SOX合规性:重大网络安全风险
随着网络安全变得越来越复杂,对于受到严格监管的行业中的企业,合规性可能会越来越困难。2002年的《萨班斯法案》(SOX)确保上市公司在财务报告方面保持透明度,防止欺诈性会计活动并保护投资者。在IT方面,SOX要求公司制定政策和程序来预防,检测和披露被认为是重要的(可能很重要)的网络安全风险和事件。
SOX网络安全要求和报告
公司需要证明他们具有数据保护措施,以及确保这些保护措施可操作的程序。这包括质量访问管理,预防性安全措施以及冗余和安全的备份。安全系统必须能够检测到数据泄露,并且组织需要一个沟通计划,以将发现的泄露通知领导和投资者。在报告和年度审核期间,企业必须证明并提供这些内部控制存在的证据。
《华尔街日报》援引美国证券交易委员会(SEC)的数据说:“ 2018年,公开上市公司中已知的网络事件中,约有90%未在监管文件中披露。” 企业有责任及时报告重大网络安全风险。这可能意味着组织必须在定期报告之前披露风险或事件。SEC发布了《委员会关于上市公司网络安全披露的声明和指南》,为涉及网络安全风险和事件的披露提供指导。
SOX要求签名人员(通常是CFO或CEO)证明其财务和内部控制报告中的信息是准确的。它们不能包含任何虚假陈述,也不能忽略重大信息。他们还需要证明组织符合SOX要求的文档。有意或无意地产生误导性报告或伪造信息,不仅会导致违规,还会导致昂贵的罚款和入狱时间。
了解风险及其影响
您如何知道您的重大网络安全风险和事件是什么?您怎么知道您是否经历过违规行为?如果您定期查看警报,则可能会错过威胁的上下文或严重性。如果您的IT团队不具备分析风险的专业知识,则他们可能看不到表示重大风险的关联。企业可能不会举报轻微安全事件,认为它们无关紧要。如果所有这些较小的威胁和事件变成一个更大的问题该怎么办?无法看到事件之间的联系,组织可能会在报告中无意中忽略了重大的网络安全风险。更糟的是,它可能导致数据泄露,数据丢失和损坏。
为了真正了解您的环境中的风险,您需要连续监视网络。您还需要专业知识和系统来评估这些风险的严重性。您无法透露您不了解或完全理解的内容。
由于未能适当披露重大的网络安全风险和事件而受到如此高的罚款,因此,您的企业必须拥有能够识别和评估整个网络中的威胁的系统,这一点至关重要。在数字化转型时代,仅对环境进行定期检查是不够的。公司需要全天候监控他们的网络。已识别的威胁和事件需要立即进行评估和补救。
积极监控网络安全威胁
绩效监控与网络安全监控之间是有区别的。性能监视可让您知道系统是否有效运行,但不会告诉您存在哪些网络威胁或这些风险的严重性。
随着大流行的流行,恶意网络攻击的数量每天都在增加,并且技术日新月异,运行偶尔的网络安全扫描并假设您看到的是整体安全状况的准确图片已不再是可以接受的。要完全了解网络上发生的风险和事件,您需要24x7x365全天候监控。借助无忧时代等可管理的检测和响应(MDR)服务,具有法医分析技能的安全分析人员团队可以识别,评估网络中的威胁和违规并提供响应计划。
SIEM技术
没有安全分析师和安全信息与事件管理(SIEM)技术的帮助,您可能看不到几个小风险或事件之间的重要联系。安全专家使用SIEM平台来关联和分析威胁。这为您的企业提供了风险的背景和严重性,从而帮助您确定风险的重要性。请记住,您需要安全专家来利用这些类型的安全平台的全部优势。
保持对全面网络安全的合规性
为了保持SOX合规性,您的组织需要能够衡量网络安全风险和事件的重要性。没有正确的工具和专业知识,您的企业可能会遭受破坏,从而造成巨大的财务成本,永久性的数据丢失甚至关闭。即使您的组织不需要与SOX兼容,实施内部控制和数据保护程序也会增加您的总体安全状况。
