0
0
Órgãos reguladores em todos os níveis do governo impuseram requisitos de privacidade e divulgação mais rígidos este ano – e penalidades correspondentes – elaborados com linguagem ambígua e diretrizes moles, deixando as equipes de segurança cibernética profundamente envolvidas em responsabilidades e sem um caminho claro para a conformidade.
As diretrizes da Security and Exchange Commission (SEC) lançadas recentemente sobre a divulgação de incidentes cibernéticos são um exemplo do tipo de confusão que uma linguagem regulatória vaga pode causar. O especialista em segurança cibernética Adam Shostack aponta para Dark Reading que ele observou as regras sendo amplamente mal interpretadas.
“Acho que o requisito de transparência geralmente é bom e é importante observar que é dentro de quatro dias após a determinação de uma violação material, não dentro de quatro dias após a descoberta de uma violação”, observa Shostack. “Muitas pessoas estão perdendo essa importante distinção.”
Shostack, juntamente com um painel de especialistas, incluindo Mike Hintze, Daniel P. Cooper e Leslie R. Katz, oferecerá conselhos sobre como navegar por uma série de novos regulamentos cibernéticos na Black Hat USA durante sua apresentação, ” Hot Topics in Cyber and Privacy Regulamento “.
Linguagem Vaga, Mais Execução
Parte da linguagem vaga da regulamentação cibernética é necessária, aponta Shostack.
” Além disso, sejamos francos. A razão pela qual esses padrões são vagos é muitas vezes [porque] a indústria exige flexibilidade”, acrescenta ele. “Se estamos tendo problemas porque os padrões são muito abertos, devemos levar isso aos nossos grupos industriais e lobistas.”
Katz, advogado e ex-executivo de tecnologia, concorda que cabe à comunidade de segurança cibernética ajudar a educar e moldar as discussões sobre regulamentação. Sem orientação técnica, órgãos reguladores como a SEC ficam com pouca influência além da punição, acrescenta ela.
Katz diz que a falta de experiência em segurança cibernética está alimentando a consideração da SEC de uma ação legal contra os executivos da SolarWinds pela violação da empresa em 2020.
” Este parece ser outro esforço da SEC para regulamentar por imposição. Em vez de fornecer diretrizes mais claras, eles estão enviando uma mensagem por meio dessa ação”, disse Katz à Dark Reading. ” Um tiro de alerta para todos que será necessária uma vigilância ainda maior e respostas rápidas.”
O painel fornecerá orientação sobre tópicos que abrangem a lei de privacidade dos EUA, os regulamentos da União Europeia sobre IA , a estrutura de proteção de dados UE-EUA e como os profissionais de segurança podem se envolver melhor com o processo de conformidade e regulamentação.
A incerteza regulatória contínua exige uma colaboração cada vez mais próxima com especialistas jurídicos e de compliance, tanto durante a preparação quanto durante uma resposta real a incidentes cibernéticos, diz Shostack. Ele acrescenta que o melhor lugar para as equipes cibernéticas começarem é com os padrões técnicos do National Institute of Standards and Technology, o Cybersecurity Framework ou o Secure Software Development Framework .
FONTE: DARKREADING