美国证券交易委员会加强网络安全监管

关键要点

在2023年下半年，美国证券交易委员会SEC采取了两项重大措施，表明其在网络安全方面将采取强硬立场。这意味着首席信息安全官CISO及其团队需要将重点从战场转向董事会，网络安全威胁将更多地被视为企业的首要关注点。以下是文章的主要内容：

SEC要求公司在发生“重大”网络威胁或泄露事件后4天内披露情况，并进行年度报告。SEC对SolarWinds公司及其CISO提起了诉讼，成为首次针对个人的网络安全执法案例。企业需要提升网络安全风险管理至高层商业职能，设定激进的改进指标，承诺提高透明度，并采取整体的商业导向策略。

在2023年7月，SEC宣布实施新规自12月18日生效，要求企业在发生“重大”网络威胁或泄露事件后4天内披露相关情况，并进行年度报告，内容涉及网络安全风险管理、战略和治理。

此外，在10月，SEC对总部位于德克萨斯州奥斯丁的SolarWinds公司及其CISO Timothy G Brown提起了欺诈和内部控制失误的指控。SEC表示，SolarWinds在正式文件中仅披露了“普通和假设性风险”，而Brown及其他高管明确知晓影响SolarWinds安全的具体问题及日益增加的风险。

这是SEC首次针对个人提起网络安全相关执法指控，也是在网络安全披露案件中首次提出故意欺诈指控。此项发展可能对公司产生重大影响，类似于2002年的《萨班斯奥克斯利法案》，该法案对公众公司在治理、风险管理、审计及财务报告方面进行了严格规定，并惩罚商业会计欺诈和腐败行为。

CISO处在一个重要的十字路口，必须向企业高层推广网络安全的系统性变革，使其更有能力作为顾问和风险缓解者，推动整个组织的参与和对网络安全负责的意愿。

提升网络安全风险管理至CxO商业职能

确保网络安全风险管理与其他业务风险管理同样重要。这本质上与任何利润和损失管理有关，也是企业文化和治理的首要任务。将网络安全风险管理的责任和权力委托给没有相应预算或权限进行适当管理的CISO角色，是导致私人和公共企业面临风险缺口的主要原因。CISO应在提升网络风险管理到整个高管团队和董事会的过程中，发挥重要的咨询作用，确保风险管理活动的文化治理责任在组织的最高层。

设定激进的网络安全改进指标

“我们可以管理我们所测量的”这一商业格言比以往任何时候都更加真实。CISO可以识别出重要绩效指标，并通过设定激进的目标来显示风险缺口。例如，如果平均检测和响应事件所需的时间近280天，可以设定不超过24小时的激进目标。要达到这一指标需要什么？这是一种建立有意义的程序性改善的方式。

旋风加速免费两个小时

承诺更高的透明度

根据控诉，Brown明确知晓SolarWinds的问题却未进行披露，最终他的公司也因此承担了代价。SEC明确告知企业，不报告泄露事件会使其面临法律、财务和声誉方面的风险。因此，CISO应确保在10K报告及其他文件中进行透明和详细的汇报。这种透明度将提升对威胁趋势的认识，不仅局限于组织内部，也适用于整个行业。

采取整体且以业务为中心的方法

CISO及其团队必须从“打地鼠”的事件中心思转变为更具防御性的思维，这不仅关注保护网络、系统和数据，还应关注业务的持续性。他们应向安全设计架构转变，以大幅降低事件的潜在重要性，而不是抱怨“我们将会遭受攻击，无法做任何事情”。相较于不断与威胁对抗，他们需要投资于全组织的系统保护，以降低风险。

企业必须接受SEC新规的初衷，鼓励注册单位在董事会到高层Csuite之间改善网络安全风险管理。SEC已清晰发出信号，期望有效消除重大网络