Standartlar, Düzenlemeler ve Uyumluluk
Yeni SEC Kurallarında Nasıl Gezinilir?
Michael Novinson (MichaelNovinson) •
2 Nisan 2024
Siber güvenlik ihlallerinin hem sayısı hem de ciddiyeti arttıkça, SEC tarafından yakın zamanda kabul edilen siber güvenlik açıklama kuralları gibi düzenleyici incelemeler de arttı.
Ayrıca bakınız: Her Kimlik Risk Altındayken Nereden Başlamalısınız?
2023'ün sonlarında yürürlüğe giren yeni SEC kuralları, ABD'de listelenen tüm şirketler için zorunlu siber olay raporlama gereklilikleri getiriyor. Yeni kurallara göre halka açık bir şirket, önemli bir siber güvenlik olayı yaşadığını belirledikten sonraki dört iş günü içinde önemli siber güvenlik olaylarını bir SEC dosyasında (Form 8-K olarak bilinir) açıklamak zorundadır.
Artan incelemeler, kurumsal liderler ve Baş Bilgi Güvenliği Görevlileri (CISO'lar) üzerinde siber güvenlik yönetişimini, riskini ve uyumluluğunu (GRC) iyileştirme konusunda baskı oluşturuyor. GRC, riskleri yönetirken, şeffaflık sağlarken ve endüstri ve hükümet düzenlemeleriyle uyumluluğu sağlarken BT'yi iş hedefleriyle uyumlu hale getirmek için yapılandırılmış bir yol sunar.
Verizon Enterprise Solutions Küresel GRC Uygulaması ve Amerika Kıtası GRC Teslimat Lideri Sam Junkin, “Yeni gereksinimler arttıkça kuruluşunuz genelinde uyumluluk süreçlerini kolaylaştırmak ve standartlaştırmak büyük önem taşıyor” dedi.
Bu nedenle siber güvenlik olaylarına müdahale etmek için kullanılan kişileri, süreçleri ve teknolojileri belgelemek, kurum çapında görünürlüğü artırmaya yardımcı olacak ve kuruluşların olaylara proaktif bir şekilde hazırlanmasına olanak tanıyacaktır.
Bir CISO Ne Yapmalıdır?
Riskleri azaltırken şirketlerin siber güvenlik uyumluluğunu sürdürmelerine yardımcı olmak için CISO'ların alabileceği eylemler şunlardır:
- Kuruluşunuzun mevcut olaylara müdahale ve raporlama sürecini gözden geçirin. CISO'lar, yürürlükte bir politikaya sahip olmanın ötesinde, ekiplerin siber güvenlik olaylarına zamanında müdahale etmelerini engelleyebilecek teknoloji ve iletişimdeki boşlukları ortaya çıkarmalarına yardımcı olmak için düzenli hazırlık çalışmaları yapmalıdır.
- Tehditleri değerlendirin. Kötü aktörlerin kullandığı stratejiler ve teknikler değişecek, ancak insanların karşılaştığı riskler değişmeyecek. İnsan ve makine kimliklerinin sayısı arttıkça, çoğu güvenlik uzmanı artık önümüzdeki yıl kendi ortamlarında kimlikle ilgili bir uzlaşmanın meydana geleceğini öngörüyor. Riskleri yönetmek için CISO'ların en kritik varlıklarını ve bu kaynaklara kimin ve neyin (kimliklerin) erişebileceğini belirlemesi gerekir. CISO'ların ayrıca erişimin nasıl, ne zaman ve ne kadar süreyle verildiğini de anlamaları gerekir.
- Mevcut kontrolleri değerlendirin. Devam eden uyumluluk gereksinimlerinin bir parçası olarak, CISO'ların mevcut güvenlik kontrollerini ve politikalarını tanınmış standartlara göre analiz etmesi ve bu kontrollerin riskleri yeterince azaltamadığı alanları belirlemesi kritik öneme sahiptir. Kaynaklara erişimi daha iyi izlemek ve kontrol etmek için Sıfır Güven ve En Az Ayrıcalık ilkelerini vurgulayan kimlik güvenliği kontrollerini uygulayabilirler.
- Şirketinizin iç kültürünü değerlendirin. Çalışanların siber güvenliğin önemini anlamalarını sağlamak hayati önem taşıyor. Çalışanlara doğru e-posta ve mesajlaşma uygulamaları hatırlatılmalı ve ayrıca insan hatalarını azaltmak için düzenli eğitim eğitimlerini tamamlamaları gerekmektedir.
- Riskle ilgili iletişim becerilerini geliştirin. CISO'lar ve diğer yöneticiler de iş risklerini yönetim kuruluna etkili bir şekilde iletmelidir. Bu, özellikle finansal ve itibar/marka etkileri bağlamında, karmaşık jargonu anlaşılır terimlere çevirerek teknik ölçümleri yeniden çerçevelemek ve siber güvenlik risklerinin gizemini ortadan kaldırmak anlamına gelir. Kuruluşunuzun en yüksek risklerini ölçmenize ve bunları nasıl azaltabileceğinize yardımcı olmak için maliyet-fayda analizini siber güvenlik çerçevenize entegre etmenin yollarını keşfedin.
Artan İnceleme ve Güçlü Ortaklara Olan İhtiyaç
Yeni SEC siber güvenlik açıklama gereklilikleri, raporlamada şeffaflığı artırmak ve yatırımcıların bilinçli kararlar almasına yardımcı olmak için tasarlanmış olsa da, şirketler üzerinde uyumsuzluk, dava ve diğer risklere ilişkin cezalar şeklinde olumsuz mali etki potansiyeli de arttı.
Siber güvenlik ifşa kurallarının kabul edilmesinden önce bile, SEC ve diğer düzenleyiciler siber güvenlik ve veri gizliliğine daha fazla odaklandıklarını göstermişti. Geçen sonbaharda SEC, siber güvenlik riskleri ve güvenlik açıkları hakkında eksik ve yanıltıcı açıklamalar yapıldığı iddiasıyla SolarWinds Corp.'a ve bilgi güvenliği sorumlusuna karşı suç duyurusunda bulundu.
Eylül 2022'de Morgan Stanley, SEC'in finansal hizmetler firmasının 15 milyon müşterinin kişisel bilgilerini koruyamadığı yönündeki iddialarını çözüme kavuşturmak için 35 milyon dolar ödemeyi kabul etti.
Geçtiğimiz Aralık ayında, New York Finansal Hizmetler Departmanı (NYDFS), 2019 veri ihlaliyle bağlantılı olarak NYDFS Siber Güvenlik Yönetmeliği'nin ihlali nedeniyle First American Title Insurance Co. ile 1 milyon dolarlık bir anlaşmaya vardı.
Potansiyel yasal sonuçlar, kuruluşların siber saldırılara karşı daha iyi hazırlanmaları ve korunmaları gerektiğinin altını çiziyor.
Yeni SEC siber güvenlik açıklama kuralları, uyumluluk için sağlam bir plan gerektirecektir. Burası üçüncü taraf desteğinin ve doğrulamasının CISO'ların çeşitli düzenleyici raporlama gereksinimlerine uygunluğu destekleyen doğru siber güvenlik kontrollerini uygulamaya koymasına yardımcı olabileceği yerdir.
CISO'ların ve üst yönetimin olaylara proaktif bir şekilde hazırlanmak, zayıf noktaları tahmin etmek ve artan düzenleyici incelemelere uymak için bütünsel, kurum çapında planları hayata geçirmek için birlikte çalışmasının zamanı geldi. olaylar yaşanıyor.
Sonuçta bir şey çok açık: 'Bekle ve gör' yaklaşımı artık geçerli bir seçenek değil.
Potansiyel riskler ve mevcut kaynaklar hakkında daha fazla bilgi edinmek için okumaya devam edin.
Ayrıca Verizon'a buradan ulaşabilir veya şu adresi ziyaret ederek daha fazla bilgi edinebilirsiniz: www.verizon.com/business/products/security/.