Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Các công ty phải có chuyên gia an ninh mạng doanh nghiệp, SEC nói

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 125

Ủy ban An ninh và Giao dịch Hoa Kỳ (SEC) đã giơ cao kính lúp để xem chuyên môn về an ninh mạng của doanh nghiệp.

Bản gốc đề xuất từ ​​SEC vào tháng 2022 năm XNUMX cho biết họ muốn các công ty công khai một chuyên gia an ninh mạng trong ban giám đốc và một người trong ban quản lý. Hôm nay, SEC đã lùi lại yêu cầu đối với chuyên gia hội đồng quản trị - mặc dù nó vẫn muốn “những người đăng ký mô tả sự giám sát của ban giám đốc đối với các rủi ro từ các mối đe dọa an ninh mạng cũng như vai trò và chuyên môn của ban quản lý trong việc đánh giá và quản lý rủi ro vật chất từ ​​các mối đe dọa an ninh mạng.”

Điều đó có nghĩa là SEC không tích cực thúc đẩy thông tin xác thực của chuyên gia an ninh mạng trong hội đồng quản trị, ít nhất là vào lúc này. Nhưng họ vẫn khăng khăng rằng chuyên môn về an ninh mạng của ban quản lý phải được báo cáo cho họ.

Nhưng những gì tạo nên chuyên môn như vậy? Các chuyên gia đồng ý rằng đó là một câu hỏi rất khó.

SEC rõ ràng đã không xác định chuyên môn về an ninh mạng, để lại quyết định quan trọng đó cho mỗi công ty. Nó đưa ra gợi ý về một số lĩnh vực có thể xác định chuyên môn đó, đề cập đến các chứng chỉ, bằng cấp học thuật và kinh nghiệm làm việc.

“Mặc dù ý định có thể được ngụ ý, nhưng quy tắc được đề xuất của SEC về mạng không thực sự yêu cầu nhiều chuyên môn về an ninh mạng hơn đối với hội đồng quản trị hoặc ban quản lý cấp cao. ... Quy tắc có thể không phác thảo rõ ràng những gì cấu thành chuyên môn đó, nhưng điều này không khác với các yêu cầu tiết lộ khác của SEC dành cho các giám đốc, chẳng hạn như tiết lộ chuyên môn tài chính của các giám đốc phục vụ trong ủy ban kiểm toán,” Andrew Morrison, một giám đốc điều hành cho biết. Giám đốc Tư vấn Tài chính & Rủi ro Deloitte.

Thị trường sẽ quyết định ai là chuyên gia

Nhiều chuyên gia được phỏng vấn nói rằng SEC sẽ không phê duyệt hoặc từ chối thông tin đăng nhập của bất kỳ ai và xác định xem họ có đáp ứng các yêu cầu không xác định hay không. Nó sẽ để lại điều đó cho thị trường.

Điều đó có thể diễn ra theo hai cách. Đầu tiên, khi doanh nghiệp bị vi phạm dữ liệu đặc biệt nghiêm trọng, các cổ đông và nhà đầu tư có thể trừng phạt công ty bằng cách hạ giá cổ phiếu nếu các lực lượng thị trường đó quyết định rằng thông tin đăng nhập không đủ. Thứ hai, một công ty có thể xem xét lại bằng cấp mà nó đã phê duyệt ban đầu nếu tất cả các công ty khác trong phân khúc đó đưa ra các chuyên gia có bằng cấp ấn tượng hơn.

“SEC có thể hy vọng rằng các yêu cầu tiết lộ thông tin mới sẽ tạo ra một số cạnh tranh lành mạnh về an ninh mạng. Brian Levine, giám đốc điều hành của EY (trước đây là Ernst & Young), cho biết:

Khi được hỏi liệu anh ấy có nghĩ rằng quy tắc mới sẽ khiến các hội đồng tìm kiếm thành viên mới ưu tiên trải nghiệm an ninh mạng hay không, Levine tỏ ra nghi ngờ, nhưng cho rằng “ít nhất nó có thể là một yếu tố quyết định.”

Kinh nghiệm là chìa khóa

Khi thảo luận về các danh mục mà SEC đã chia sẻ, hầu hết các chuyên gia bảo mật đều nhấn mạnh đến kinh nghiệm, ít người bị ấn tượng bởi hầu hết các chứng chỉ hoặc đào tạo đại học. Tuy nhiên, các chứng chỉ phổ biến nhất — bao gồm Chuyên gia bảo mật hệ thống thông tin được chứng nhận (CISSP), Kiểm toán viên hệ thống thông tin được chứng nhận (CISA), CompTIA Security+, Hacker có đạo đức được chứng nhận (CEH) và Trình quản lý bảo mật thông tin được chứng nhận (CISM) — và bằng khoa học máy tính nói chung là được coi là hữu ích cho vai trò quản lý, nếu quá cụ thể cho vai trò hội đồng quản trị.

Andy Ellis, đối tác điều hành tại YL Ventures, lo lắng rằng một số công ty sẽ phụ thuộc quá nhiều vào các số liệu dễ định lượng — chẳng hạn như chứng chỉ và bằng cấp — bởi vì điều đó sẽ giúp tìm kiếm nhân tài dễ dàng hơn, giả sử công ty đang tìm kiếm quản lý này chuyên gia bên ngoài.

“Các nhà tuyển dụng có thể thực hiện tìm kiếm trên Google dựa trên các số liệu và tìm ra ứng viên hoàn hảo đánh dấu vào tất cả các ô, ngay cả khi về mặt chất lượng họ không phải là ứng viên tốt,” Ellis nói.

Đối với vai trò hội đồng quản trị, Ellis nói rằng việc biết câu trả lời ít hơn nhiều so với việc biết đặt câu hỏi đúng để hỏi. Nếu CISO nói với hội đồng quản trị rằng họ đã triển khai MFA đúng cách, liệu thành viên hội đồng có đủ hiểu biết về MFA và xác thực để đặt câu hỏi: “Chúng tôi đang sử dụng bao nhiêu yếu tố và chúng tôi đang sử dụng những yếu tố nào? Chúng ta đang sử dụng những phương pháp chính xác nghiêm ngặt nhất hay những phương pháp có chi phí thấp nhất và kém hiệu quả nhất?” Và khi có câu trả lời, thành viên hội đồng đó sẽ biết câu trả lời có hợp lệ hay không?

Brian Walker, Giám đốc điều hành của công ty tư vấn bảo mật The CAP Group, cũng nghi ngờ rằng các chứng chỉ là hữu ích ở cấp độ Fortune 500. Giá trị lớn nhất của một chuyên gia an ninh mạng, dù ở cấp quản lý hay trong hội đồng quản trị, là đưa ra các quyết định bảo mật quan trọng ngay tại chỗ, chẳng hạn như liệu điều gì đó có thực sự là vi phạm phải báo cáo hay không. Walker nói, “Tại điểm nào là tài liệu về sự cố? Chỉ cần xác định xem nó có quan trọng hay không không phải là một hoạt động nhanh chóng. Khi nào bạn tuyên bố?

Tuyển dụng, Đào tạo, hay …?

Đối với một vị trí trong hội đồng quản trị, doanh nghiệp có hai cách: tuyển dụng các chuyên gia mạng thực thụ để tham gia hội đồng quản trị hoặc biến các thành viên hội đồng quản trị hiện tại thành chuyên gia mạng.

Tùy chọn đầu tiên là khó khăn. Các công ty trong danh sách Fortune 500 hầu như luôn có thành viên hội đồng quản trị từ một trong ba vị trí: CEO và cựu CEO của các công ty khác; các nhà đầu tư các loại; và các thành viên hội đồng quản trị nội bộ, thường là Giám đốc điều hành và Giám đốc tài chính hoặc COO. Thật khó để tìm thấy các chuyên gia an ninh mạng thực sự trong các nhóm đó.

Igor Volovich nói: “Nếu tất cả những gì hội đồng quản trị cần làm là thể hiện chuyên môn và SEC để ngỏ khả năng cho các giám đốc thể hiện chuyên môn thông qua chứng chỉ ngành, thì điều đó có nghĩa là các giám đốc đang ngồi sẽ kết thúc chương trình đào tạo chứng nhận hoặc các trường điều hành mạng,” Igor Volovich nói. phó giám đốc chiến lược tuân thủ tại Qmulos. “Sau khi trực tiếp quan sát những nỗ lực như vậy, tôi có thể chứng thực những tiện ích rất hạn chế của những nỗ lực đó.”

Sản phẩm SEC đang cố gắng giải quyết an ninh mạng thiếu sự quan tâm nghiêm túc thường nhận được tại các công ty lớn. Các thành viên hội đồng quản trị nói chung sẽ nói những điều ủng hộ về việc có khả năng chịu rủi ro thấp và tầm quan trọng của việc bảo vệ an ninh.

Nhưng khi hội đồng quản trị làm cho quyết định ngân sách và cân nhắc việc trao cho CISO nhiều quyền hạn hơn, nhưng phần lớn họ có xu hướng không ủng hộ an ninh mạng bằng các hành động của mình.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.