Securitatea cibernetica sub lupa noilor reguli SEC

Intr-o era dominata de tehnologie si informatii digitale, securitatea cibernetica este mai importanta ca niciodata. Recent, Comisia pentru Valori Mobiliare din SUA (SEC) a emis noi reguli care solicita companiilor de pe teritoriul SUA sa-si consolideze apararea impotriva atacurilor cibernetice.

Ce este considerat “material”?

Una dintre provocarile majore in securitatea cibernetica este determinarea a ceea ce se incadreaza in categoria “material”. Companiile trebuie sa ia in considerare toate aspectele posibile si sa identifice problemele in avans. O incalcare a lantului de aprovizionare poate deveni “materiala” intr-o zi, dar poate fi considerata astfel si dupa trei zile. Furtul de proprietate intelectuala, desi material, poate sa aiba sau sa nu aiba un impact asupra securitatii nationale.

 Ce trebuie raportat?

Companiile sunt obligate sa raporteze, pe cat este cunoscut la momentul depunerii, aspectele materiale legate de natura, amploarea si momentul incidentului, precum si impactul probabil sau cunoscut. Regulile au fost ajustate dupa reactia negativa a sectorului privat, care a considerat cerintele initiale prea stricte.

Termen de patru zile

Companiile au la dispozitie doar patru zile lucratoare pentru a raporta incidentele, ceea ce poate crea presiune si poate duce la neclaritati. Este esential sa fie pregatite pentru a actualiza informatiile pe masura ce noi detalii sunt descoperite. Speculatiile ar trebui evitate in masura posibilului.

Nu subestima eroarea umana

Evenimentele de securitate cibernetica nu se limiteaza la atacurile ransomware; adesea, pot fi cauzate si de erori umane in configurarea sistemelor de informatii. Este important sa luam in considerare aceste aspecte in planificarea procesului de securitate.

Timpul este esential, asa ca reactia trebuie sa fie aproape instantanee, iar un program bine pus la punct de gestionare a incidentelor este vital. Tocmai de aceea, indiferent de marime sau domeniul de activitate, toate companiile ar trebui sa efectueze exercitii de raspuns la incidente. Implicarea avocatilor in exercitiile de raspuns la incidente a fost intotdeauna importanta, dar acum este absolut cruciala.

Companiile ar trebui sa ia in considerare si efectul “me too”. Imaginati-va ca firma dvs. a fost recent in fata unei situatii similare cu cea din cazul incalcarii de la MOVEit. Acea incalcare ar putea fi considerata “materiala” pentru o companie publica, dar nu si pentru alta. O astfel de analiza ar fi fost probabil mult mai lejera fara termenul de patru zile suspendat deasupra capului. Companiile trebuie sa inteleaga protocoalele lor in astfel de situatii.

In Romania, riscurile cibernetice sunt la fel de reale si de actuale ca peste tot in lume. Amenintarile cibernetice nu tin cont de frontiere si pot afecta orice organizatie, indiferent de marime sau industrie. Similar cu noile reguli SEC, si in Romania este esential ca companiile sa-si intareasca apararea impotriva atacurilor cibernetice si sa fie pregatite sa raspunda rapid si eficient in cazul unui incident. O gestionare atenta a securitatii cibernetice si colaborarea stransa cu specialisti in domeniu si avocati pot face diferenta dintre o eroare minora si o incalcare grava a securitatii. In era digitala in care traim, investitia in securitatea cibernetica este esentiala pentru a proteja interesele si increderea clientilor si partenerilor de afaceri.

Sursa aici