CISO Corner: Deep Dive Into SecOps, Insurance, & CISOs' Evoling Role

Καλώς ήλθατε στο CISO Corner, την εβδομαδιαία ανασκόπηση άρθρων του Dark Reading ειδικά προσαρμοσμένα στους αναγνώστες επιχειρήσεων ασφαλείας και τους ηγέτες ασφαλείας. Κάθε εβδομάδα, θα προσφέρουμε άρθρα που συγκεντρώνονται από όλη τη λειτουργία ειδήσεων, το The Edge, το DR Tech, το DR Global και την ενότητα σχολίων μας. Δεσμευόμαστε να σας προσφέρουμε μια ποικιλία από προοπτικές για να υποστηρίξουμε τη δουλειά της λειτουργικότητας των στρατηγικών κυβερνοασφάλειας, για ηγέτες σε οργανισμούς όλων των σχημάτων και μεγεθών.

Σε αυτό το θέμα:

Οι CISO αγωνίζονται για το καθεστώς C-Suite, ακόμη και όταν οι προσδοκίες εκτοξεύονται

Του Jai Vijayan, Συνεισφέροντας Συγγραφέας Dark Reading

Μια έρευνα του IANS δείχνει ότι οι CISO επωμίζονται όλο και περισσότερη νομική και ρυθμιστική ευθύνη για παραβιάσεις δεδομένων, αλλά λίγοι λαμβάνουν την αναγνώριση ή την υποστήριξη που χρειάζονται.

Οι CISO καλούνται όλο και περισσότερο να αναλάβουν τις ευθύνες αυτού που κανονικά θα θεωρούνταν ρόλος C-suite, αλλά χωρίς να θεωρούνται ή να αντιμετωπίζονται ως τέτοιοι σε πολλούς οργανισμούς.

Μια έρευνα του IANS διαπίστωσε ότι ένα πλήρες 75% των CISO αναζητούν αλλαγή θέσης εργασίας, καθώς οι προσδοκίες για τον ρόλο του CISO έχουν αλλάξει δραματικά στους οργανισμούς του δημόσιου και του ιδιωτικού τομέα λόγω των νέων κανονισμών και των αυξανόμενων απαιτήσεων λογοδοσίας για παραβιάσεις της ασφάλειας.

Ωστόσο, ενώ περισσότερο από το 63% των CISO έχουν θέση αντιπροέδρου ή διευθυντή, μόνο το 20% είναι σε επίπεδο C-suite, παρά το γεγονός ότι έχουν «αρχηγό» στον τίτλο τους. Στην περίπτωση οργανισμών με έσοδα άνω του 1 δισεκατομμυρίου δολαρίων, ο αριθμός αυτός είναι ακόμη μικρότερος, στο 15%.

Γιατί οι περισσότεροι CISO στερούνται ικανοποίησης από την εργασία: Οι CISO αγωνίζονται για το καθεστώς C-Suite, ακόμη και όταν οι προσδοκίες εκτοξεύονται

Συγγενεύων: Ο ρόλος του CISO υφίσταται σημαντική εξέλιξη

Με τις επιθέσεις στο Upswing, τα ασφάλιστρα κυβερνοασφάλισης πρόκειται επίσης να αυξηθούν

Του Robert Lemos, Συνεισφέροντας συγγραφέας Dark Reading

Οι ασφαλιστές διπλασίασαν τα ασφάλιστρα στα τέλη του 2021 για να αντισταθμίσουν τις απώλειες από αξιώσεις ransomware. Με τις επιθέσεις να αυξάνονται ξανά, οι οργανισμοί μπορούν να προβλέψουν έναν νέο γύρο αυξήσεων.

Ενώ το κόστος πριμοδότησης μειώθηκε κατά 6% το τρίτο τρίμηνο του 2023 σε σύγκριση με το ίδιο τρίμηνο του 2022, παρόλο που οι αξιώσεις που σχετίζονται με ransomware και το απόρρητο είχαν ήδη εκτοξευθεί στα ύψη από το προηγούμενο έτος.

Ξεκινώντας από την ανάπτυξη της πανδημίας και του ransomware, οι αξιώσεις για την ασφάλεια στον κυβερνοχώρο αυξήθηκαν από το 2020 και μετά, οδηγώντας σε δραματική αύξηση της τιμολόγησης της πολιτικής. Ωστόσο, ο κλάδος της κυβερνοασφάλισης γίνεται όλο και μεγαλύτερος, με την αξία των άμεσων εγγεγραμμένων ασφαλίστρων να αυξάνεται στα 5.1 δισεκατομμύρια δολάρια το 2023, σημειώνοντας αύξηση 62% από έτος σε έτος, σύμφωνα με τη Fitch Ratings.

Στο μέλλον, υπάρχουν περισσότεροι παίκτες, λιγότερο ολοκληρωμένα συμβόλαια (και συνεπώς κίνδυνος ασφαλιστών) και μεγαλύτερος ανταγωνισμός — όλα αυτά έχουν ως αποτέλεσμα τη μείωση των τιμών για την κάλυψη. Ακόμα κι έτσι, ορισμένοι προβλέπουν αύξηση του κόστους ασφαλίστρων τους επόμενους 12-18 μήνες.

Μάθετε τι να περιμένετε: Με τις επιθέσεις στο Upswing, τα ασφάλιστρα κυβερνοασφάλισης πρόκειται επίσης να αυξηθούν

Συγγενεύων: Πόλεμος ή κόστος επιχειρηματικής δραστηριότητας; Οι Ασφαλιστές Κυβερνοχώρου Εξαιρούν Εξαιρέσεις

DR Global: Λείπει το σήμα κυβερνοασφάλειας με το Essential Eight

Σχόλιο από τον Arye Zacks, Senior Technical Researcher, Adaptive Shield

Το Essential Eight Maturity Model της Αυστραλίας εξακολουθεί να μην αντιμετωπίζει βασικούς παράγοντες που απαιτούνται για την προστασία του σημερινού περιβάλλοντος cloud και SaaS.

Το Essential Eight, το κύριο πλαίσιο διαχείρισης κινδύνων στον κυβερνοχώρο της Αυστραλίας για τις επιχειρήσεις, ιδρύθηκε το 2010 και, ενώ ενημερώνεται κάθε χρόνο, δεν έχει εκσυγχρονιστεί με τον ρυθμό του ψηφιακού μετασχηματισμού: Εφαρμογές SaaS αποτελούν το 70% του συνόλου του λογισμικού που χρησιμοποιείται από τις επιχειρήσεις, αλλά η φράση "SaaS" δεν εμφανίζεται πουθενά στο έγγραφο.

Συγκεκριμένα, λείπουν τέσσερις βασικές οδηγίες ασφάλειας που επικεντρώνονται στο cloud: διαχείριση διαμόρφωσης, ασφάλεια ταυτότητας, διαχείριση ενοποίησης εφαρμογών από τρίτους και έλεγχος πόρων. Αυτό το άρθρο εξετάζει αυτές τις παραλείψεις και τι πρέπει να ενσωματώσουν οι σύγχρονες επιχειρήσεις στα πλαίσια ασφάλειας στον κυβερνοχώρο.

Διαβάστε περισσότερα εδώ: Λείπει το σήμα κυβερνοασφάλειας με το Essential Eight

Συγγενεύων: Ήρθε η ώρα για ασφαλείς εγγενείς εφαρμογές στο Cloud

Ο προϋπολογισμός σας για την κυβερνοασφάλεια είναι το πίσω μέρος του αλόγου

Σχόλιο από την Ira Winkler, Field CISO & Vice President, CYE

Οι ιστορικοί περιορισμοί του προϋπολογισμού περιορίζουν το πρόγραμμα ασφάλειας στον κυβερνοχώρο; Μην αφήνετε τα παλιά πριόνια να σας κρατούν πίσω. Ήρθε η ώρα να επανεξετάσετε τον προϋπολογισμό σας έχοντας στο μυαλό σας επαναστατικές μελλοντικές ανάγκες.

Αναπόφευκτα, ένας τρέχων προϋπολογισμός ασφάλειας βασίζεται στον προϋπολογισμό του προηγούμενου έτους, ο οποίος βασίζεται στον προηγούμενο προϋπολογισμό, ο οποίος βασίζεται στον προηγούμενο προϋπολογισμό, και ούτω καθεξής. Ο τρέχων προϋπολογισμός μπορεί επομένως να βασίζεται ουσιαστικά σε έναν προϋπολογισμό πριν από περισσότερο από μια δεκαετία — με τον ίδιο τρόπο που τα σύγχρονα επιβατικά τρένα μπορεί να χρωστάει στο μέγεθος του αλόγου που σύρει ένα ρωμαϊκό άρμα.

Δείτε πώς μπορείτε να ξεφύγετε από αυτόν τον περιοριστικό κύκλο: Ο προϋπολογισμός σας για την κυβερνοασφάλεια είναι το πίσω μέρος του αλόγου

Συγγενεύων: Η Affiliate του Ομίλου Chertoff ολοκληρώνει την απόκτηση Trustwave

Το πρώτο βήμα για την ασφάλεια των εργαλείων AI/ML είναι ο εντοπισμός τους

Από την Fahmida Y. Rashid, Managing Editor, Features, Dark Reading

Οι ομάδες ασφαλείας πρέπει να αρχίσουν να συνυπολογίζουν αυτά τα εργαλεία όταν σκέφτονται την αλυσίδα εφοδιασμού λογισμικού. Εξάλλου, δεν μπορούν να προστατεύσουν αυτό που δεν ξέρουν ότι έχουν.

Ο αυξανόμενος αριθμός εφαρμογών που ενσωματώνουν δυνατότητες και εργαλεία τεχνητής νοημοσύνης (AI) που διευκολύνουν την εργασία με μοντέλα μηχανικής μάθησης (ML) έχουν δημιουργήσει νέους πονοκεφάλους στην αλυσίδα εφοδιασμού λογισμικού για οργανισμούς, των οποίων οι ομάδες ασφαλείας πρέπει τώρα να αξιολογήσουν και να διαχειριστούν τους κινδύνους που θέτει αυτά τα στοιχεία AI.

Επιπλέον, οι ομάδες ασφαλείας συχνά δεν ενημερώνονται όταν αυτά τα εργαλεία εισάγονται στον οργανισμό από υπαλλήλους και η έλλειψη ορατότητας σημαίνει ότι δεν είναι σε θέση να τα διαχειριστούν ή να προστατεύσουν τα δεδομένα που χρησιμοποιούνται.

Δείτε πώς μπορείτε να βρείτε το AI/ML που κρύβεται στα εργαλεία και τις εφαρμογές που χρησιμοποιούνται — ακόμα και στις σκιώδεις.

Διαβάστε περισσότερα εδώ: Το πρώτο βήμα για την ασφάλεια των εργαλείων AI/ML είναι ο εντοπισμός τους

Συγγενεύων: Το AI δίνει στους υπερασπιστές το πλεονέκτημα στην υπεράσπιση επιχειρήσεων

Οι 3 κορυφαίες προτεραιότητες για τους CISO το 2024

Του Stephen Lawton, Συνεισφέροντας συγγραφέας Dark Reading

Ένα μεταβαλλόμενο ρυθμιστικό περιβάλλον και περιβάλλον επιβολής σημαίνει ότι ο έξυπνος CISO μπορεί να χρειαστεί να αλλάξει τον τρόπο λειτουργίας του φέτος.

Καθώς οι CISO συγκεντρώνονται με τις ομάδες ασφαλείας τους και την εταιρική τους διαχείριση για να διευθετήσουν τις κορυφαίες προτεραιότητες για το 2024, η προσωπική και νομική ευθύνη για παραβιάσεις δεδομένων που έχει επιβάλει η SEC στους CISO θα μπορούσε να είναι η πιο δύσκολη τη νέα χρονιά.

Με τη σειρά τους, οι αλλαγές στην ασφάλεια στον κυβερνοχώρο επηρεάζουν επίσης τη διαχείριση κινδύνων στον κυβερνοχώρο. Όσον αφορά τις παραβιάσεις του απορρήτου το 2024, οι ασφαλιστές στον κυβερνοχώρο αναμένεται να σκληρύνουν τους κανονισμούς σχετικά με τον τρόπο με τον οποίο οι οργανισμοί εφαρμόζουν την ασφάλεια σε ιδιωτικά δεδομένα και προνομιακούς λογαριασμούς, συμπεριλαμβανομένων λογαριασμών υπηρεσιών, οι οποίοι τείνουν να είναι υπερβολικά προνομιούχοι και συχνά δεν έχουν αλλάξει τους κωδικούς πρόσβασης εδώ και χρόνια.

Μάθετε πώς οι προνοητικοί οραματιστές προσεγγίζουν τον κίνδυνο παραβίασης (και τις αναδυόμενες απειλές της εφοδιαστικής αλυσίδας): Οι 3 κορυφαίες προτεραιότητες για τους CISO το 2024

Συγγενεύων: Είναι το μοντέλο vCISO κατάλληλο για τον οργανισμό σας;

CISA's Water Sector Guide Puts Incident Response Front & Center

Του Robert Lemos, Συνεισφέροντας συγγραφέας Dark Reading

Καθώς οι κυβερνοεπιθέσεις στοχεύουν όλο και περισσότερο τους προμηθευτές ύδρευσης και τις επιχειρήσεις κοινής ωφελείας, η ομοσπονδιακή κυβέρνηση των ΗΠΑ θέλει να βοηθήσει στον περιορισμό των επιπτώσεων των καταστροφικών επιθέσεων.

Οι επιχειρήσεις ύδρευσης και αποχέτευσης την περασμένη εβδομάδα έλαβαν νέες οδηγίες για τη βελτίωση της απόκρισής τους σε κυβερνοεπιθέσεις από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), μετά από μεγαλύτερο αριθμό επιθέσεων από ομάδες εθνικών κρατών και εγκληματίες στον κυβερνοχώρο που στοχεύουν την υποεξυπηρετούμενη ζωτικής σημασίας υποδομή.

Το έγγραφο έρχεται καθώς οι προσπάθειες κυβερνοασφάλειας για τον τομέα του νερού και των λυμάτων (WWS), ωστόσο, έχουν παρεμποδιστεί από περιορισμούς πόρων. Ο οδηγός 27 σελίδων της CISA προσφέρει λεπτομερείς συμβουλές για την αρένα της υδροδότησης σχετικά με τον τρόπο δημιουργίας ενός αποτελεσματικού βιβλίου αντιμετώπισης περιστατικών, δεδομένων των μοναδικών προκλήσεων του τομέα.

Εδώ είναι τα κύρια takeaways: CISA's Water Sector Guide Puts Incident Response Front & Center

Συγγενεύων: Μετακινηθείτε, APT: Οι κυβερνοεγκληματίες τώρα στοχεύουν και σε κρίσιμες υποδομές

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-operations/ciso-corner-deep-dive-secops-insurance-evolving-role