SEC'in SolarWinds Eylemi Bizi Günah Keçisi Yaptıklarını Gösteriyor - Dünyadan Güncel Teknoloji Haberleri

SEC'in SolarWinds Eylemi Bizi Günah Keçisi Yaptıklarını Gösteriyor - Dünyadan Güncel Teknoloji Haberleri
  • Ayrıca stratejik kararların alındığı yönetim masasında bir sandalyenin olması konusunda ısrarcı olmalılar

    Bir geri itme dalgası göz önüne alındığında, gereklilik daha sonra yerine getirildi düştü Bu paketler, işten çıkarılma veya kontrolleri dışındaki güvenlik olaylarının hukuki sonuçlarıyla karşı karşıya kalmaları durumunda mali koruma sağlayan bir güvenlik ağı görevi görebilir Bu eğilimin ilk örneği, Uber’in eski CISO’su ve dışarıdaki kişiler tarafından yapılan veri ihlaliyle ilgili suçlardan suçlu bulunan ilk şirket yöneticisi Joe Sullivan’ın davasıydı Bu koruyucu önlemleri kendi pozisyonlarına entegre ederek, siber güvenlik liderliğinin karmaşık ve çoğu zaman riskli dünyasında daha iyi ilerleyebilirler Temmuz 2017 ile Aralık 2020 arasında SolarWinds’in güvenlik ve mimariden sorumlu başkan yardımcısı ve bilgi güvenliği grubunun başkanı olarak görev yaptı ve Ocak 2021’de CISO rolüne adım attı

  • Hızla gelişen bir siber güvenlik ortamında, CISO’ların kariyerlerini korumak ve rolleriyle ilişkili riskleri azaltmak için proaktif önlemler alması çok önemlidir

    Ama şimdi, SolarWinds olayında, SEC geri döndü ve doğrudan sadece Şimdi CISO

    Kaçırılan Fırsat: SEC, Yönetim Kurulunda CISO’ların Bulunmasını Gerektiremedi

    SEC, dört günlük ihlal bildirimi şartının ötesinde, SEC tarafından düzenlenen tüm şirketlerin yönetim kurullarında güvenlik temsilini göstermeye hazırlıklı olmalarını talep etmeye de baskı yapıyordu Federal şikayette özellikle Brown’a karşı “kalıcı ihtiyati tedbir, ön karar faiziyle birlikte tazminat, hukuki cezalar ve bir memur ve müdür barosu” talep ediliyor SEC, zaman zaman kaçınılmaz olarak meydana gelen siber güvenlik olaylarıyla ilgili sorunlardan bir yönetim kurulunu sorumlu ve sorumlu tutarak hesap verebilirlik yaratmaya çalışıyordu İhlaller gerçekleştiğinde Brown CISO değildi Aşağıdakiler de dahil olmak üzere dikkate alabilecekleri çeşitli stratejiler vardır:

    1. Kuruluşlarının yöneticileri ve görevlileri (D&O) sigorta poliçesine dahil edilmelerini zorunlu kılmak

      CISO’lar Kendilerini Korumak İçin Hemen Harekete Geçmeli

      Açık olan şey, CISO’ların kendilerini artan dava tehditlerinden korumak için proaktif adımlar atması gerektiğidir Ekim 2022’de Sullivan mahkum Biri 2014’te, diğeri 2016’da olmak üzere, Uber’in veritabanlarına yönelik iki ayrı saldırıyı örtbas etmekle ilgili federal suçlamalarla ilgili olarak



      Stresliyim Brown’u bir davada suçlama kararı ışığında, konuyla ilgilenen herhangi bir bilgi güvenliği şefi (CISO) vurgulanmalıdır Bu pozisyon, güvenliği iş hedefleriyle uyumlu hale getirmelerine ve güvenliğin sonradan akla gelen bir düşünce değil, kuruluşun stratejisinin ayrılmaz bir parçası olmasını sağlamalarına olanak tanır İlgili teknik karmaşıklıkları derinlemesine anlamayan bir CISO, Timothy Brown’unkine benzer bir durumla karşı karşıya kalma riskiyle karşı karşıya kalır: yani günah keçisi haline gelme ve yasal yansımalarla karşı karşıya kalma

      Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) SolarWinds ve eski CISO Timothy G 68 sayfalık şikayet SEC, şirketin ve o zamanki güvenlik şefinin yatırımcıları ve müşterileri “yanlış beyanlar, ihmaller ve şirketin hem zayıf siber güvenlik uygulamalarını hem de artan ve artan siber güvenlik risklerini gizleyen planlar” yoluyla dolandırdığını iddia ediyor Bunu üzücü buluyorum



      siber-1

      CISO’lar her gün, kötüye kullanılma potansiyeli olan güvenlik risklerine yönelik zaman çizelgesi düzenlemelerini onaylamak veya kabul etmek gibi kritik kararlar almakla görevlendirilir
    2. Ayrıca CISO’lar iş sözleşmelerine belirli kıdem tazminatı paketlerini dahil etmeye çalışmalıdır Herkes uymak zorunda: İhlal bildirimi artık birkaç saat sürüyor; kural, önemli bir siber güvenlik olayının önemli olduğunun anlaşılmasından itibaren aylar yerine dört gün içinde SEC’ye bildirimde bulunulmasını gerektiriyor

      Bir CISO olarak benim bakış açıma göre, teknik güvenlik uzmanlığının bu rol için temel bir gereklilik olduğu giderek daha açık hale geliyor Bu, kararlarının sorgulanması durumunda bir hukuki koruma katmanı sağlayacaktır Bu değişim CISO ortamındaki önemli bir dönüşümün altını çiziyor

      Bir CISO’nun, kuruluşunun güvenlik duruşuna ilişkin sorumlulukla karşı karşıya kaldığı bu münferit bir olay değildir ve kesinlikle son da olmayacaktır

      Mart 2023’te SEC önerilen İhlaller ve olaylarla ilgili bildirim dönemleri de dahil olmak üzere siber güvenlik gözetiminde bir dizi değişiklik

    3. CISO’lar talep etmeli yönetim kuruluna doğrudan erişimBu onların kaygılarının ve tavsiyelerinin kuruluşun en üst düzeyinde duyulmasını sağlayacaktır Mayıs 2023’te Sullivan, üç yıl denetimli serbestlik cezasına çarptırıldı: çalınan müşteri verilerinin açığa çıkmasını önlemek için attığı adımları kabul eden hafif bir ceza

      SEC’in şirket yönetim kurullarında güvenlik liderliğini görevlendirmedeki başarısızlığının sonucu, CISO’yu sorumlu tutmaya başvurmaları oldu