Top 3 Prioritäten für CISOs im Jahr 2024

Zu Beginn des neuen Jahres treffen sich CISOs mit ihren Sicherheitsteams und der Unternehmensleitung, um die wichtigsten Prioritäten für 2024 festzulegen und Wege zur Bewältigung dieser Probleme festzulegen. In diesem Jahr – angesichts einer Vielzahl neuer Datenschutzgesetze, Vorschriften der Securities and Exchange Commission, Cyber-Bedrohungen und neuer Technologien, die eine Lösung dieser Bedrohungen versprechen – könnten sie schlaflos sein, wenn sie versuchen, die sprichwörtlichen Tetris-Teile der Cybersicherheitsstrategie optimal aufeinander abzustimmen.

Von allen Herausforderungen, die um die Aufmerksamkeit des CISO buhlen, könnte die persönliche und rechtliche Verantwortung für Datenschutzverletzungen, die die SEC CISOs auferlegt hat, im neuen Jahr die größte Herausforderung sein, sagt Nicole Sundin, Chief Product Officer bei Axio. „Da CISOs in die Vorstandsetage berufen werden, um diese Risiken zu diskutieren, benötigen sie ein Aufzeichnungssystem, um sich selbst zu schützen und ihre Sorgfaltspflicht nachzuweisen“, stellt sie fest.

„Derzeit führen CISOs diese Gespräche, treffen schwierige Entscheidungen und handeln so, wie sie es für notwendig halten – aber diese können dokumentiert werden oder auch nicht“, sagt sie. „Mit einer einzigen Informationsquelle oder einem Aufzeichnungssystem können sich CISOs besser schützen. Andernfalls wird es weiterhin zu Aufsehen erregenden Vorfällen kommen, bei denen ein CISO, der nicht über diese [Aufzeichnung der Ereignisse und Gründe für deren Durchführung] verfügt, den Kürzeren zieht.“

1. Verteidigen Sie sich gegen persönliche Haftung

Sundin vergleicht CISOs mit Führungskräften im Gesundheitswesen, die detaillierte Aufzeichnungen über alle von ihnen ergriffenen Maßnahmen führen, um sich gegen Vorwürfe wegen Fehlverhaltens zu verteidigen. Wenn man bedenkt, dass viele CISOs nicht durch eine D&O-Versicherung (Corporate Directors and Officers) abgedeckt sind, würden sie persönlich haftbar sein neue SEC-Regeln sollte es zu einem Verstoß kommen. Dazu gehört die persönliche Haftung sowohl für einen Verstoß mit Datenverlust als auch für einen Datenschutzverstoß ohne Datenverlust.

Sundin empfiehlt CISOs, so schnell wie möglich die folgenden Schritte zu unternehmen:

CISOs müssen auch aktive Teilnehmer sein, wenn Verhandlung von Cyber-Versicherungen, sagt Sundin. Normalerweise müssen CISOs absegnen, was der Chefsyndikus oder der CFO letztendlich verhandelt, aber ohne direkten Einfluss – mit einer schriftlichen Aufzeichnung ihrer Empfehlungen – könnten sie für den Schutz eines nicht versicherbaren Ausschlusses rechtlich haftbar gemacht werden.

2. Überwachen Sie aufkommende Datenschutzbedrohungen

Cyber-Versicherer werden sich im Jahr 2024 auf Datenschutzverletzungen konzentrieren, prognostiziert David Anderson, Vizepräsident für Cyber-Haftpflicht bei Woodruff Sawyer, einem nationalen Versicherungsmakler. Anderson sagt, dass dies von Cyber-Versicherungsversicherern erwartet wird Vorschriften verschärfen darüber, wie Organisationen Sicherheit für private Daten und privilegierte Konten, einschließlich Dienstkonten, implementieren, die seiner Meinung nach tendenziell überprivilegiert sind und deren Passwörter oft seit Jahren nicht geändert wurden.

„Wenn Sie sich nicht an die Datenschutzgesetze und -bestimmungen halten, die für Ihr Unternehmen, Ihre Gerichtsbarkeit, für die Ihr angemessener Standard gilt, gelten, können wir die Tatsache nicht abdecken, dass Sie Daten auf eine Weise weitergeben, die nicht den Vorschriften entspricht „Verstoß gegen Ihre Datenschutzrichtlinie oder gegen das Gesetz“, sagt Anderson.

Unter Berufung auf die Verschärfung Datenschutzgesetze In Bundesstaaten wie Kalifornien und Washington verlangen Cyber-Versicherer von Unternehmen nicht nur, dass sie über umfassende Datenschutzrichtlinien verfügen, sondern auch nachweisen können, dass sie diese Richtlinien befolgen. Wenn Unternehmen es versäumen, die durch ihre Datenschutzrichtlinie geschützten Daten zu schützen, könnten sie ohne diesen Schutz dastehen.

„Es könnte ein nicht versicherbares Risiko sein“, sagt er. „Diese Ansprüche sind aus Verteidigungs- und Vergleichssicht horrend teuer.“

„Der Underwriter wird nach mehr als nur einem Ja- oder Nein-Kontrollkästchen [auf einem Cyber-Versicherungsantrag] suchen. Sie müssen zeigen, wo diese Kontrollen verankert sind [und] wo Sie Ihre Anbieter dazu zwingen, das gleiche Maß an Sorgfalt einzuhalten“, warnt Anderson.

3. Verwalten Sie Risiken Dritter

Während Datenschutzbedrohungen aufgrund der neuen SEC-Vorschriften und der Anforderungen der Cyber-Versicherer im Jahr 2024 ganz oben auf der Prioritätenliste des Vorstands stehen werden, gilt dies auch für andere Bedrohungen in der Lieferkette. Alastair Parr, Senior Vice President für globale Produkte und Dienstleistungen beim Drittanbieter für Risikomanagement (TPRM) Prevalent, sagt, dass Unternehmen ihre Beschaffungsprogramme aufbauen sollten, indem sie Partner aus der Perspektive identifizieren: Wie kann dieser Drittanbieter uns Vorteile bei der betrieblichen Ausfallsicherheit bieten?

Zukunftsorientierte Visionäre befassen sich mit dem Third-Party-Risikomanagement (TPRM) und den Daten insgesamt und was Datenschutzverletzungen bedeuten, basierend auf der zunehmenden und zunehmenden Einhaltung gesetzlicher Vorschriften, sagte Parr. Anstatt sich auf die Daten selbst zu konzentrieren, schlägt er einen ganzheitlichen Ansatz vor und nennt ihn ein funktionsübergreifendes Rahmenwerk für das Lieferantenrisikomanagement.

„Sobald der Vorstand anfängt, darüber nachzudenken, es als funktionsübergreifend zu betrachten, ein umfassenderes Programm – eher ein Lebenszyklus –, ändert sich die Frage, die es stellen sollte“, sagt er. „Sie sollten von der Beschaffungsbeteiligung begeistert sein. Sie sollten keine Angst vor Daten um der Daten willen haben.“

Die überwiegende Mehrheit der Unternehmen hat heute mit TPRM zu kämpfen, sagt Parr, weil sie sich mehr auf die Kosten der Datenverwaltung konzentrieren als auf die Einhaltung gesetzlicher Vorschriften, die betriebliche Belastbarkeit, die Auswirkungen auf die Marke oder das mit Datenschutzverletzungen verbundene Reputationsrisiko.

Looking Ahead

Im Umfeld zunehmender Regulierung werden CISOs nun persönlich für Datenschutzverstöße haftbar gemacht, unabhängig davon, ob es sich dabei um Datenverlust oder Datenschutzverletzungen handelt. Als Reaktion darauf verschärfen Cyber-Versicherer ihre Regeln zum Schutz privater Daten und privilegierter Konten durch Unternehmen. Und all dies geschieht mit zunehmender Aufmerksamkeit von Regulierungsbehörden, Versicherern und der Führungsebene gegenüber Bedrohungen in der Lieferkette.

Um diese Herausforderungen im kommenden Jahr zu meistern, müssen CISOs ihre Organisation und sich selbst schützen, indem sie ein System zur Dokumentation relevanter Aktionen und Entscheidungen erstellen, umfassende und konsistente Datenschutzrichtlinien festlegen und durchsetzen und ihre Drittpartner im Hinblick auf die betriebliche Belastbarkeit bewerten.

Durch die unternehmensweite Zusammenarbeit mit Beschaffungs-, Rechts- und Sicherheitsteams können CISOs die potenziellen Auswirkungen von Lieferkettenbedrohungen und Versicherungskosten auf ihr Unternehmen abmildern – und sich auch selbst absichern.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024