با شروع سال جدید، CISO ها با تیم های امنیتی و مدیریت شرکتی خود گرد هم می آیند تا اولویت های اصلی سال 2024 و نحوه رسیدگی به این مسائل را مشخص کنند. امسال - با تعداد زیادی از قوانین حفظ حریم خصوصی، مقررات کمیسیون بورس و اوراق بهادار، تهدیدات سایبری و فناوریهای جدیدی که نوید حل این تهدیدات را میدهند - ممکن است در تلاش برای چیدن بهینه قطعات ضرب المثل تتریس در استراتژی امنیت سایبری، خواب خود را از دست بدهند.
نیکول ساندین، مدیر ارشد محصول در اکسیو میگوید از میان تمام چالشهایی که برای جلب توجه CISO رقابت میکنند، مسئولیت شخصی و قانونی برای نقض دادهها که SEC بر عهده CISO قرار داده است، میتواند چالشبرانگیزترین در سال جدید باشد. او خاطرنشان می کند: «با ارتقای CISO ها به اتاق هیئت مدیره برای بحث در مورد این خطرات، آنها به یک سیستم ثبت برای محافظت از خود و نشان دادن وظیفه مراقبت نیاز دارند.
او میگوید: «در حال حاضر، CISO این مکالمات را انجام میدهند، انتخابهای دشواری انجام میدهند و آنطور که لازم میدانند عمل میکنند – اما ممکن است اینها مستند باشند یا نباشند». «با داشتن یک منبع واحد از حقیقت یا یک سیستم ثبت، CISO ها می توانند بهتر از خود محافظت کنند. در غیر این صورت، ما همچنان شاهد حوادث پرمخاطبی خواهیم بود که در آن یک سازمان امنیت داخلی که این [سوابق وقایع و دلیل انجام آنها] را ندارد، سقوط میکند.»
1. از خود در برابر مسئولیت شخصی دفاع کنید
سوندین CISO ها را به مدیران مراقبت های بهداشتی تشبیه می کند که سوابق دقیقی از هر اقدامی که انجام می دهند برای دفاع از خود در برابر ادعاهای تخلف نگهداری می کنند. با توجه به اینکه بسیاری از CISO ها تحت پوشش بیمه نامه های مدیران و افسران شرکتی (D&O) نیستند، آنها شخصاً تحت پوشش مسئولیت خواهند داشت. قوانین جدید SEC در صورت وقوع تخلف این شامل مسئولیت شخصی برای هر دو نقض با از دست دادن داده یا نقض حریم خصوصی بدون از دست دادن داده است.
Sundin توصیه می کند که CISO اقدامات زیر را در اسرع وقت انجام دهند:
-
یک رکورد سیستم ایجاد کنید. این می تواند یک برنامه ریز یا دفتر خاطرات باشد که در آن هر اقدام مربوط به یک حادثه امنیتی بالقوه با شرح دقیق و زمانی از هر اقدام انجام شده و دلایل انجام آنها ثبت می شود.
-
با استفاده از نظرات مشاور عمومی یا افسر ارشد ریسک، یک تعریف شرکتی برای «مادی بودن» ایجاد کنید تا دستورالعملهای روشنی را در مورد اینکه چه چیزی از نظر قانونی برای سرمایهگذاران یا سهامداران مهم تلقی میشود و چه چیزی نیست، ایجاد کنید.
-
یاد بگیرید که با هیئت مدیره صحبت کنید و سایر مدیران از نظر مالی. به هیئت مدیره بگویید که دقیقاً کدام کنترل های امنیتی مورد نیاز است، هزینه آنها و ضرر احتمالی شرکت در صورت رخ دادن نقض به دلیل عدم وجود کنترل های امنیتی در محل.
CISO ها همچنین باید در هنگام حضور فعال باشند مذاکره در مورد بیمه نامه های سایبریسوندین می گوید. معمولاً CISO ها باید آنچه را که مشاور عمومی یا CFO در نهایت مذاکره می کند امضا کنند، اما بدون داشتن ورودی مستقیم - با ثبت کتبی از توصیه های آنها - می توانند از نظر قانونی مسئول حفاظت از یک استثنا غیرقابل بیمه شوند.
2. تهدیدات حریم خصوصی در حال ظهور را رصد کنید
دیوید اندرسون، معاون مسئولیت سایبری در Woodruff Sawyer، یک کارگزاری بیمه ملی، پیش بینی می کند که بیمه گران سایبری در سال 2024 بر نقض حریم خصوصی تمرکز خواهند کرد. اندرسون می گوید که انتظار می رود بیمه گران سایبری این کار را انجام دهند سخت شدن مقررات در مورد اینکه چگونه سازمانها امنیت را بر روی دادههای خصوصی و حسابهای دارای امتیاز، از جمله حسابهای خدماتی، که به گفته او، دارای امتیاز بیش از حد هستند و اغلب رمز عبور آنها در سالها تغییر نکرده است، اجرا میکنند.
«اگر به قوانین و قوانین حفظ حریم خصوصی مربوط به کسبوکارتان، در حوزه قضاییتان، که استاندارد معقول شما در آن اعمال میشود، پایبند نیستید، ما این واقعیت را پوشش نمیدهیم که دادهها را بهصورتی غیرهمتراز به اشتراک میگذارید. اندرسون میگوید: با سیاست حفظ حریم خصوصی شما یا مطابق با قانون نیست.
با استناد به سفت شدن قوانین حریم خصوصی او میگوید که در ایالتهایی مانند کالیفرنیا و واشنگتن، بیمهگران سایبری از سازمانها میخواهند که نه تنها سیاستهای جامع حفظ حریم خصوصی را در نظر بگیرند، بلکه بتوانند نشان دهند که از سیاستهای خود پیروی میکنند. اگر سازمان ها نتوانند از داده های محافظت شده توسط سیاست حفظ حریم خصوصی خود محافظت کنند، ممکن است خود را بدون پوشش بیابند.
او می گوید: «این ممکن است یک خطر غیرقابل بیمه باشد. "این ادعاها از منظر دفاع و حل و فصل به طرز وحشتناکی گران هستند."
"شرکت کننده قرار است به دنبال چیزی بیشتر از یک چک باکس بله یا خیر [در یک برنامه بیمه سایبری] باشد. اندرسون هشدار میدهد که باید نشان دهید که این کنترلها کجا تعبیه شدهاند [و] کجا فروشندگان خود را مجبور میکنید به همان سطح مراقبت پایبند باشند.
3. ریسک های شخص ثالث را مدیریت کنید
در حالی که به لطف مقررات جدید SEC و الزامات بیمهگران سایبری، تهدیدات حریم خصوصی در اولویتهای هیئت مدیره برای سال 2024 قرار خواهند گرفت، سایر تهدیدات زنجیره تامین نیز چنین خواهند بود. Alastair Parr، معاون ارشد محصولات و خدمات جهانی در ارائهدهنده مدیریت ریسک شخص ثالث (TPRM) Prevalent، میگوید سازمانها باید برنامههای تدارکات خود را با شناسایی شرکا از این منظر ایجاد کنند: چگونه این شخص ثالث میتواند مزایای انعطافپذیری عملیاتی را به ما ارائه دهد؟
به گفته پار، دوراندیشان آینده نگر به مدیریت ریسک شخص ثالث (TPRM) و داده ها در مجموع و اینکه نقض داده ها بر اساس انطباق مقرراتی در حال ظهور و گسترش یافته به چه معناست نگاه می کنند. او به جای تمرکز بر روی خود داده ها، رویکردی کل نگر را پیشنهاد می کند و آن را چارچوب مدیریت ریسک تامین کننده بین عملکردی می نامد.
او میگوید: «به محض اینکه هیئت مدیره شروع به فکر کردن در مورد آن به عنوان چند کارکردی میکند، یک برنامه جامعتر - بیشتر یک چرخه حیات - است که سؤالاتی را که باید بپرسند تغییر میدهد. "آنها باید در مورد مشارکت در تدارکات هیجان زده شوند. آنها نباید به خاطر داده ها از داده ها بترسند."
پار میگوید که اکثریت قریب به اتفاق شرکتهای امروزی با TPRM دست و پنجه نرم میکنند، زیرا آنها بیشتر بر روی هزینه حاکمیت دادهها تمرکز میکنند تا انطباق با مقررات، انعطافپذیری عملیاتی، تأثیر نام تجاری، یا ریسک شهرت مرتبط با نقض دادهها.
با نگاه به آینده
در محیط افزایش مقررات، CISO ها در حال حاضر شخصاً مسئول نقض داده ها هستند، صرف نظر از اینکه این موارد شامل از دست دادن داده ها یا نقض حریم خصوصی باشد. در پاسخ، پذیره نویسان بیمه سایبری قوانین خود را در مورد اینکه چگونه سازمان ها باید از داده های خصوصی و حساب های ممتاز محافظت کنند، سخت تر می کنند. و همه اینها با توجه بیشتر تنظیمکنندهها، بیمهگران و C-suite به تهدیدات زنجیره تامین اتفاق میافتد.
برای رویارویی با این چالش ها در سال آینده، CISO ها باید با ایجاد سیستمی برای مستندسازی اقدامات و تصمیمات مربوطه، ایجاد و اجرای سیاست های حفظ حریم خصوصی جامع و سازگار، و ارزیابی شرکای شخص ثالث خود از نظر انعطاف پذیری عملیاتی، از سازمان و خود محافظت کنند.
با همکاری در سراسر سازمان با تیمهای تدارکات، حقوقی و امنیتی، CISOها میتوانند تأثیر بالقوه تهدیدات زنجیره تأمین و هزینههای بیمه را بر تجارت خود کاهش دهند - و خودشان را نیز پوشش دهند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- : دارد
- :است
- :نه
- :جایی که
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- قادر
- درباره ما
- در مورد IT
- حساب ها
- در میان
- عمل
- عمل
- اقدامات
- فعال
- نشانی
- پایبند بودن
- چسبیدن
- در برابر
- تجمیع
- هم راستا
- معرفی
- همچنین
- an
- و
- اندرسون
- مربوط
- کاربرد
- اعمال میشود
- روش
- هستند
- AS
- خواهان
- ارزیابی
- مرتبط است
- At
- توجه
- مستقر
- BE
- زیرا
- شدن
- بودن
- مزایای
- بهتر
- تخته
- هيئت مدیره
- هر دو
- نام تجاری
- شکاف
- نقض
- حق العمل
- ساختن
- کسب و کار
- اما
- by
- C- مجموعه
- کالیفرنیا
- فراخوانی
- CAN
- اهميت دادن
- cfo
- زنجیر
- چالش ها
- به چالش کشیدن
- تغییر
- تبادل
- رئیس
- مدیر ارشد محصول
- انتخاب
- دایره
- CISO
- ادعای
- واضح
- آینده
- کمیسیون
- شرکت
- شرکت
- انطباق
- جامع
- در نظر گرفته
- با توجه به
- استوار
- ادامه دادن
- گروه شاهد
- گفتگو
- شرکت
- هزینه
- هزینه
- میتوانست
- مشورت
- پوشش
- پوشش
- پوشش داده شده
- ایجاد
- صلیب
- در حال حاضر
- سایبر
- امنیت سایبری
- داده ها
- خرابی داده ها
- از دست رفتن داده ها
- داود
- تصمیم گیری
- دفاع
- تعریف
- خواستار
- نشان دادن
- شرح
- دقیق
- دیکته کردن
- مشکل
- مستقیم
- مدیران
- بحث و تبادل نظر
- سند
- ثبت شده
- ندارد
- دو
- هر
- مرتفع
- جاسازی شده
- سنگ سنباده
- اجرای قانون
- محیط
- ایجاد
- ایجاد
- اتر (ETH)
- حوادث
- هر
- کاملا
- تبادل
- کمیسیون تبادل
- برانگیخته
- مدیران
- گسترش
- انتظار می رود
- گران
- واقعیت
- FAIL
- سقوط
- مالی
- پیدا کردن
- تمرکز
- تمرکز
- به دنبال
- پیروی
- برای
- مجبور
- چارچوب
- از جانب
- تابعی
- جمع آوری
- سوالات عمومی
- گرفتن
- جهانی
- رفتن
- حکومت
- دستورالعمل ها
- بود
- اتفاق می افتد
- آیا
- داشتن
- he
- بهداشت و درمان
- برگزار شد
- زیاد
- مشخصات بالا
- جامع
- چگونه
- چگونه
- HTTPS
- ICON
- شناسایی
- if
- تأثیر
- انجام
- in
- حادثه
- حوادث
- شامل
- از جمله
- افزایش
- ورودی
- بیمه
- بیمه گران
- سرمایه گذاران
- شامل
- درگیری
- مسائل
- IT
- خود
- JPG
- صلاحیت این دادگاه
- تنها
- نگاه داشتن
- قوانین
- قانونی
- قانونا
- سطح
- بدهی
- wifecycwe
- نگاه کنيد
- شکست
- خاموش
- اکثریت
- ساخت
- مدیریت
- مدیریت
- بسیاری
- از نظر مادی
- ممکن است..
- متوسط
- دیدار
- قدرت
- کاهش
- مانیتور
- بیش
- اکثر
- بسیاری
- باید
- ملی
- لازم
- نیاز
- جدید
- فناوری های نوین
- سال نو
- نه
- به طور معمول
- یادداشت
- اکنون
- of
- خاموش
- ارائه
- افسر
- مامورین
- غالبا
- on
- فقط
- قابل استفاده
- انعطاف پذیری عملیاتی
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- در غیر این صورت
- خارج
- شرکت کنندگان
- شرکای
- حزب
- کلمه عبور
- شخصی
- شخصا
- چشم انداز
- قطعات
- محل
- قرار داده شده
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- سیاست
- ممکن
- پتانسیل
- پیش بینی می کند
- رئيس جمهور
- شایع
- خلوت
- نقض حریم خصوصی
- قوانین حریم خصوصی
- سیاست حفظ حریم خصوصی
- تهدیدات حریم خصوصی
- خصوصی
- ممتاز
- خرید
- محصول
- محصولات
- محصولات و خدمات
- برنامه
- برنامه ها
- امید بخش
- محافظت از
- محفوظ
- حفاظت
- ارائه دهنده
- سوالات
- نسبتا
- RE
- معقول
- دلایل
- توصیه
- توصیه می کند
- رکورد
- ثبت
- سوابق
- بدون در نظر گرفتن
- تنظیم
- مقررات
- رگولاتور
- تنظیم کننده
- پیروی از مقررات
- مربوط
- ضروری
- مورد نیاز
- حالت ارتجاعی
- پاسخ
- مسئوليت
- خطر
- مدیریت ریسک
- خطرات
- قوانین
- s
- سعید
- دلیل
- همان
- می گوید:
- می ترسم
- حوزه
- SEC
- اوراق بهادار
- بورس و اوراق بهادار کمیسیون
- تیم امنیت لاتاری
- دیدن
- ارشد
- سرویس
- خدمات
- توافق
- سهامداران
- اشتراک
- او
- باید
- نشان
- امضاء
- قابل توجه
- تنها
- خواب
- So
- حل
- بزودی
- منبع
- سخن گفتن
- پشته
- استاندارد
- شروع می شود
- ایالات
- مراحل
- استراتژی
- تلاش
- چنین
- حاکی از
- تهیه کننده
- عرضه
- زنجیره تامین
- سیستم
- سیستم ثبت
- T
- گرفتن
- صورت گرفته
- طول می کشد
- مصرف
- تیم ها
- فن آوری
- گفتن
- تمایل
- قوانین و مقررات
- نسبت به
- با تشکر
- که
- La
- شان
- خودشان
- اینها
- آنها
- تفکر
- سوم
- شخص ثالث
- این
- در این سال
- کسانی که
- تهدید
- سفت شدن
- به
- امروز
- هم
- بالا
- حقیقت
- تلاش
- در نهایت
- زیر
- کارفرمایان
- us
- وسیع
- فروشندگان
- معاون
- معاون رئیس جمهور
- نقض
- چشم انداز
- هشدارها
- واشنگتن
- مسیر..
- we
- بود
- چی
- چه شده است
- چه زمانی
- چه
- که
- WHO
- چرا
- اراده
- با
- بدون
- کارگر
- خواهد بود
- کتبی
- سال
- سال
- بله
- شما
- شما
- خودت
- زفیرنت