3 اولویت برتر برای CISO در سال 2024

3 اولویت برتر برای CISO در سال 2024

تمبر زمان: 19 ژانویه 2024، ساعت 5:20 بعد از ظهر
گره منبع: 3072560

با شروع سال جدید، CISO ها با تیم های امنیتی و مدیریت شرکتی خود گرد هم می آیند تا اولویت های اصلی سال 2024 و نحوه رسیدگی به این مسائل را مشخص کنند. امسال - با تعداد زیادی از قوانین حفظ حریم خصوصی، مقررات کمیسیون بورس و اوراق بهادار، تهدیدات سایبری و فناوری‌های جدیدی که نوید حل این تهدیدات را می‌دهند - ممکن است در تلاش برای چیدن بهینه قطعات ضرب المثل تتریس در استراتژی امنیت سایبری، خواب خود را از دست بدهند.

نیکول ساندین، مدیر ارشد محصول در اکسیو می‌گوید از میان تمام چالش‌هایی که برای جلب توجه CISO رقابت می‌کنند، مسئولیت شخصی و قانونی برای نقض داده‌ها که SEC بر عهده CISO قرار داده است، می‌تواند چالش‌برانگیزترین در سال جدید باشد. او خاطرنشان می کند: «با ارتقای CISO ها به اتاق هیئت مدیره برای بحث در مورد این خطرات، آنها به یک سیستم ثبت برای محافظت از خود و نشان دادن وظیفه مراقبت نیاز دارند.

او می‌گوید: «در حال حاضر، CISO این مکالمات را انجام می‌دهند، انتخاب‌های دشواری انجام می‌دهند و آن‌طور که لازم می‌دانند عمل می‌کنند – اما ممکن است اینها مستند باشند یا نباشند». «با داشتن یک منبع واحد از حقیقت یا یک سیستم ثبت، CISO ها می توانند بهتر از خود محافظت کنند. در غیر این صورت، ما همچنان شاهد حوادث پرمخاطبی خواهیم بود که در آن یک سازمان امنیت داخلی که این [سوابق وقایع و دلیل انجام آنها] را ندارد، سقوط می‌کند.»

1. از خود در برابر مسئولیت شخصی دفاع کنید

سوندین CISO ها را به مدیران مراقبت های بهداشتی تشبیه می کند که سوابق دقیقی از هر اقدامی که انجام می دهند برای دفاع از خود در برابر ادعاهای تخلف نگهداری می کنند. با توجه به اینکه بسیاری از CISO ها تحت پوشش بیمه نامه های مدیران و افسران شرکتی (D&O) نیستند، آنها شخصاً تحت پوشش مسئولیت خواهند داشت. قوانین جدید SEC در صورت وقوع تخلف این شامل مسئولیت شخصی برای هر دو نقض با از دست دادن داده یا نقض حریم خصوصی بدون از دست دادن داده است.

Sundin توصیه می کند که CISO اقدامات زیر را در اسرع وقت انجام دهند:

  • یک رکورد سیستم ایجاد کنید. این می تواند یک برنامه ریز یا دفتر خاطرات باشد که در آن هر اقدام مربوط به یک حادثه امنیتی بالقوه با شرح دقیق و زمانی از هر اقدام انجام شده و دلایل انجام آنها ثبت می شود.

  • با استفاده از نظرات مشاور عمومی یا افسر ارشد ریسک، یک تعریف شرکتی برای «مادی بودن» ایجاد کنید تا دستورالعمل‌های روشنی را در مورد اینکه چه چیزی از نظر قانونی برای سرمایه‌گذاران یا سهامداران مهم تلقی می‌شود و چه چیزی نیست، ایجاد کنید.

  • یاد بگیرید که با هیئت مدیره صحبت کنید و سایر مدیران از نظر مالی. به هیئت مدیره بگویید که دقیقاً کدام کنترل های امنیتی مورد نیاز است، هزینه آنها و ضرر احتمالی شرکت در صورت رخ دادن نقض به دلیل عدم وجود کنترل های امنیتی در محل.

CISO ها همچنین باید در هنگام حضور فعال باشند مذاکره در مورد بیمه نامه های سایبریسوندین می گوید. معمولاً CISO ها باید آنچه را که مشاور عمومی یا CFO در نهایت مذاکره می کند امضا کنند، اما بدون داشتن ورودی مستقیم - با ثبت کتبی از توصیه های آنها - می توانند از نظر قانونی مسئول حفاظت از یک استثنا غیرقابل بیمه شوند.

2. تهدیدات حریم خصوصی در حال ظهور را رصد کنید

دیوید اندرسون، معاون مسئولیت سایبری در Woodruff Sawyer، یک کارگزاری بیمه ملی، پیش بینی می کند که بیمه گران سایبری در سال 2024 بر نقض حریم خصوصی تمرکز خواهند کرد. اندرسون می گوید که انتظار می رود بیمه گران سایبری این کار را انجام دهند سخت شدن مقررات در مورد اینکه چگونه سازمان‌ها امنیت را بر روی داده‌های خصوصی و حساب‌های دارای امتیاز، از جمله حساب‌های خدماتی، که به گفته او، دارای امتیاز بیش از حد هستند و اغلب رمز عبور آنها در سال‌ها تغییر نکرده است، اجرا می‌کنند.

«اگر به قوانین و قوانین حفظ حریم خصوصی مربوط به کسب‌وکارتان، در حوزه قضایی‌تان، که استاندارد معقول شما در آن اعمال می‌شود، پایبند نیستید، ما این واقعیت را پوشش نمی‌دهیم که داده‌ها را به‌صورتی غیرهمتراز به اشتراک می‌گذارید. اندرسون می‌گوید: با سیاست حفظ حریم خصوصی شما یا مطابق با قانون نیست.

با استناد به سفت شدن قوانین حریم خصوصی او می‌گوید که در ایالت‌هایی مانند کالیفرنیا و واشنگتن، بیمه‌گران سایبری از سازمان‌ها می‌خواهند که نه تنها سیاست‌های جامع حفظ حریم خصوصی را در نظر بگیرند، بلکه بتوانند نشان دهند که از سیاست‌های خود پیروی می‌کنند. اگر سازمان ها نتوانند از داده های محافظت شده توسط سیاست حفظ حریم خصوصی خود محافظت کنند، ممکن است خود را بدون پوشش بیابند.

او می گوید: «این ممکن است یک خطر غیرقابل بیمه باشد. "این ادعاها از منظر دفاع و حل و فصل به طرز وحشتناکی گران هستند."

"شرکت کننده قرار است به دنبال چیزی بیشتر از یک چک باکس بله یا خیر [در یک برنامه بیمه سایبری] باشد. اندرسون هشدار می‌دهد که باید نشان دهید که این کنترل‌ها کجا تعبیه شده‌اند [و] کجا فروشندگان خود را مجبور می‌کنید به همان سطح مراقبت پایبند باشند.

3. ریسک های شخص ثالث را مدیریت کنید

در حالی که به لطف مقررات جدید SEC و الزامات بیمه‌گران سایبری، تهدیدات حریم خصوصی در اولویت‌های هیئت مدیره برای سال 2024 قرار خواهند گرفت، سایر تهدیدات زنجیره تامین نیز چنین خواهند بود. Alastair Parr، معاون ارشد محصولات و خدمات جهانی در ارائه‌دهنده مدیریت ریسک شخص ثالث (TPRM) Prevalent، می‌گوید سازمان‌ها باید برنامه‌های تدارکات خود را با شناسایی شرکا از این منظر ایجاد کنند: چگونه این شخص ثالث می‌تواند مزایای انعطاف‌پذیری عملیاتی را به ما ارائه دهد؟

به گفته پار، دوراندیشان آینده نگر به مدیریت ریسک شخص ثالث (TPRM) و داده ها در مجموع و اینکه نقض داده ها بر اساس انطباق مقرراتی در حال ظهور و گسترش یافته به چه معناست نگاه می کنند. او به جای تمرکز بر روی خود داده ها، رویکردی کل نگر را پیشنهاد می کند و آن را چارچوب مدیریت ریسک تامین کننده بین عملکردی می نامد.

او می‌گوید: «به محض اینکه هیئت مدیره شروع به فکر کردن در مورد آن به عنوان چند کارکردی می‌کند، یک برنامه جامع‌تر - بیشتر یک چرخه حیات - است که سؤالاتی را که باید بپرسند تغییر می‌دهد. "آنها باید در مورد مشارکت در تدارکات هیجان زده شوند. آنها نباید به خاطر داده ها از داده ها بترسند."

پار می‌گوید که اکثریت قریب به اتفاق شرکت‌های امروزی با TPRM دست و پنجه نرم می‌کنند، زیرا آنها بیشتر بر روی هزینه حاکمیت داده‌ها تمرکز می‌کنند تا انطباق با مقررات، انعطاف‌پذیری عملیاتی، تأثیر نام تجاری، یا ریسک شهرت مرتبط با نقض داده‌ها.

با نگاه به آینده

در محیط افزایش مقررات، CISO ها در حال حاضر شخصاً مسئول نقض داده ها هستند، صرف نظر از اینکه این موارد شامل از دست دادن داده ها یا نقض حریم خصوصی باشد. در پاسخ، پذیره نویسان بیمه سایبری قوانین خود را در مورد اینکه چگونه سازمان ها باید از داده های خصوصی و حساب های ممتاز محافظت کنند، سخت تر می کنند. و همه اینها با توجه بیشتر تنظیم‌کننده‌ها، بیمه‌گران و C-suite به تهدیدات زنجیره تامین اتفاق می‌افتد.

برای رویارویی با این چالش ها در سال آینده، CISO ها باید با ایجاد سیستمی برای مستندسازی اقدامات و تصمیمات مربوطه، ایجاد و اجرای سیاست های حفظ حریم خصوصی جامع و سازگار، و ارزیابی شرکای شخص ثالث خود از نظر انعطاف پذیری عملیاتی، از سازمان و خود محافظت کنند.

با همکاری در سراسر سازمان با تیم‌های تدارکات، حقوقی و امنیتی، CISOها می‌توانند تأثیر بالقوه تهدیدات زنجیره تأمین و هزینه‌های بیمه را بر تجارت خود کاهش دهند - و خودشان را نیز پوشش دهند.

تمبر زمان:

بیشتر از تاریک خواندن