SEC 关于网络安全的最新裁决几乎肯定会对风险管理和事件后披露产生影响,CISO 需要将其映射到其特定环境和工具。 我询问了我们的网络安全分析师 安德鲁·格林, 克里斯·雷, 和 保罗·斯特林费罗 他们的想法,我综合了他们的观点。
裁决是什么?
美国证券交易委员会的新裁决要求上市公司发生事件后进行披露。 对于任何已经处理数据保护立法(例如欧洲的 GDPR 或加利福尼亚州的 CCPA)的组织来说,这应该不足为奇。 最终规则对上市公司有两项要求:
- 在公司确定事件重大后四个工作日内披露重大网络安全事件。
- 每年披露有关公司网络安全风险管理、战略和治理的信息。
第一个要求与 GDPR 的强制要求类似,即必须在规定时间内报告违规行为(GDPR 为 72 小时,SEC 为 96 小时)。 为此,您需要知道违规发生的时间、违规中包含的内容、影响的对象等等。 请记住,96 小时不是在首次发现违规行为时开始,而是在确定违规行为严重时开始。
SEC 裁决的第二部分涉及公司面临的风险以及如何解决这些风险的年度报告。 这不会造成不可能的障碍,例如,董事会中不需要有安全专家。 然而,它确实证实了一定程度的期望:公司需要能够展示专业知识如何发挥作用并在董事会层面发挥作用。
什么是重大网络安全事件?
鉴于提及“重大”事件,美国证券交易委员会的裁决包括对重大性含义的讨论:简单地说,如果您的企业认为该事件足够重要,需要采取行动,那么它就足够重要,需要披露。 这确实引出了如何操纵裁决的问题,但我们不建议仅仅为了避免潜在的披露而忽视违规行为。
在帮助公司实施处理裁决的解决方案的适用安全主题方面,这与我们对主动检测和响应的研究相一致(XDR 和 国家报告),以及事件整理和见解(SIEM)和自动响应(翱翔)。 我认为 SIEM 供应商只需付出很少的努力即可实现这一点,因为他们已经专注于遵守许多标准。 SIEM 还链接到操作领域,例如事件管理。
年度报告中需要披露什么?
该裁决并不限制安全措施的实施方式,但确实需要报告所使用的机制。 例如,最终规则侧重于披露管理层在评估和管理来自网络安全威胁的重大风险方面的作用。
在研究方面,这涉及数据安全态势管理 (DSPM) 以及其他态势管理领域等主题。 它还涉及治理、合规性和风险管理,这并不奇怪。 是的,确实,如果减少自上而下的治理方法和中外安全工具之间的重叠,这对所有人都有利。
现实世界的影响是什么?
总体而言,美国证券交易委员会的裁决旨在平衡安全可行性与行动——目标是以任何方式降低风险,如果工具可以取代技能(反之亦然),美国证券交易委员会不会介意。 虽然该裁决在要求方面与 GDPR 重叠,但它针对的是不同的受众。 美国证券交易委员会裁决的目的是让投资者形成一致的观点,这样他们就可以将其纳入自己的投资风险规划中。 因此,它比 GDPR 感觉更少官僚主义,并且可能更容易遵循和执行。
无论哪种情况,公共组织都没有任何选择。 考虑到 SEC 在 SolarWinds 攻击后采取的严厉措施,任何 CISO 都不会想忽视这些规定。
2024-04-17 14:22:12
1713855465
