PERSPECTIVA DEL EXPERTO — El Grupo de Iniciativas Cibernéticas (impulsado por The Cipher Temporary) presentó comentarios relacionados con la seguridad nacional en apoyo de la Reglas propuestas por la SEC sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por parte de empresas públicas esta semana. La presentación oficial se encuentra a continuación.
Comentaristas, encabezados por el exconsejero basic de la Agencia de Seguridad Nacional Glenn Gerstell, incluir kelly bissell, Líder de servicios de seguridad world, Microsoft Company, HON. sue gordon, ex director adjunto principal de inteligencia nacionalMatt Hayden, ex subsecretario de Seguridad Nacional para Cibernética, Infraestructura, Riesgo y Resiliencia, Normal Michael Hayden (retirado), ex director de la Agencia Central de Inteligencia y de la Agencia de Seguridad Nacional, HON. S. Leslie Irlanda, ex subsecretario del Tesoro para Inteligencia y AnálisisRichard H. Ledgett, Jr., ex subdirector de la Agencia de Seguridad Nacional, RADM Mark Montgomery (retirado), ex director ejecutivo de la Comisión Our on-line world Solarium y Debora Plunkett, f.ex Director de la Dirección de Aseguramiento de la Información de la Agencia Nacional de Seguridad.
Únase a los directores del CIG durante nuestra Cumbre digital de primavera el miércoles 25 de mayoel e interactuar con líderes del sector público y privado en temas que van desde posibles operaciones cibernéticas lanzadas por Rusia hasta la protección de infraestructura crítica para abordar la explosión de ransomware y administrar proveedores externos. El evento es un evento gratuito y registrado. Reserva tu asiento ahora.
Número de archivo S7-09-22: comentarios sobre la regla propuesta
Los abajo firmantes presentan estos comentarios en apoyo de los objetivos de las normas sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por parte de empresas públicas propuestas por la Comisión el 9 de marzo de 2022 (las “Normas propuestas”).
Los abajo firmantes son directores del Grupo de Iniciativas Cibernéticas, un comité formado y patrocinado por The Cipher Temporary, una organización de medios privados que se relaciona con el sector privado en los Estados Unidos para promover la conciencia sobre asuntos de seguridad cibernética y seguridad nacional. Muchos de nosotros actualmente tenemos una participación directa en asuntos cibernéticos en el sector privado y tenemos una experiencia significativa tanto en la política como en el aspecto operativo de la ciberseguridad; muchos de nosotros hemos servido en los niveles más altos de las fuerzas armadas o la comunidad de inteligencia de nuestra nación, mientras que otros tienen roles de liderazgo en las empresas de seguridad cibernética y proveedores de tecnología más importantes de la nación. (Le escribimos en nuestra capacidad particular person y las afiliaciones que se indican a continuación son simplemente para fines de identificación).
Nuestro propósito al presentar estos comentarios es apoyar los objetivos de la regla propuesta, informar a la Comisión que, en nuestra opinión, las preocupaciones de seguridad nacional son una justificación válida y significativa para la elaboración de reglas, y subrayar que la regla propuesta tiene el potencial de beneficiar no solo inversionistas y registratarios, sino también, y desde nuestro punto de vista más importante, nuestra seguridad nacional. Al hacerlo, no estamos comentando sobre el alcance, la carga regulatoria u otros aspectos técnicos de la norma propuesta, ya que otros pueden abordar esos detalles de manera más adecuada. Sin embargo, estamos en condiciones de comentar sobre las ramificaciones de seguridad nacional de una mejor postura de seguridad cibernética para las empresas públicas.
Como señala la Comisión en su Declaración de Antecedentes que acompaña a la Regla Propuesta, “[l]Los ataques de ciberseguridad a gran escala pueden tener efectos sistémicos en la economía en su conjunto, incluidos efectos graves en la infraestructura crítica y la seguridad nacional”.
Todos los abajo firmantes están familiarizados con la sofisticación técnica de nuestros adversarios cibernéticos y creen que esto seguirá aumentando, imponiendo mayores riesgos a nuestra nación. En ese sentido, señalamos que el Evaluación anual de amenazas de la comunidad de inteligencia de EE. UU. (fechado el 7 de febrero de 2022) citó la cibermalevolencia de cuatro adversarios del estado-nación: China, Rusia, Irán y Corea del Norte, como amenazas de primer orden. Desafortunadamente, a medida que aumenta la amenaza del adversario, también lo hace nuestra vulnerabilidad, ya que dependemos cada vez más de la tecnología digital en todos los aspectos de nuestra vida comercial, gubernamental y private. El advenimiento del Web de las cosas y la gran cantidad de datos que se generan, almacenan y utilizan mediante la tecnología de telecomunicaciones 5G, la inteligencia synthetic y la computación potencialmente cuántica (por nombrar solo algunos desarrollos), crearán objetivos atractivos adicionales para los ciberdelincuentes maliciosos. la ciberactividad, aumentando así el riesgo para la infraestructura, las empresas y los ciudadanos de nuestra nación. Gran parte de esta tecnología es propiedad y está operada por empresas públicas. Estas vulnerabilidades pueden afectar directamente nuestra seguridad nacional.
Creemos que los objetivos de exigir informes actualizados sobre incidentes de seguridad cibernética importantes, así como divulgaciones periódicas con respecto a (1) las políticas y procedimientos de la entidad registrada para identificar y gestionar los riesgos de seguridad cibernética, (2) el rol de la administración en la implementación de políticas y procedimientos de seguridad cibernética y (3) La experiencia en seguridad cibernética de la junta directiva y su supervisión del riesgo de seguridad cibernética son apropiados y es possible que mejoren la postura de seguridad cibernética de los registrantes. Las empresas públicas poseen infraestructura crítica, operan o administran negocios clave en todos los sectores industriales, agrícolas y de servicios y, en muchos aspectos, forman la columna vertebral de la economía estadounidense. En consecuencia, la ciberseguridad mejorada dentro de las empresas públicas se traduce directamente en una economía nacional que es más cibersegura y ciberresiliente. Es lógico que exigir informes adicionales sobre incidentes cibernéticos importantes informará mejor a los inversores, al público en basic y a las agencias gubernamentales, y una mayor divulgación sobre las políticas cibernéticas y la experiencia de la junta alentará a las empresas públicas (y, por extensión, a las empresas privadas, al menos hasta cierto punto). ) para satisfacer, si no superar, las expectativas del mercado en esos ámbitos.
Por su naturaleza inherente, estos beneficios no pueden ser fácilmente cuantificados, pero la falta de medición precisa no puede en este caso ser motivo para negar lo que es manifiestamente obvio y lógico. Creemos que estos beneficios para nuestro bienestar nacional son fundamentales y pueden y deben tenerse en cuenta en el desarrollo de políticas y la elaboración de normas por parte de la Comisión.
Entendemos que las partes interesadas tendrán puntos de vista diferentes sobre el alcance y otros aspectos técnicos de la Regla Propuesta y, como se señaló anteriormente, no están expresando una opinión aquí sobre esos temas. Pero deseamos señalar que cualquier esfuerzo por estandarizar y armonizar la notificación y la divulgación con otros requisitos (como los que se implementarán en virtud de la Ley de Informes de Incidentes Cibernéticos para Infraestructura Crítica de 2022) obviamente tendrá el efecto de aumentar el cumplimiento sólido de , y además los propósitos de la Regla Propuesta.
Regístrese para el Grupo de Iniciativas Cibernéticas Boletin informativo. Mejores resultados en cibernética requieren un mejor pensamiento. Únase a expertos del nuevo ecosistema cibernético público-privado mientras educamos y creamos un nuevo futuro cibernético. Regístrese para el Boletín CIG Este Dia.
Obtenga más información, perspectivas y análisis sobre seguridad nacional impulsados por expertos en El resumen cifrado porque la Seguridad Nacional es un Asunto de Todos.
