ABD Güvenlik ve Borsa Komisyonu (SEC), bir kuruluşun siber güvenlik uzmanlığına büyüteçle baktı.
Özgün SEC'den teklif Mart 2022'de şirketlerin yönetim kurulunda ve yönetimde bir siber güvenlik uzmanını kamuoyuna açıklamasını istediğini söyledi. SEC bugün geri adım attı kurul uzmanı gerekliliği - yine de "kayıt ettirenlerin, yönetim kurulunun siber güvenlik tehditlerinden kaynaklanan risklere ilişkin gözetimini ve yönetimin siber güvenlik tehditlerinden kaynaklanan maddi riskleri değerlendirme ve yönetmedeki rolü ve uzmanlığını açıklamasını" istemesine rağmen.
Bu, SEC'in en azından şimdilik bir kurul siber güvenlik uzmanının kimlik bilgilerini aktif olarak zorlamadığı anlamına gelir. Ancak yine de yönetim siber güvenlik uzmanlığının kendilerine bildirilmesi konusunda ısrar ediyor.
Ancak böyle bir uzmanlığı oluşturan nedir? Uzmanlar bunun çok zor bir soru olduğu konusunda hemfikir.
SEC, siber güvenlik uzmanlığını açıkça tanımlamadı ve bu kritik kararı her şirkete bıraktı. Sertifikalardan, akademik derecelerden ve iş deneyiminden bahsederek, bu uzmanlığı belirlemek için bazı olası alanlara dair ipuçları verdi.
“Niyet ima edilmiş olsa da, siberle ilgili önerilen SEC kuralı aslında kurullarda veya üst yönetimde daha fazla siber güvenlik uzmanlığı gerektirmiyor. Kural, bu uzmanlığı neyin oluşturduğunu açıkça belirtmeyebilir, ancak bunun, denetim komitesinde görev yapan yöneticilerin mali uzmanlıklarının ifşa edilmesi gibi, yöneticiler için uygulanan diğer SEC ifşa gerekliliklerinden farklı değildir” diyor Andrew Morrison. Deloitte Risk ve Mali Danışmanlık müdürü.
Kimin Uzman Olduğuna Piyasa Karar Verecek
Görüşülen çeşitli uzmanlar, SEC'in kimsenin kimlik bilgilerini onaylamayacağını veya reddetmeyeceğini ve belirtilmemiş gereksinimleri karşılayıp karşılamadıklarını belirlemeyeceğini söylüyor. Bunu piyasaya bırakacak.
Bu iki şekilde sonuçlanabilir. İlk olarak, işletme özellikle yıkıcı bir veri ihlaline maruz kaldığında, hissedarlar ve yatırımcılar, piyasa güçleri kimlik bilgilerinin yetersiz olduğuna karar verirlerse, şirketi hisse senedi fiyatını düşürerek cezalandırabilirler. İkincisi, bir şirket, o segmentteki diğer tüm şirketlerin daha etkileyici kimlik bilgilerine sahip uzmanlar üretmesi durumunda, başlangıçta onayladığı kimlik bilgilerini yeniden gözden geçirebilir.
“SEC muhtemelen yeni ifşa gerekliliklerinin siber güvenlik çevresinde sağlıklı bir rekabet yaratacağını umuyor. EY (eski adıyla Ernst & Young) genel müdürü Brian Levine, "Kuruluşlar, benzerlerinin ifşa ettiklerine bakacak ve daha iyisini yapmaya çalışacak veya en azından çok daha kötüsünü yapmamaya çalışacak" diyor.
Yeni kuralın yeni üye arayan kurulların siber güvenlik deneyimine öncelik vermesini sağlayıp sağlamadığı sorulduğunda Levine şüpheyle yaklaşıyor ancak "en azından bir denge bozucu olabilir" yanıtını veriyor.
Deneyim Anahtardır
SEC'in paylaştığı kategorileri tartışırken, güvenlik uzmanlarının çoğu deneyime büyük önem verir ve çok azı sertifikaların çoğundan veya üniversite eğitiminden etkilenir. Yine de, Certified Information System Security Professional (CISSP), Certified Information Systems Auditor (CISA), CompTIA Security+, Certified Ethical Hacker (CEH) ve Certified Information Security Manager (CISM) dahil olmak üzere en popüler sertifikalar ve bilgisayar bilimi dereceleri genellikle yönetim kurulu rolü için çok spesifikse, yönetim rolü için yararlı kabul edilir.
YL Ventures'ın işletme ortağı Andy Ellis, şirketin bu yönetimi aradığını varsayarsak, yeteneği bulmayı kolaylaştıracağı için bazı şirketlerin sertifikalar ve dereceler gibi nicelleştirmesi kolay metriklere çok fazla güveneceğinden endişe ediyor. dışarıdan uzman.
Ellis, "İşe alım görevlileri, metriklere dayalı bir Google araması yapabilir ve niteliksel olarak iyi bir aday olmasalar bile tüm kutuları işaretleyen mükemmel adayı bulabilir" diyor.
Ellis, yönetim kurulu rolü için cevapları bilmekten çok, önemli olduğunu söylüyor. doğru soruları bilmek sormak. CISO kurula MFA'yı uygun şekilde uyguladıklarını söylerse, yönetim kurulu üyesi MFA ve kimlik doğrulama hakkında "Kaç tane faktör kullanıyoruz ve hangilerini kullanıyoruz? En katı doğru yöntemleri mi yoksa en düşük maliyetli ve en az etkili yöntemleri mi kullanıyoruz?” Ve cevap geldiğinde, o yönetim kurulu üyesi cevapların geçerli olup olmadığını bilecek mi?
Güvenlik danışmanlığı firması The CAP Group'un CEO'su Brian Walker da sertifikaların Fortune 500 seviyesinde yardımcı olacağı konusunda şüpheli. İster yönetimde ister yönetim kurulunda olsun, bir siber güvenlik uzmanının en büyük değeri, bir şeyin gerçekten bildirilebilir bir ihlal olup olmadığı gibi, yerinde kritik güvenlik kararları vermesidir. Walker, “Hangi noktada bir olay malzemesidir? Basitçe önemli olup olmadığını belirlemek hızlı bir faaliyet değildir. Ne zaman beyan edersiniz?”
İşe Al, Eğit veya …?
Bir yönetim kurulu pozisyonu için işletmelerin iki yolu vardır: kurula katılmaları için gerçek siber uzmanları işe almak veya mevcut yönetim kurulu üyelerini siber uzmanlara dönüştürmek.
İlk seçenek zordur. Fortune 500 şirketlerinin neredeyse her zaman üç yerden birinden yönetim kurulu üyeleri vardır: diğer şirketlerin CEO'ları ve eski CEO'ları; her türden yatırımcı; ve şirket içi yönetim kurulu üyeleri, genellikle CEO ve CFO veya COO. Bu gruplarda gerçek siber güvenlik uzmanlarını bulmak zor.
Igor Volovich, "Yönetim kurulunun tek yapması gereken uzmanlık göstermekse ve SEC, endüstri sertifikasyonu yoluyla uzmanlık sergileyen yöneticilere kapı açık bırakıyorsa, o zaman görevdeki direktörler kendilerini sertifikasyon eğitim kamplarına veya yönetici siber okullarına götürecektir" diyor, Igor Volovich, Qmulos'ta uyumluluk stratejisinin Başkan Yardımcısı. "Bu tür çabaları ilk elden gözlemledikten sonra, bu tür çabaların son derece sınırlı faydasına tanıklık edebilirim."
The SEC çözmeye çalışıyor siber güvenliğe genellikle büyük şirketlerde ciddi ilgi gösterilmemesi. Yönetim kurulu üyeleri genellikle sahip olma konusunda destekleyici şeyler söyleyecektir. risk için düşük tolerans ve güvenlik korumalarının önemi.
Ama yönetim kurulu yaptığında bütçe kararları ve CISO'ya çok daha fazla yetki vermeyi düşünürken, ezici bir çoğunlukla eylemleriyle siber güvenliği desteklememe eğilimindedirler.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.darkreading.com/edge-articles/companies-must-have-corporate-cybersecurity-experts-sec-says
