أهم 3 أولويات لرؤساء أقسام تكنولوجيا المعلومات في عام 2024

أهم 3 أولويات لرؤساء أقسام تكنولوجيا المعلومات في عام 2024

الطابع الزمني: 19 يناير 2024 5:20 مساءً
عقدة المصدر: 3072560

مع بداية العام الجديد، يجتمع مدراء أمن المعلومات مع فرقهم الأمنية وإدارة الشركة لتحديد الأولويات القصوى لعام 2024 وكيفية معالجة هذه المشكلات. هذا العام - مع وجود العديد من قوانين الخصوصية الجديدة، ولوائح هيئة الأوراق المالية والبورصة، والتهديدات السيبرانية، والتقنيات الجديدة الواعدة بحل تلك التهديدات - ربما يفقدون نومهم وهم يحاولون تكديس قطع تتريس الشهيرة في استراتيجية الأمن السيبراني على النحو الأمثل.

من بين جميع التحديات التي تتنافس على جذب انتباه كبير مسؤولي أمن المعلومات، فإن المسؤولية الشخصية والقانونية عن خروقات البيانات التي وضعتها هيئة الأوراق المالية والبورصة على عاتق كبار مسؤولي أمن المعلومات يمكن أن تكون الأكثر تحديًا في العام الجديد، كما تقول نيكول سوندين، كبير مسؤولي المنتجات في Axio. وتشير إلى أنه "مع رفع مستوى كبار مسؤولي أمن المعلومات إلى مجلس الإدارة لمناقشة هذه المخاطر، سيحتاجون إلى نظام سجل لحماية أنفسهم وإظهار واجب الرعاية".

وتقول: "في الوقت الحالي، يجري كبار مسؤولي أمن المعلومات هذه المحادثات، ويتخذون خيارات صعبة، ويتصرفون حسب ما يرونه ضروريًا - ولكن قد يتم توثيق ذلك أو لا يتم توثيقه". "من خلال وجود مصدر واحد للحقيقة أو نظام تسجيل، يمكن لرؤساء أمن المعلومات حماية أنفسهم بشكل أفضل. وبخلاف ذلك، سنستمر في رؤية حوادث رفيعة المستوى حيث يقع المسؤولية على عاتق رئيس أمن المعلومات الذي ليس لديه هذا [سجل الأحداث وسبب وقوعها]."

1. تدافع عن نفسك ضد المسؤولية الشخصية

يشبه سوندين مديري تكنولوجيا المعلومات بالمسؤولين التنفيذيين في مجال الرعاية الصحية، الذين يحتفظون بسجلات مفصلة لكل إجراء يتخذونه من أجل الدفاع عن أنفسهم ضد ادعاءات المخالفات. وبالنظر إلى أن العديد من مدراء تكنولوجيا المعلومات لا تشملهم وثائق التأمين على مديري الشركات والمسؤولين (D&O)، فإنهم سيكونون مسؤولين شخصيًا بموجب قواعد SEC الجديدة في حالة حدوث خرق. يتضمن ذلك المسؤولية الشخصية عن كل من الاختراق مع فقدان البيانات أو خرق الخصوصية دون فقدان البيانات.

يوصي Sundin بأن يتخذ CISOs الخطوات التالية في أقرب وقت ممكن:

  • إنشاء سجل النظام. يمكن أن يكون مخططًا أو مذكرات حيث يتم تسجيل كل إجراء يتعلق بحادث أمني محتمل مع وصف مفصل وتسلسل زمني لكل إجراء تم اتخاذه وأسباب اتخاذه.

  • إنشاء تعريف مؤسسي لمصطلح "الأهمية المادية"، مع مدخلات من المستشار العام أو كبير مسؤولي المخاطر، لوضع مبادئ توجيهية واضحة لما يعتبر من الناحية القانونية ذا أهمية مادية للمستثمرين أو المساهمين وما لا يعتبر ذا أهمية مادية.

  • تعلم كيفية التحدث إلى مجلس الإدارة وغيرهم من المديرين التنفيذيين من الناحية المالية. أخبر مجلس الإدارة بالضوابط الأمنية المطلوبة بالضبط، وتكلفتها، والخسارة المحتملة للشركة في حالة حدوث خرق بسبب عدم وجود الضوابط الأمنية.

يجب أن يكون CISOs أيضًا مشاركين نشطين عندما التفاوض على سياسات التأمين السيبرانييقول سوندين. عادةً ما يحتاج كبار مسؤولي أمن المعلومات إلى التوقيع على ما يتفاوض عليه المستشار العام أو المدير المالي في نهاية المطاف، ولكن دون الحصول على مدخلات مباشرة - مع سجل مكتوب لتوصياتهم - يمكن أن يصبحوا مسؤولين قانونيًا عن حماية الاستبعاد غير القابل للتأمين.

2. مراقبة تهديدات الخصوصية الناشئة

ستركز شركات التأمين السيبراني على انتهاكات الخصوصية في عام 2024، كما يتوقع ديفيد أندرسون، نائب رئيس المسؤولية السيبرانية في شركة وودروف سوير، وهي شركة وساطة تأمين وطنية. يقول أندرسون إنه من المتوقع أن تقوم شركات التأمين السيبراني بذلك تصلب اللوائح حول كيفية قيام المؤسسات بتطبيق الأمان على البيانات الخاصة والحسابات المميزة، بما في ذلك حسابات الخدمة، والتي يلاحظ أنها تميل إلى أن تكون ذات امتيازات زائدة وغالبًا لم يتم تغيير كلمات المرور الخاصة بها منذ سنوات.

"إذا كنت لا تلتزم بقوانين وتشريعات الخصوصية التي تنطبق على عملك، وعلى نطاق ولايتك القضائية، والتي ينطبق عليها معيارك المعقول، فلن نغطي حقيقة أنك تشارك البيانات بطريقة غير متوافقة يقول أندرسون: "مع سياسة الخصوصية الخاصة بك أو لا تتماشى مع القانون".

نقلا عن التشديد قوانين الخصوصية وفي ولايات مثل كاليفورنيا وواشنطن، يقول إن شركات التأمين السيبراني تطالب المؤسسات ليس فقط بوضع سياسات خصوصية شاملة، بل أيضًا بالقدرة على إثبات أنها تتبع سياساتها. إذا فشلت المؤسسات في حماية البيانات المحمية بموجب سياسة الخصوصية الخاصة بها، فقد تجد نفسها بدون التغطية.

يقول: "قد يكون هذا خطرًا غير قابل للتأمين". “هذه المطالبات باهظة الثمن بشكل مروع من منظور الدفاع والاستيطان”.

"سوف يبحث الضامن عن أكثر من مجرد مربع اختيار نعم أو لا [في تطبيق التأمين السيبراني]. سيتعين عليك إظهار مكان تضمين عناصر التحكم هذه [و] المكان الذي تجبر فيه البائعين لديك على الالتزام بنفس مستوى الرعاية "كما تمليه سياسات الخصوصية في مؤسستك، كما يحذر أندرسون.

3. إدارة مخاطر الطرف الثالث

في حين أن تهديدات الخصوصية ستكون على رأس أولويات مجلس الإدارة لعام 2024 بفضل لوائح هيئة الأوراق المالية والبورصات الجديدة ومتطلبات شركات التأمين السيبراني، فإن تهديدات سلسلة التوريد الأخرى ستكون كذلك أيضًا. يقول أليستر بار، نائب الرئيس الأول للمنتجات والخدمات العالمية في مزود إدارة مخاطر الطرف الثالث (TPRM) Prevalent، إنه يجب على المؤسسات بناء برامج المشتريات الخاصة بها من خلال تحديد الشركاء من منظور: كيف يمكن لهذا الطرف الثالث أن يقدم لنا فوائد المرونة التشغيلية؟

قال بار إن أصحاب الرؤى ذات التفكير المستقبلي ينظرون إلى إدارة مخاطر الطرف الثالث (TPRM) والبيانات بشكل إجمالي وما تعنيه انتهاكات البيانات بناءً على الامتثال التنظيمي الناشئ والمتوسع. وبدلاً من التركيز على البيانات نفسها، يقترح اتباع نهج شمولي، يطلق عليه إطار إدارة مخاطر الموردين متعدد الوظائف.

ويقول: "بمجرد أن يبدأ مجلس الإدارة في التفكير في الأمر باعتباره برنامجًا متعدد الوظائف، يصبح برنامجًا أكثر شمولاً - أقرب إلى دورة حياة - يغير الأسئلة التي ينبغي عليهم طرحها". "يجب أن يكونوا متحمسين للمشاركة في المشتريات. ولا ينبغي لهم أن يخافوا من البيانات من أجل البيانات فقط».

يقول بار إن الغالبية العظمى من الشركات اليوم تعاني من TPRM، لأنها تركز على تكلفة إدارة البيانات أكثر من التركيز على الامتثال التنظيمي، أو المرونة التشغيلية، أو تأثير العلامة التجارية، أو مخاطر السمعة المرتبطة بانتهاكات البيانات.

واستشرافا للمستقبل

وفي ظل زيادة التنظيم، أصبح كبار مسؤولي تكنولوجيا المعلومات الآن مسؤولين شخصيًا عن انتهاكات البيانات، بغض النظر عما إذا كانت تنطوي على فقدان البيانات أو انتهاك الخصوصية. واستجابة لذلك، تعمل شركات التأمين السيبراني على تشديد قواعدها بشأن كيفية حماية المؤسسات للبيانات الخاصة والحسابات المميزة. ويحدث كل هذا مع زيادة الاهتمام من جانب الهيئات التنظيمية، وشركات التأمين، وكبار المسؤولين التنفيذيين بتهديدات سلسلة التوريد.

ولمواجهة هذه التحديات في العام المقبل، يحتاج مدراء تكنولوجيا المعلومات إلى حماية مؤسساتهم وأنفسهم من خلال إنشاء نظام لتوثيق الإجراءات والقرارات ذات الصلة، ووضع وتنفيذ سياسات خصوصية شاملة ومتسقة، وتقييم شركائهم الخارجيين من حيث المرونة التشغيلية.

من خلال العمل عبر المؤسسة مع فرق المشتريات والشؤون القانونية والأمنية، يمكن لرؤساء أمن المعلومات التخفيف من التأثير المحتمل لتهديدات سلسلة التوريد وتكاليف التأمين على أعمالهم - وتغطية أنفسهم أيضًا.

الطابع الزمني:

اكثر من قراءة مظلمة