SECサイバールールが企業のリスク管理に与える影響

あなたが サイバーセキュリティ, 、規制の変更に追従している、または業界の一員であるなら、最近の規制動向を注意深く監視しているはずです。 SECのサイバーセキュリティインシデント開示規則 そしてEUの サイバーレジリエンス法（CRA）, は、組織に戦略の見直しと再構築を迫ってきました。AIの急速な進歩に伴い、責任ある利用とより厳格な規制監督が求められる時が来ています。. 

安全な開発と使用 人工知能 まだ規制されていないものの、昨年の注目すべきサイバーセキュリティ規制の一つは、SECによるサイバーセキュリティリスク管理とインシデント開示に関する新たな規則でした。この規則により、上場企業には以下のことが義務付けられています。

• 重大なサイバーインシデントをSECに報告する 4営業日.
• 取締役会によるサイバーセキュリティリスクの監視に関する詳細な情報を提供します。. 

これらの変更の影響をより深く理解するために、私たちは サピオリサーチ 米国と英国の大企業のサイバーセキュリティに関する意思決定者500名を対象に調査を実施しました。レポート全文をダウンロードするには、以下をご覧ください。 2024 年の規制と現実: 連邦準備制度理事会によるインシデント開示の取り締まりの試みは効果的か?

サイバーセキュリティ規制を軽視することのコスト 

スイムレーンの最高情報セキュリティ責任者（CISO）として、規制の変更が私たちの業界をどのように変えているのか、そしてそれを無視すると何が起こるのかを目の当たりにしてきました。例えば、ランサムウェア攻撃のような注目を集めた事件は、 ヘルスケアを変える, 、国民の信頼は継続的に低下しています。.

Change Healthcareへのランサムウェア攻撃は、今年発生した数々のインシデントの一つであり、組織がリスク管理を怠った場合に深刻な影響が生じる可能性があることを浮き彫りにしています。具体的には以下の点が挙げられます。 

• 評判の失墜 
• 経済的損失
• ビジネスのダウンタイム 
• 機密データの損失

もう一度その数字を見てください… $1.6B Change Healthcare への総財務影響は次のようになる可能性があります。. 最近のブログでは、, 「重要性」の謎：CISOによるSECコンプライアンスガイド, では、重要性の定義、リスク、そして理解しなかった場合の潜在的な財務的影響を理解することの重要性を強調しました。財務的影響には、訴訟費用、規制当局への罰金、是正費用、顧客への通知などが含まれます。SECのサイバーセキュリティ規制におけるもう一つの大きな問題は、「重要性」の定義が明確でないことです。明確な指針がなければ、組織は「重要な」サイバーセキュリティインシデントとは何かを積極的に定義する必要があります。. 

これを念頭に置くと、最近強化された規制監視は、信頼を再構築し、企業がサイバーセキュリティを優先することを確実にするために非常に重要であると言っても過言ではありません。. 

規制に対応するための3つの積極的なサイバーセキュリティのヒント

最近の規制要件を満たすには、多くの「すべきこと」と セキュリティオペレーション 戦術。しかし、単にコンプライアンスを満たすことと、真に積極的なリスク管理戦略を構築することとを区別することが重要です。最低限のことだけをやって、 “「十分な」セキュリティ 組織を守ることはできません。私の言葉を鵜呑みにするのではなく、多くの企業が被害を受けた例を見てください。 2024年のデータ侵害とサイバー攻撃 一人で。.

リスク管理戦略を積極的に実行するための 3 つの方法を以下に示します。

1. 全社的なサイバーセキュリティの専門知識を導入する 

「チェックボックス」方式は、何度も不十分な結果をもたらしています。リーダーとして、私たちはトップダウンでサイバーセキュリティにコミットしなければなりません。このコミットメントは、リスクを軽減し、サイバー攻撃を防ぐために不可欠です。.

これは、取締役会レベルのサイバーセキュリティの専門知識から始まります。当社の最新レポートでは、以下の点が強調されています。

• 81% 取締役会を持つすべての企業には、サイバーセキュリティの専門知識を持つメンバーが少なくとも 1 人いるべきだと述べた。.
• それでも、, 55%のみ 回答者の 1 人は、サイバーセキュリティの専門知識を持つ取締役がいると回答しました。.

適切なサイバーセキュリティツールへの投資とチームへのトレーニングは、全体的なプロセスを大幅に強化します。この積極的なアプローチにより、新入社員から経営幹部まで、全員がサイバーセキュリティの重要性を理解し、適切なツールを導入してインシデントに効果的に対応する準備を整えることができます。これにより、防御力の強化、リスク管理の改善、業務の効率化が実現します。 インシデント対応, 、より回復力のある組織を構築します。.

ガバナンスとコンプライアンスは、リスクの軽減やサイバーセキュリティの向上には繋がらないことを覚えておいてください。しかし、セキュリティ体制、レジリエンス、技術的管理、そしてゼロトラストは、リスクの軽減やサイバーセキュリティの向上につながります。まずは基本を習得する必要があります。. 

2. サイバーイベント開示における焦点の転換

組織は、規制当局や社会に対してサイバーイベントを開示する際に、焦点を転換する必要があります。正確な報告のためには、サイバーイベントの技術的な側面にとどまらず、より広範な財務、運用、そして風評リスクを評価することが重要です。当社のレポートでは、以下のように述べています。

• 回答者のわずか 25% が 3 ～ 4 営業日以内にセキュリティ インシデントを報告しています。.
• そして、43% は過去 1 年間にわたって報告時間の延長に直面してきました。.

これは、多くの組織が迅速かつ効率的なプロセスを維持する上で直面している課題を浮き彫りにしています。しかし、Swimlane Turbineのようなセキュリティ自動化プラットフォームを活用することで、この問題の解決に役立ちます。.

3. インシデント対応の自動化

プレイブックを活用して自動化する インシデント対応 プロセスを合理化することで、意思決定の迅速化が促進され、組織はサイバーセキュリティインシデントに迅速に対応し、リスクを迅速に軽減できるようになります。Swimlaneでは、独自の セキュリティ自動化 構築するプラットフォーム インシデント対応プレイブック. これにより、プロセスが簡素化され、情報に基づいた意思決定が可能になり、重要なインシデント対応の詳細を経営陣に明確に報告できるようになります。. 

人間の専門知識とAI強化の自動化のバランス

人間の専門知識とAIを活用した自動化ツールのバランスを重視することで、運用上の負担を軽減できます。脅威検知やログ分析といった定型的なタスクを自動化することで、セキュリティ担当者は重要な判断に基づく意思決定に専念できるようになります。これにより効率性と有効性が向上し、最終的には意思決定者がコンプライアンス遵守に自信を持てるようになります。. 

組織が新たな規制やサイバーセキュリティの課題に適応していく中で、これらの知見が皆様のレジリエンス（回復力）と積極的なリスク管理の実現に役立つことを願っています。また、セキュリティリーダーの皆様には、ぜひ私と繋がっていただければ幸いです。 リンクトイン 積極的な会話をさらに進めるため。.