O impacto das normas cibernéticas da SEC na gestão de riscos corporativos

Se você trabalha em cibersegurança, Se você acompanha as mudanças regulatórias ou faz parte do setor, provavelmente tem monitorado de perto os recentes desenvolvimentos regulatórios. Regras da SEC sobre divulgação de incidentes de segurança cibernética e da UE Lei de Resiliência Cibernética (CRA), As inovações tecnológicas têm levado as organizações a reavaliar e reformular suas estratégias. Agora, com o rápido avanço da IA, é hora de utilizá-la de forma responsável e de exigir uma supervisão regulatória mais rigorosa. 

Embora o desenvolvimento e uso seguros de IA Embora ainda não seja regulamentado, uma regulamentação de segurança cibernética notável do ano passado foram as novas regras da SEC sobre gerenciamento de riscos de segurança cibernética e divulgação de incidentes. Agora, exige-se que as empresas de capital aberto:

• Divulgar incidentes cibernéticos significativos à SEC dentro de [inserir prazo aqui] quatro dias úteis.
• Forneça informações detalhadas sobre a supervisão dos riscos de segurança cibernética por parte do conselho administrativo. 

Para melhor compreender o impacto dessas mudanças, estabelecemos uma parceria com Pesquisa Sapio Realizamos uma pesquisa com 500 tomadores de decisão em cibersegurança de grandes empresas nos EUA e no Reino Unido. Baixe o relatório completo: Regulamentação versus realidade em 2024: as tentativas do Fed de controlar a divulgação de incidentes são eficazes?

O custo de negligenciar as regulamentações de segurança cibernética 

Como Diretor de Segurança da Informação (CISO) da Swimlane, testemunhei em primeira mão como as mudanças regulatórias estão remodelando nosso setor e o que acontece se as ignorarmos. Por exemplo, incidentes de grande repercussão, como o ataque de ransomware à Swimlane, resultaram em consequências graves para a empresa. Change Healthcare, têm diminuído continuamente a confiança pública.

O ataque de ransomware à Change Healthcare é um dos vários incidentes deste ano que destacam as graves repercussões que as organizações podem enfrentar se negligenciarem a gestão de riscos. Isso inclui: 

• Danos à reputação 
• perdas financeiras
• Tempo de inatividade dos negócios 
• Perda de dados sensíveis

Observe esse número novamente… $1.6B esse poderia ser o impacto financeiro total na Change Healthcare. Em meu blog recente, O Mistério da “Materialidade”: Um Guia do CISO para a Conformidade com a SEC, Ressaltei a importância de compreender a definição de materialidade, os riscos envolvidos e o potencial impacto financeiro caso essa compreensão seja ignorada. Alguns desses impactos financeiros incluem honorários advocatícios, multas regulatórias, custos de remediação e notificações a clientes. Outro problema importante nas regulamentações de cibersegurança da SEC é a definição pouco clara de "materialidade". Sem diretrizes claras, as organizações precisam ser proativas para definir o que constitui um incidente de cibersegurança "material". 

Com isso em mente, podemos afirmar com segurança que o recente aumento da fiscalização regulatória é crucial para reconstruir a confiança e garantir que as empresas priorizem a segurança cibernética. 

3 dicas proativas de cibersegurança para atender às regulamentações

Atender aos requisitos regulamentares recentes envolve inúmeras tarefas e SecOps táticas. No entanto, é importante distinguir entre simplesmente cumprir as exigências e construir uma estratégia de gestão de riscos verdadeiramente proativa. Fazer o mínimo e se contentar com “segurança ”suficientemente boa” Não protegerá sua organização. Não acredite apenas na minha palavra — veja as inúmeras empresas que sofreram com isso. violações de dados e ataques cibernéticos em 2024 sozinho.

Aqui estão três maneiras de você ser proativo com estratégias de gerenciamento de riscos:

1. Implementar conhecimentos especializados em cibersegurança em toda a empresa. 

A abordagem de "cumprir tabela" falha repetidamente. Como líderes, devemos nos comprometer com a cibersegurança de cima para baixo. Esse compromisso é essencial para mitigar riscos e prevenir ataques cibernéticos.

Tudo começa com a especialização em cibersegurança a nível da diretoria. Nosso relatório recente destaca:

• 81% Afirmou que todas as empresas com um Conselho de Administração deveriam ter pelo menos um membro com experiência em cibersegurança.
• Embora, apenas 55% Dos entrevistados, 80% afirmaram ter um membro do conselho administrativo com experiência em segurança cibernética.

Investir nas ferramentas e no treinamento de cibersegurança adequados para sua equipe aprimorará significativamente seus processos em geral. Essa abordagem proativa garante que todos, desde funcionários iniciantes até executivos de alto escalão, compreendam a importância da cibersegurança e estejam preparados para responder a incidentes de forma eficaz, com as ferramentas corretas em vigor. Isso fortalecerá as defesas, melhorará o gerenciamento de riscos e simplificará os processos. resposta a incidentes, e criar uma organização mais resiliente.

Lembre-se: governança e conformidade não equivalem a redução de riscos ou melhoria da segurança cibernética. No entanto, postura de segurança, resiliência, controles técnicos e Zero Trust sim. É preciso dominar o básico primeiro. 

2. Mudança de foco na divulgação de eventos cibernéticos

As organizações precisam mudar o foco ao divulgar incidentes cibernéticos para órgãos reguladores e para o público. É importante ir além dos aspectos técnicos de um incidente cibernético e avaliar os riscos financeiros, operacionais e de reputação mais amplos para garantir a precisão dos relatórios. Nosso relatório afirma:

• Apenas 251% dos entrevistados relataram incidentes de segurança dentro de 3 a 4 dias úteis.
• E o esquadrão 43% enfrentou tempos de resposta mais longos ao longo do último ano.

Isso evidencia o desafio que muitas organizações enfrentam para manter processos rápidos e eficientes. No entanto, a utilização de uma plataforma de automação de segurança, como o Swimlane Turbine, pode ajudar a solucionar esse problema.

3. Automatize a resposta a incidentes

Utilize manuais de procedimentos para automatizar resposta a incidentes processos. Essa abordagem simplificada facilita a tomada de decisões mais rápidas, capacitando as organizações a responderem prontamente a incidentes de segurança cibernética e a mitigarem os riscos com agilidade. Na Swimlane, aproveitamos nossa própria automação de segurança plataforma para construir manuais de resposta a incidentes. Isso resulta em processos mais simples que me permitem tomar decisões informadas e relatar detalhes críticos da resposta a incidentes com mais clareza à equipe de liderança. 

Equilibrando a experiência humana e a automação aprimorada por IA

Ao priorizar o equilíbrio entre a experiência humana e as ferramentas de automação aprimoradas por IA, você alivia a sobrecarga operacional. É hora de automatizar tarefas rotineiras, como detecção de ameaças e análise de logs, para liberar os profissionais de segurança para decisões críticas e baseadas em julgamento. Isso aumenta a eficiência e a eficácia, tornando os tomadores de decisão mais confiantes em sua capacidade de manter a conformidade. 

À medida que sua organização se adapta às novas regulamentações e aos desafios de cibersegurança, espero que essas informações ajudem a guiá-la rumo à resiliência e à gestão proativa de riscos. Enquanto isso, espero que todos os meus colegas líderes de segurança se conectem comigo em LinkedIn para promover conversas proativas.