カジノサイト
サイバーセキュリティに対する取締役会の関与の高まりに備える方法
サイバー侵害とインシデント管理を中心に規制の状況が変化しています。米国証券取引委員会 (SEC)新しいルールを発表しました2023 年 7 月に、企業は重大なサイバーセキュリティ インシデントをもっと早期に (4 営業日以内に) 開示することが義務付けられます。開示しないと、罰金やその他の懲罰的措置が科せられる可能性があります。
SEC は、非常に多くのサイバー攻撃やインシデントが影響を受ける企業の価値に深く重大な影響を及ぼし、株主の価値を直接変える可能性があるため、この規則が制定されたと説明した。この情報をタイムリーに適切に開示しないと、企業への投資に関する株主の決定が歪む可能性があります。
この措置により、組織のサイバーセキュリティ体制、備え、インシデント対応計画に対する取締役会や経営幹部の関心が劇的に高まる可能性が高いと、世界的なサイバーセキュリティおよびコンプライアンス企業バイキングクラウドのグローバルサイバーセキュリティアーキテクト、フェイヤズ・マカニ氏は述べています。 Makhani 氏は、SEC 規則と SolarWinds に対する関連告発は、サイバーセキュリティに対する責任は CISO の肩だけに負わせることができないことを思い出させるものであると述べています。
セキュリティ管理サイバーセキュリティ規制の最新の進化と、それが取締役会、サイバーセキュリティ専門家、業界全体にとって何を意味するかについて、11 月に電子メールでマカニ氏と連絡を取りました。
セキュリティ管理(SM)。サイバーセキュリティに対する取締役会レベルの効果的な監督とはどのようなものですか?現在これをうまくやっている人はいますか?
ファヤズ・マカニ。サイバーセキュリティに対する取締役会レベルの効果的な監督には、組織の強み、弱み、脆弱性を含むサイバーセキュリティ体制の包括的な理解が必要です。取締役会は CISO と緊密に連携して、組織のサイバーセキュリティ体制がビジネス目標と一致していることを確認する必要があります。
取締役会は効果的なサイバーセキュリティ ガバナンスを提供するためにいくつかの措置を講じることができます。これらには次のものが含まれます:
- サイバーセキュリティの専門知識を取締役会に追加します。取締役会が財務、法律、経済の専門知識を持っているのと同じように、それに伴うリスクを理解し、戦略的な監督を提供できる人物が必要です。
- 取締役会のメンバーは CISO とつながり、サイバーセキュリティのトピックについての知識を深め、情報に基づいた質問ができるようになります。
- 取締役会のメンバーは、インシデント対応シミュレーション演習に参加でき、準備と組織の対応能力と復旧能力についての貴重な洞察が得られます。
現在、サイバーセキュリティ報告を会議の議題の通常の一部として取り入れている理事会がいくつかあります。これは、取締役会がサイバーセキュリティ リスクを定期的かつ日常的に最新の視点で把握するための優れた出発点となります。
SM。組織はどのようにしてサイバーセキュリティに対するより統一的で包括的なアプローチを推進し始めることができるでしょうか。これは取締役会からの主導でしょうか、それとも CISO/セキュリティ幹部からの主導でしょうか?
マカニ。成功するには、協力して取り組む必要があります。出発点は、取締役会が指導的役割を果たし、定期的で有意義なレビューを確立するという単純なものでも構いません。これらのレビューから得られた知識により、追加のサポートが必要な領域や、ビジネス目標に合わせて再調整する必要があるセキュリティ目標が明らかになります。
SM。セキュリティ担当幹部はどうすれば取締役会にサイバーセキュリティに関するさらなる議論と決定をもたらすことができるでしょうか?
マカニ。規制要求、コンプライアンス、訴訟の増加が、こうした関係への入り口となる可能性があります。世界中の報告規制は変化しており、サイバーセキュリティの脅威に対処し対応するための取締役会と取締役会の知識に重点が置かれています。最近のセキュリティインシデントによる巨額の経済的損失により、サイバーセキュリティの脅威がもたらす収益への影響に大きな注目が集まっているため、取締役会のサイバーセキュリティインシデントに対する認識は高まっています。その間、新しい規制開示に関する米国証券取引委員会 (SEC) の発表により、上場企業にセキュリティ インシデント発生時の透明性をさらに高めるよう強制することにより、これらのインシデントがさらに多く取り上げられることが予想されます。
セキュリティ担当者はこれらのアイデアを活用して、取締役会との会話を開始したり、さらに進めたりできます。
SM。取締役会または経営幹部レベルのリーダーとサイバーセキュリティについて話し合う際に、どのようなコミュニケーション スキルやアプローチが効果的だと感じましたか?
マカニ。取締役会または経営幹部レベルのリーダーとサイバーセキュリティについて話し合うときは、明確、簡潔、そして理解しやすい方法でコミュニケーションを図ることが重要です。不必要な専門用語や、誰もが馴染みのない分野固有の用語は使用しないでください。代わりに、サイバーセキュリティがビジネスに与える影響と、それが組織の全体的な目標にどのように関連するかに焦点を当ててください。
私たちは、セキュリティ リーダーシップを発揮するお客様に次のことを指導します。
リスクの観点から話してください。取締役会と経営幹部レベルのリーダーは主にリスク管理に関心を持っています。したがって、サイバーセキュリティの議論をリスクの観点から組み立てることが重要です。さまざまなサイバーセキュリティ対策がリスクを軽減し、組織の資産を保護するのにどのように役立つかを説明します。
例え話を使う。アナロジーは、複雑なサイバーセキュリティの概念を理解しやすい方法で説明するための強力なツールとなり得ます。たとえば、サイバーセキュリティをチェスのゲームにたとえることができます。チェスでは、それぞれの手が結果をもたらし、慎重な計画が必要になります。
全体像に集中する。サイバーセキュリティは、組織の全体的なリスク管理戦略の 1 つの側面にすぎません。したがって、全体像と、サイバーセキュリティが組織の全体的な目標にどのように適合するかに焦点を当てることが重要です。
準備をしてください。取締役会や経営幹部レベルのリーダーは多忙です。したがって、サイバーセキュリティについての議論に対して十分な準備をしておくことが重要です。明確な議題を持ち、質問に答える準備をし、自分の主張を裏付ける関連データと指標を提供してください。
SM。サイバーセキュリティへの取締役会の関与に関する SolarWinds SEC の告発から組織が得られる教訓は何ですか?
SolarWinds のハッキングは多くの組織にとって警鐘を鳴らし、サイバーセキュリティに対するより積極的なアプローチの必要性を強調しました。SEC が SolarWinds を請求およびその最高情報セキュリティ責任者は、既知のサイバーセキュリティのリスクと脆弱性に関する不正行為と内部管理の欠陥を抱えていた。
SolarWinds SEC 請求からいくつかの教訓を学ぶことができます:
取締役会はサイバーセキュリティに関する意思決定に積極的に関与する必要があります。サイバーセキュリティはもはや IT だけの問題ではありません。これは、取締役会を含む組織全体の注意が必要なビジネス上の問題です。取締役会はサイバーセキュリティに関する意思決定に積極的に関与する必要があり、CISO と緊密に連携して、組織のサイバーセキュリティ体制がビジネス目標と一致していることを確認する必要があります。
責任を軽減し、コンプライアンスのニーズを満たすための手順。組織は、責任を軽減し、コンプライアンスのニーズを満たすために、明確に定義された手順を導入する必要があります。これらの手順は、進化する脅威に直面しても効果を維持できるように、定期的に見直して更新する必要があります。
サイバーセキュリティ意識向上トレーニングの重要性。多くの場合、従業員は組織のサイバーセキュリティ防御において最も弱い部分になります。したがって、すべての従業員にサイバーセキュリティ意識向上トレーニングを定期的に提供し、最新の脅威とその回避方法を確実に認識させることが重要です。
包括的なインシデント対応計画が必要。最善の努力にもかかわらず、侵害は依然として発生する可能性があります。したがって、侵害の影響を最小限に抑えるために、包括的なインシデント対応計画を策定することが不可欠です。計画が有効であることを確認するために、定期的にテストして更新する必要があります。
クレア・メイヤーはの編集長ですセキュリティ管理。 LinkedIn で彼女とつながるか、次の宛先に直接メールを送信してください。[email protected].
