Οι 3 κορυφαίες προτεραιότητες για τους CISO το 2024

Καθώς ξεκινά η νέα χρονιά, οι CISO συγκεντρώνονται με τις ομάδες ασφαλείας και την εταιρική τους διοίκηση για να καθορίσουν τις κορυφαίες προτεραιότητες για το 2024 και πώς να αντιμετωπίσουν αυτά τα ζητήματα. Φέτος - με πολλούς νέους νόμους περί απορρήτου, κανονισμούς της Επιτροπής Κεφαλαιαγοράς, απειλές στον κυβερνοχώρο και νέες τεχνολογίες που υπόσχονται να λύσουν αυτές τις απειλές - μπορεί να χάνουν τον ύπνο τους προσπαθώντας να στοιβάζουν βέλτιστα τα παροιμιώδη κομμάτια Tetris της στρατηγικής για την ασφάλεια στον κυβερνοχώρο.

Από όλες τις προκλήσεις που διεκδικούν την προσοχή του CISO, η προσωπική και νομική ευθύνη για παραβιάσεις δεδομένων που έχει επιβάλει η SEC στους CISO θα μπορούσε να είναι η πιο δύσκολη τη νέα χρονιά, λέει η Nicole Sundin, Chief Product Officer στο Axio. «Καθώς οι CISO ανυψώνονται στην αίθουσα συνεδριάσεων για να συζητήσουν αυτούς τους κινδύνους, θα χρειαστούν ένα σύστημα καταγραφής για να προστατευθούν και να επιδείξουν καθήκον φροντίδας», σημειώνει.

«Προς το παρόν, οι CISO έχουν αυτές τις συνομιλίες, κάνουν δύσκολες επιλογές και ενεργούν όπως κρίνουν απαραίτητο — αλλά αυτές μπορεί να είναι τεκμηριωμένες ή όχι», λέει. «Έχοντας μια ενιαία πηγή αλήθειας ή ένα σύστημα καταγραφής, οι CISO μπορούν να προστατευτούν καλύτερα. Διαφορετικά, θα συνεχίσουμε να βλέπουμε περιστατικά υψηλού προφίλ όπου ένας CISO που δεν έχει αυτό το [αρχείο των γεγονότων και γιατί πραγματοποιήθηκαν] θα πέσει».

1. Υπερασπιστείτε τον εαυτό σας κατά της προσωπικής ευθύνης

Ο Sundin παρομοιάζει τους CISO με στελέχη υγειονομικής περίθαλψης, τα οποία διατηρούν λεπτομερή αρχεία για κάθε ενέργεια που κάνουν προκειμένου να υπερασπιστούν τους εαυτούς τους έναντι των ισχυρισμών περί παραβίασης. Λαμβάνοντας υπόψη ότι πολλοί CISO δεν καλύπτονται από ασφαλιστήρια συμβόλαια εταιρικών διευθυντών και στελεχών (D&O), θα ευθύνονται προσωπικά σύμφωνα με νέους κανόνες SEC εάν συμβεί παραβίαση. Αυτό περιλαμβάνει προσωπική ευθύνη τόσο για παραβίαση με απώλεια δεδομένων όσο και για παραβίαση απορρήτου χωρίς απώλεια δεδομένων.

Η Sundin συνιστά στους CISO να λάβουν τα ακόλουθα βήματα το συντομότερο δυνατό:

Οι CISO πρέπει επίσης να είναι ενεργοί συμμετέχοντες όταν διαπραγμάτευση ασφαλιστηρίων συμβολαίων στον κυβερνοχώρο, λέει ο Sundin. Κανονικά οι CISO πρέπει να υπογράψουν αυτό που τελικά διαπραγματεύεται ο γενικός σύμβουλος ή ο οικονομικός διευθυντής, αλλά χωρίς να έχουν άμεση συνεισφορά —με γραπτό αρχείο των συστάσεων τους— θα μπορούσαν να γίνουν νομικά υπεύθυνοι για την προστασία ενός μη ασφαλίσιμου αποκλεισμού.

2. Παρακολούθηση αναδυόμενων απειλών απορρήτου

Οι ασφαλιστές στον κυβερνοχώρο θα επικεντρωθούν στις παραβιάσεις της ιδιωτικής ζωής το 2024, προβλέπει ο Ντέιβιντ Άντερσον, αντιπρόεδρος ευθύνης στον κυβερνοχώρο στη Woodruff Sawyer, μια εθνική ασφαλιστική μεσιτεία. Ο Άντερσον λέει ότι αναμένεται να το κάνουν οι ασφαλιστές στον κυβερνοχώρο σκληρύνουν τους κανονισμούς σχετικά με τον τρόπο με τον οποίο οι οργανισμοί εφαρμόζουν την ασφάλεια σε ιδιωτικά δεδομένα και προνομιακούς λογαριασμούς, συμπεριλαμβανομένων των λογαριασμών υπηρεσιών, τους οποίους σημειώνει, τείνουν να είναι υπερπρονομιούχοι και συχνά δεν έχουν αλλάξει οι κωδικοί πρόσβασης εδώ και χρόνια.

"Εάν δεν συμμορφώνεστε με τους νόμους και τους νόμους περί απορρήτου που ισχύουν για την επιχείρησή σας, στη δικαιοδοσία σας, στην οποία ισχύει το εύλογο πρότυπο σας, δεν πρόκειται να καλύψουμε το γεγονός ότι μοιράζεστε δεδομένα με τρόπο που δεν ευθυγραμμίζεται με την πολιτική απορρήτου σας ή δεν ευθυγραμμίζεται με το νόμο», λέει ο Άντερσον.

Επικαλούμενος τη σύσφιξη νόμους περί απορρήτου Σε πολιτείες όπως η Καλιφόρνια και η Ουάσιγκτον, λέει ότι οι ασφαλιστικές εταιρείες στον κυβερνοχώρο απαιτούν από τους οργανισμούς όχι μόνο να εφαρμόζουν ολοκληρωμένες πολιτικές απορρήτου, αλλά να μπορούν να αποδείξουν ότι ακολουθούν τις πολιτικές τους. Εάν οι οργανισμοί αποτύχουν να προστατεύσουν τα δεδομένα που προστατεύονται από την πολιτική απορρήτου τους, θα μπορούσαν να βρεθούν χωρίς την κάλυψη.

«Μπορεί να είναι ένας ανασφάλιστος κίνδυνος», λέει. «Αυτοί οι ισχυρισμοί είναι τρομακτικά ακριβοί από άποψη άμυνας και διευθέτησης».

«Ο ανάδοχος θα αναζητήσει περισσότερα από ένα απλό πλαίσιο ελέγχου ναι ή όχι [σε μια εφαρμογή ασφάλισης στον κυβερνοχώρο]. Θα πρέπει να δείξετε πού είναι ενσωματωμένα αυτά τα στοιχεία ελέγχου [και] πού αναγκάζετε τους προμηθευτές σας να τηρούν το ίδιο επίπεδο φροντίδας», όπως υπαγορεύουν οι πολιτικές απορρήτου του οργανισμού σας, προειδοποιεί ο Anderson.

3. Διαχείριση κινδύνων τρίτων

Ενώ οι απειλές για το απόρρητο θα είναι υψηλές στις προτεραιότητες του διοικητικού συμβουλίου για το 2024 χάρη στους νέους κανονισμούς SEC και τις απαιτήσεις των ασφαλιστών στον κυβερνοχώρο, το ίδιο ισχύει και για άλλες απειλές της εφοδιαστικής αλυσίδας. Ο Alastair Parr, ανώτερος αντιπρόεδρος παγκόσμιων προϊόντων και υπηρεσιών στον πάροχο διαχείρισης κινδύνων τρίτων (TPRM) Prevalent, λέει ότι οι οργανισμοί θα πρέπει να δημιουργήσουν τα προγράμματα προμηθειών τους εντοπίζοντας εταίρους από την προοπτική: Πώς μπορεί αυτό το τρίτο μέρος να μας προσφέρει οφέλη λειτουργικής ανθεκτικότητας;

Οι προνοητικοί οραματιστές εξετάζουν τη διαχείριση κινδύνου τρίτων (TPRM) και τα δεδομένα συνολικά και τι σημαίνουν οι παραβιάσεις δεδομένων με βάση την αναδυόμενη και διευρυνόμενη κανονιστική συμμόρφωση, είπε ο Parr. Αντί να εστιάζει στα ίδια τα δεδομένα, προτείνει μια ολιστική προσέγγιση, αποκαλώντας το διαλειτουργικό πλαίσιο διαχείρισης κινδύνου προμηθευτών.

"Μόλις το διοικητικό συμβούλιο αρχίσει να το σκέφτεται ως διαλειτουργικό, ένα πιο ολοκληρωμένο πρόγραμμα - περισσότερο κύκλο ζωής - που αλλάζει τις ερωτήσεις που θα έπρεπε να κάνουν", λέει. «Θα πρέπει να ενθουσιαστούν με τη συμμετοχή στις προμήθειες. Δεν πρέπει να φοβούνται τα δεδομένα για χάρη των δεδομένων».

Η συντριπτική πλειοψηφία των εταιρειών σήμερα παλεύει με το TPRM, λέει ο Parr, επειδή εστιάζουν περισσότερο στο κόστος της διακυβέρνησης δεδομένων παρά στη συμμόρφωση με τους κανονισμούς, τη λειτουργική ανθεκτικότητα, τον αντίκτυπο της επωνυμίας ή τον κίνδυνο φήμης που σχετίζεται με παραβιάσεις δεδομένων.

Κοιτάζοντας μπροστά

Στο περιβάλλον αυξημένης ρύθμισης, οι CISO θεωρούνται πλέον προσωπικά υπεύθυνοι για παραβιάσεις δεδομένων, ανεξάρτητα από το εάν συνεπάγονται απώλεια δεδομένων ή παραβιάσεις της ιδιωτικής ζωής. Σε απάντηση, οι ασφαλιστές στον κυβερνοχώρο αυστηροποιούν τους κανόνες τους σχετικά με τον τρόπο με τον οποίο οι οργανισμοί πρέπει να προστατεύουν τα ιδιωτικά δεδομένα και τους προνομιούχους λογαριασμούς. Και όλα αυτά συμβαίνουν με αυξημένη προσοχή από τις ρυθμιστικές αρχές, τους ασφαλιστές και το C-suite στις απειλές της εφοδιαστικής αλυσίδας.

Για να αντιμετωπίσουν αυτές τις προκλήσεις το επόμενο έτος, οι CISO πρέπει να προστατεύσουν τον οργανισμό τους και τους εαυτούς τους δημιουργώντας ένα σύστημα τεκμηρίωσης σχετικών ενεργειών και αποφάσεων, θεσπίζοντας και επιβάλλοντας ολοκληρωμένες και συνεπείς πολιτικές απορρήτου και αξιολογώντας τους τρίτους εταίρους τους όσον αφορά την επιχειρησιακή ανθεκτικότητα.

Δουλεύοντας σε ολόκληρο τον οργανισμό με ομάδες προμηθειών, νομικών και ασφάλειας, οι CISO μπορούν να μετριάσουν τον πιθανό αντίκτυπο των απειλών της αλυσίδας εφοδιασμού και το κόστος ασφάλισης στην επιχείρησή τους — και να καλυφθούν επίσης.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024