3 সালে CISO-এর জন্য শীর্ষ 2024 অগ্রাধিকার

3 সালে CISO-এর জন্য শীর্ষ 2024 অগ্রাধিকার

সময় স্ট্যাম্প: 19 জানুয়ারী, 2024 5:20 অপরাহ্ন
উত্স নোড: 3072560

নতুন বছর শুরু হওয়ার সাথে সাথে, 2024-এর জন্য শীর্ষ অগ্রাধিকারগুলি এবং কীভাবে এই সমস্যাগুলিকে মোকাবেলা করা যায় সে জন্য CISOগুলি তাদের নিরাপত্তা দল এবং কর্পোরেট ব্যবস্থাপনার সাথে একত্রিত হয়। এই বছর - অনেকগুলি নতুন গোপনীয়তা আইন, সিকিউরিটিজ এবং এক্সচেঞ্জ কমিশন প্রবিধান, সাইবার হুমকি এবং নতুন প্রযুক্তিগুলি সেই হুমকিগুলি সমাধান করার প্রতিশ্রুতি দিয়ে - তারা সাইবার নিরাপত্তা কৌশলের প্রবাদ টেট্রিস টুকরাগুলিকে সর্বোত্তমভাবে স্ট্যাক করার চেষ্টা করে ঘুম হারাচ্ছে।

CISO-এর দৃষ্টি আকর্ষণের জন্য প্রত্যাশী সমস্ত চ্যালেঞ্জের মধ্যে, এসইসি সিআইএসও-এর উপর ডেটা লঙ্ঘনের জন্য ব্যক্তিগত এবং আইনগত দায়বদ্ধতা নতুন বছরে সবচেয়ে চ্যালেঞ্জিং হতে পারে, Axio-এর প্রধান পণ্য কর্মকর্তা নিকোল সুন্দিন বলেছেন। "সিআইএসওগুলিকে এই ঝুঁকিগুলি নিয়ে আলোচনা করার জন্য বোর্ডরুমে উন্নীত করার সাথে সাথে, তাদের নিজেদের রক্ষা করার জন্য এবং যত্নের দায়িত্ব প্রদর্শনের জন্য রেকর্ডের একটি সিস্টেমের প্রয়োজন হবে," সে নোট করে৷

"বর্তমানে, সিআইএসও-র এই কথোপকথন আছে, কঠিন পছন্দ করে, এবং তারা প্রয়োজনীয় হিসাবে কাজ করে - কিন্তু এইগুলি নথিভুক্ত হতে পারে বা নাও হতে পারে," সে বলে৷ “সত্যের একটি একক উৎস বা রেকর্ডের একটি সিস্টেম থাকার মাধ্যমে, CISO নিজেদেরকে আরও ভালোভাবে রক্ষা করতে পারে। অন্যথায়, আমরা হাই-প্রোফাইল ঘটনাগুলি দেখতে থাকব যেখানে একজন সিআইএসও যার কাছে এটি নেই [ইভেন্টের রেকর্ড এবং কেন সেগুলি নেওয়া হয়েছিল] সেখানে পতন ঘটে।"

1. ব্যক্তিগত দায়বদ্ধতার বিরুদ্ধে নিজেকে রক্ষা করুন

সুন্ডিন সিআইএসও-কে স্বাস্থ্যসেবা নির্বাহীদের সাথে তুলনা করেছেন, যারা অপকর্মের দাবির বিরুদ্ধে নিজেদের রক্ষা করার জন্য তাদের প্রতিটি পদক্ষেপের বিস্তারিত রেকর্ড রাখে। অনেক সিআইএসও কর্পোরেট ডিরেক্টর এবং অফিসার (ডিএন্ডও) বীমা পলিসির আওতায় আসে না তা বিবেচনা করে, তারা ব্যক্তিগতভাবে দায়বদ্ধ থাকবে নতুন এসইসি নিয়ম একটি লঙ্ঘন ঘটতে হবে. এতে ডেটা ক্ষতির সাথে লঙ্ঘন বা ডেটা ক্ষতি ছাড়াই গোপনীয়তা লঙ্ঘন উভয়ের জন্য ব্যক্তিগত দায় অন্তর্ভুক্ত রয়েছে।

সুন্ডিন সুপারিশ করেন যে সিআইএসওগুলি যত তাড়াতাড়ি সম্ভব নিম্নলিখিত পদক্ষেপগুলি গ্রহণ করে:

  • একটি সিস্টেম রেকর্ড তৈরি করুন। এটি একটি পরিকল্পনাকারী বা ডায়েরি হতে পারে যেখানে একটি সম্ভাব্য নিরাপত্তা ঘটনার সাথে সম্পর্কিত প্রতিটি পদক্ষেপ একটি বিশদ, গৃহীত প্রতিটি পদক্ষেপের কালানুক্রমিক বর্ণনা এবং কেন সেগুলি নেওয়া হয়েছিল তার কারণ সহ রেকর্ড করা হয়।

  • আইনত বিনিয়োগকারী বা শেয়ারহোল্ডারদের কাছে কী বস্তুগতভাবে গুরুত্বপূর্ণ বলে বিবেচিত এবং কী নয় তার জন্য স্পষ্ট নির্দেশিকা প্রতিষ্ঠা করতে সাধারণ কাউন্সেল বা প্রধান ঝুঁকি কর্মকর্তার কাছ থেকে ইনপুট সহ "বস্তুত্বের" জন্য একটি কর্পোরেট সংজ্ঞা তৈরি করুন।

  • পরিচালনা পর্ষদের সাথে কথা বলতে শিখুন এবং আর্থিক শর্তাবলী অন্যান্য নির্বাহী. বোর্ডকে ঠিক কোন নিরাপত্তা নিয়ন্ত্রণের প্রয়োজন, তাদের খরচ, এবং নিরাপত্তা নিয়ন্ত্রণ না থাকার কারণে লঙ্ঘন ঘটলে কোম্পানির সম্ভাব্য ক্ষতি সম্পর্কে বলুন।

যখন CISOs সক্রিয় অংশগ্রহণকারী হতে হবে সাইবার বীমা পলিসি নিয়ে আলোচনা করা, সুন্ডিন বলেছেন। সাধারনত CISOs কে সাধারণ কাউন্সেল বা CFO শেষ পর্যন্ত কি নিয়ে আলোচনা করে সে বিষয়ে সাইন অফ করতে হবে, কিন্তু সরাসরি ইনপুট ছাড়াই - তাদের সুপারিশের লিখিত রেকর্ড সহ - তারা একটি অ-বীমাযোগ্য বর্জন রক্ষা করার জন্য আইনত দায়বদ্ধ হতে পারে।

2. উদীয়মান গোপনীয়তা হুমকি মনিটর

সাইবার বীমাকারীরা 2024 সালে গোপনীয়তা লঙ্ঘনের উপর ফোকাস করবে, ডেভিড অ্যান্ডারসন ভবিষ্যদ্বাণী করেছেন, একটি জাতীয় বীমা ব্রোকারেজ উডরাফ সোয়ারের সাইবার দায়দায়িত্বের ভাইস প্রেসিডেন্ট৷ অ্যান্ডারসন বলেছেন সাইবার বীমা আন্ডাররাইটাররা আশা করছেন কঠোর প্রবিধান সংস্থাগুলি কীভাবে ব্যক্তিগত ডেটা এবং সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলিতে সুরক্ষা প্রয়োগ করে, পরিষেবা অ্যাকাউন্টগুলি সহ, যা তিনি উল্লেখ করেছেন, অতিরিক্ত সুবিধাভোগী হওয়ার প্রবণতা রয়েছে এবং প্রায়শই বছরের পর বছর তাদের পাসওয়ার্ড পরিবর্তন করা হয়নি।

“আপনি যদি আপনার ব্যবসার জন্য প্রযোজ্য গোপনীয়তা আইন এবং বিধিগুলি মেনে না চলেন, আপনার এখতিয়ারে, যেখানে আপনার যুক্তিসঙ্গত মান প্রযোজ্য, তাহলে আমরা এই সত্যটি কভার করব না যে আপনি এমনভাবে ডেটা ভাগ করছেন যা সারিবদ্ধ নয় আপনার গোপনীয়তা নীতির সাথে বা আইনের সাথে সংযুক্ত নয়,” অ্যান্ডারসন বলেছেন।

আঁটসাঁট করার কথা উল্লেখ করে গোপনীয়তা আইন ক্যালিফোর্নিয়া এবং ওয়াশিংটনের মতো রাজ্যে, তিনি বলেছেন যে সাইবার বীমাকারীরা সংস্থাগুলিকে দাবি করছে যে কেবলমাত্র বিস্তৃত গোপনীয়তা নীতিই নয়, তারা তাদের নীতিগুলি অনুসরণ করে তা প্রদর্শন করতে সক্ষম হবে। যদি সংস্থাগুলি তাদের গোপনীয়তা নীতি দ্বারা সুরক্ষিত ডেটা রক্ষা করতে ব্যর্থ হয় তবে তারা কভারেজ ছাড়াই নিজেদের খুঁজে পেতে পারে।

"এটি একটি অবিমাযোগ্য ঝুঁকি হতে পারে," তিনি বলেছেন। "এই দাবিগুলি প্রতিরক্ষা এবং নিষ্পত্তির দৃষ্টিকোণ থেকে ভয়ঙ্করভাবে ব্যয়বহুল।"

"আন্ডাররাইটার শুধুমাত্র একটি হ্যাঁ বা না চেকবক্স [একটি সাইবার বীমা আবেদনে] চেয়ে বেশি কিছু খুঁজতে যাচ্ছেন৷ আপনাকে দেখাতে হবে যে এই নিয়ন্ত্রণগুলি কোথায় এম্বেড করা হয়েছে [এবং] যেখানে আপনি আপনার বিক্রেতাদেরকে একই স্তরের যত্ন মেনে চলতে বাধ্য করছেন" যেমন আপনার প্রতিষ্ঠানের গোপনীয়তা নীতি নির্দেশ করে, অ্যান্ডারসন সতর্ক করেছেন।

3. তৃতীয় পক্ষের ঝুঁকিগুলি পরিচালনা করুন৷

নতুন এসইসি প্রবিধান এবং সাইবার বীমাকারীদের প্রয়োজনীয়তার জন্য 2024 সালের জন্য পরিচালকদের অগ্রাধিকারে গোপনীয়তার হুমকি বেশি থাকবে, একইভাবে অন্যান্য সরবরাহ-চেইন হুমকিও থাকবে। থার্ড-পার্টি রিস্ক ম্যানেজমেন্ট (TPRM) প্রোভাইডার প্রিভালেন্ট-এর গ্লোবাল প্রোডাক্ট এবং সার্ভিসের সিনিয়র ভাইস প্রেসিডেন্ট অ্যালেস্টার পার বলেন, সংস্থাগুলিকে এই দৃষ্টিকোণ থেকে অংশীদারদের চিহ্নিত করে তাদের ক্রয় কার্যক্রম তৈরি করা উচিত: কীভাবে এই তৃতীয় পক্ষ আমাদের অপারেশনাল স্থিতিস্থাপকতা সুবিধা দিতে পারে?

ফরোয়ার্ড-থিঙ্কিং স্বপ্নদর্শীরা থার্ড-পার্টি রিস্ক ম্যানেজমেন্ট (TPRM) এবং ডেটা সামগ্রিকভাবে দেখেন এবং উদীয়মান এবং প্রসারিত নিয়ন্ত্রক সম্মতির উপর ভিত্তি করে ডেটা লঙ্ঘনের অর্থ কী, প্যার বলেছেন। ডেটার উপর ফোকাস করার পরিবর্তে, তিনি এটিকে ক্রস-ফাংশনাল সরবরাহকারী ঝুঁকি ব্যবস্থাপনা কাঠামো বলে একটি সামগ্রিক দৃষ্টিভঙ্গি নেওয়ার পরামর্শ দেন।

"যখন বোর্ড ক্রস ফাংশনাল হিসাবে এটি সম্পর্কে চিন্তা করা শুরু করে, একটি আরও বিস্তৃত প্রোগ্রাম - আরও একটি জীবনচক্র - যা তাদের জিজ্ঞাসা করা প্রশ্নগুলিকে পরিবর্তন করে," তিনি বলেছেন। “তাদের ক্রয় জড়িত থাকার বিষয়ে উত্তেজিত হওয়া উচিত। তাদের ডেটার জন্য ডেটা নিয়ে ভয় পাওয়া উচিত নয়।"

প্যার বলেছেন, বেশিরভাগ কোম্পানি আজ TPRM-এর সাথে লড়াই করছে, কারণ তারা নিয়ন্ত্রক সম্মতি, অপারেশনাল স্থিতিস্থাপকতা, ব্র্যান্ডের প্রভাব বা ডেটা লঙ্ঘনের সাথে যুক্ত খ্যাতিমূলক ঝুঁকির চেয়ে ডেটা গভর্নেন্সের খরচের উপর বেশি মনোযোগ দেয়।

সামনে দেখ

বর্ধিত নিয়ন্ত্রণের পরিবেশে, সিআইএসওগুলি এখন ডেটা লঙ্ঘনের জন্য ব্যক্তিগতভাবে দায়বদ্ধ, তারা ডেটা ক্ষতি বা গোপনীয়তা লঙ্ঘন জড়িত কিনা তা বিবেচনা না করেই। প্রতিক্রিয়া হিসাবে, সাইবার বীমা আন্ডাররাইটাররা কীভাবে সংস্থাগুলি ব্যক্তিগত ডেটা এবং সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলিকে সুরক্ষিত করবে সে সম্পর্কে তাদের নিয়মগুলি কঠোর করছে। এবং এই সবই ঘটছে নিয়ন্ত্রক, বীমাকারী এবং সি-স্যুট থেকে সাপ্লাই চেইন হুমকির দিকে মনোযোগ দিয়ে।

আগামী বছরে এই চ্যালেঞ্জগুলি মোকাবেলা করার জন্য, CISO-গুলিকে প্রাসঙ্গিক ক্রিয়াকলাপ এবং সিদ্ধান্তগুলি নথিভুক্ত করার জন্য একটি সিস্টেম তৈরি করে, ব্যাপক এবং সামঞ্জস্যপূর্ণ গোপনীয়তা নীতিগুলি প্রতিষ্ঠা এবং প্রয়োগ করে এবং তাদের তৃতীয়-পক্ষের অংশীদারদের অপারেশনাল স্থিতিস্থাপকতার পরিপ্রেক্ষিতে মূল্যায়ন করে তাদের সংস্থা এবং নিজেদের রক্ষা করতে হবে৷

সংস্থান জুড়ে ক্রয়, আইনি, এবং নিরাপত্তা দলগুলির সাথে কাজ করার মাধ্যমে, CISOগুলি তাদের ব্যবসার উপর সাপ্লাই চেইন হুমকি এবং বীমা খরচের সম্ভাব্য প্রভাব প্রশমিত করতে পারে — এবং নিজেদেরও কভার করতে পারে।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া