技術支援
文件
登錄
聯繫我們
縮短時間 – 一切都在加速
若昂·科雷亞
2023年8月10 日 - 技術佈道師
數字時代的特點是一個無可爭辯的真理:變化。無論是人工智慧的快速發展,新安全漏洞的驚人發現,還是迅速發佈補丁以緩解這些威脅,IT的變化步伐都是無情的。
跟上步伐
對於該領域的人來說,見證這樣的進步令人振奮。也就是說,只要您和您的組織能夠跟上。
不幸的是,我們非常清楚,儘管合規性要求要求在 30 天(在某些情況下為 14 天)的時間來修補已知漏洞時,組織仍在努力及時修補。這是一個令人震驚的事實,說明了網路安全領域日益受到關注。
此外,越來越清楚的是,人類不可能跟上有關網路安全和新漏洞的持續資訊洪流。該行業正在轉向自動化來應對衝擊,但即使是這種解決方案也並非沒有挑戰。
新規則即將出臺
更嚴格的法規正在出現,特別是來自美國證券交易委員會(SEC)的法規。我們之前討論過 SEC在不遵循「最佳實踐」的情況下分配責任的方法。現在,他們正在更進一步。
從今年8月下旬開始,組織必須提交有關他們所遭受的網路安全事件的具體資訊,包括他們在四天內遇到的任何“重大網路安全事件”。 他們還需要披露有關網路安全風險管理、戰略和治理的年度匯總資訊。
如果你還記得的話,自去年初白宮宣佈在這種情況下的新規定以來,圍繞事件的強制性網路安全資訊披露一直受到關注 。這些最新的SEC規則只是進一步推動了這一點。
2023 年 7 月 26 日,美國證券交易委員會宣佈,它已“通過規則,要求註冊人披露他們經歷的重大網路安全事件,並每年披露有關其網路安全風險管理、戰略和治理的重要資訊。這將自發佈之日起30天后生效。
這一決定背後的邏輯是一種試探性的事件披露方法,類似於生產中斷、自然災害和其他可能直接影響公司估值或市場立場的事件等情況下已經存在的方法。
遲到總比沒有好,似乎適合這些新規則。多年來,我們目睹了各行各業和各種規模的公司發生的數百萬美元事件。就在最近,西部數據因經歷的駭客事件而關閉了其雲基礎設施。很明顯,這些事件可以而且確實對底線產生直接影響。
然而,還有許多問題有待明確確定。經歷網路安全事件可以是任何事情,從網路釣魚嘗試到幾個月未被發現的成功違規行為,具體取決於您如何實現安全性。在互聯網上暴露IP位址會在幾分鐘內吸引惡意機器人。如果必須報告所有這些,這對任何IT團隊來說都是壓倒性的。如果提高標準,只考慮意外的信息洩露或數據盜竊,那麼它就為公司提供了一些迴旋餘地來規避監管,簡單地聲稱他們不知道任何此類資訊已被洩露 - 除非證明並非如此,時間可以持續超過四天。
結語
這些新法規標誌著組織如何處理網路安全的轉捩點。合規將不再是一個建議,而是一個嚴格的要求。公司日益增加的複雜性和責任無疑將增加跟上快節奏的IT世界的負擔。
然而,總體目標是明確的:在利害關係不斷升級的環境中確保透明度和責任感。應對漏洞、評估風險和制定最佳實踐的時間越來越短,這既是挑戰也是機遇。
組織必須抓住這一時機,完善其網路安全戰略,並與這些新標準保持一致。網路安全的未來取決於我們適應、創新和保持最高水平的誠信和警惕的能力。最後,這項工作不僅將保護單個組織,還將加強更廣泛的生態系統,以抵禦不斷變化的網路威脅。
