumluluk eklendiğinde çok daha az çekici görünüyor.” Ryan Witt, Proofpoint’in endüstri çözümlerinden sorumlu başkan yardımcısıe-posta yoluyla söyledi.
Proofpoint yıllık raporunu yayınladı CISO’nun Sesi CISO’ların %62’sinin olaylara müdahale ve kurumsal yönetim sorunlarıyla bağlantılı potansiyel sorumluluk konusunda zaten endişe duyduğunu belirten Mayıs ayındaki rapor.
Verilen yeni SEC kuralları kapsamında karşılaşacakları sorumluluklarCISO’lar arasındaki kaygı düzeyi artıyor.
“SEC kararı ve açıklama gereklilikleri CISO’ya çok fazla baskı ve sorumluluk yüklemeye devam ediyor” Jon France, (ISC)2’nin CISO’su, e-posta yoluyla söyledi. “CISO’lar bu zorluğun üstesinden bireysel olarak geliyor, sorumlulukları ve iş zorlukları eş zamanlı olarak artıyor.”
Yeni düzenlemeler, ABD’de halka açık şirketlerin ve ABD’de ticaret yapan yabancı şirketlerin, siber güvenlik olaylarını, olayın şirketin mali performansı açısından önemli olduğunun belirlenmesinden sonraki dört iş günü içinde açıklamasını gerektiriyor.
Bu nedenle bir CISO’nun, bir saldırının kapsamını belirlemek ve saldırının maliyeti ve kapsamı konusunda ortak bir karar vermek için finans, hukuk, insan kaynakları dahil olmak üzere çeşitli paydaşlarla birlikte çalışması ve bir siber adli tıp uzmanı ve hukuk danışmanı getirmesi beklenebilir. etkinlik.
Jeff DiMuro, BT firması ServiceNow’da CISO yardımcısıyeni SEC kuralının şirketin siber riski yönetme biçiminde büyük değişikliklere yol açmasını beklemediğini söyledi.
DiMuro bir röportajında, “SEC kuralının dört günlük raporlama kuralının sınırlarını andığını düşünüyoruz, ancak bunlar halka açık bir şirketin CISO’ları olarak zaten yapmamız gereken şeyler” dedi.
Şirketin, genel danışman, CFO, CTO, doğrudan amiri CISO ve diğer kilit yöneticiler de dahil olmak üzere birden fazla yöneticiden oluşan bir etik yönlendirme komitesi bulunmaktadır.
Komite, siber bir olay olması durumunda müdahaleyi nasıl yöneteceklerini tartışmak üzere iki haftada bir ve geçici olarak toplanıyor. Şirket ayrıca bir hata ödülü de sunuyor kamu sorumlularını açıklama programı kullanmak HackerOne platformu.
Kurumsal yetkililer, yatırımcıların açtığı davalar ve tüketicilerin toplu davaları da dahil olmak üzere, veri güvenliği sorunlarına nasıl yanıt verdikleri konusunda çeşitli düzenleyici kurumlar tarafından kişisel olarak sorumlu tutulabilir.
İçinde 20222,5 milyon tüketici kaydının sızdırılmasının ardından FTC, Drizly CEO’suna talimat verdi James Cory Rell’lerile Çevrimiçi içki pazarında ve gelecekte katılacağı her yeni işletmede bir veri güvenliği programı uygulayacaktır.
Yeni kararın bir etkisi de CISO’ların ve diğer risk yöneticilerinin, işlerinin bir parçası olarak ek sorumluluk koruması alma yönündeki baskıları oldu. Üst düzey yöneticiler ve yönetim kurulu üyeleri genellikle direktörler ve memurlar sigortası kapsamında sorumluluktan muaftır.
Profesyonel hizmetler firması Aon’un yöneticileri, CISO’ların kapsama dahil olup olmadığı veya mevcut poliçelere eklenip eklenemeyeceği konusunda ek talepler aldıklarını söylüyor.
“Etrafındaki raylar genellikle şirketin tüzüğüdür, ister şirkette bir memur olsun, CISO’ların çoğunlukla bu konuda yeterli olduğunu düşünüyorum” dedi Uri Dallal, Aon’un genel müdürü ve ABD bölge lideri.
“Bununla birlikte, tipik olarak CFO ve CEO’ya ayrılan rolün dava konusu olduğu bu gibi durumlara geldiğinizde, insanların politikalar kapsamında olup olmadıklarını sorgulamaları ve olumlu kapsam aramaları alışılmadık bir durum değil. dedi Dalal.
Lexmark CISO’su Bryan Willett SEC kuralının halka açık şirketler için geçerli olmasına rağmen, kuralın yakından takip edilen işletmeleri de etkileyeceğini söyledi. Örneğin, bir şirketin halka açık bir şirketle üçüncü taraf ilişkisi varsa, her türlü veri ihlali veya saldırı, yanıt verme yeteneğinde değişiklik yapılmasını gerektirebilir.
Williett, e-posta yoluyla şunları söyledi: “Halka açık bir şirketin üçüncü taraf risk yönetimi programı, sözleşmeye bağlı olarak çok kısa bir bildirim gerektirebilir.” “Ortak şirketin özel olup olmadığına bakılmaksızın yine de bu gereksinimi dolaylı olarak karşılamaları gerekiyor.