CISO Corner: Sukella syvälle SecOpsiin, vakuutuksiin ja CISO:n kehittyvään rooliin

Tervetuloa CISO Corneriin, Dark Readingin viikoittaiseen tiivistelmään artikkeleista, jotka on räätälöity erityisesti turvallisuustoimintojen lukijoille ja tietoturvajohtajille. Joka viikko tarjoamme artikkeleita, jotka on poimittu uutistoiminnastamme, The Edgestä, DR Techistä, DR Globalista ja kommenttiosiostamme. Olemme sitoutuneet tuomaan sinulle monipuolisen joukon näkökulmia tukeaksemme kyberturvallisuusstrategioiden toteuttamista kaikenmuotoisten ja -kokoisten organisaatioiden johtajille.

Tässä numerossa:

CISOt kamppailevat C-Suite-tilan puolesta jopa odotusten noustessa

Kirjailija Jai ​​Vijayan, Dark Reading Contributing Writer

IANS-tutkimus osoittaa, että CISO:t kantavat yhä enemmän oikeudellista ja lainsäädännöllistä vastuuta tietomurroista, mutta harvat saavat tarvitsemaansa tunnustusta tai tukea.

CISO:ita pyydetään yhä useammin ottamaan vastuuta siitä, mitä tavallisesti pidettäisiin C-sarjan roolina, mutta niitä ei pidetä tai kohdella sellaisina monissa organisaatioissa.

IANS-tutkimuksen mukaan 75 % CISO:sta etsii työpaikan vaihtoa, sillä julkisen ja yksityisen sektorin organisaatioissa odotukset CISO:n roolista ovat muuttuneet dramaattisesti uusien säännösten ja kasvavan tietoturvaloukkausten vastuuvelvollisuuden vuoksi.

Mutta vaikka yli 63 %:lla CISO:sta on varapresidentti- tai johtajatason asema, vain 20 % on C-sarjan tasolla, vaikka heillä on nimikkeessään "päällikkö". Organisaatioissa, joiden tulot ovat yli miljardi dollaria, luku on vielä pienempi, 1 prosenttia.

Miksi useimmilta CISO:ilta puuttuu työtyytyväisyys: CISOt kamppailevat C-Suite-tilan puolesta jopa odotusten noustessa

Related: CISO-rooli käy läpi merkittävää kehitystä

Nousuhyökkäyksien myötä myös kybervakuutusmaksut ovat nousussa

Robert Lemos, Dark Reading Contributing Writer

Vakuutuksenantajat kaksinkertaistivat vakuutusmaksut vuoden 2021 lopulla korvatakseen kiristyshaittahaitoista aiheutuneet tappiot. Kun hyökkäykset lisääntyvät jälleen, organisaatiot voivat ennakoida uuden kasvukierroksen.

Vaikka palkkiokulut laskivat 6 % vuoden 2023 kolmannella neljänneksellä verrattuna vuoden 2022 vastaavaan neljännekseen, vaikka lunnasohjelmiin ja yksityisyyteen liittyvät vaateet olivat jo nousseet pilviin edellisvuodesta.

Pandemian ja kiristysohjelmien kasvun käynnistämänä kybervakuutuskorvaukset kasvoivat vuodesta 2020 lähtien, mikä johti dramaattiseen vakuutusten hintojen nousuun. Mutta kybervakuutusala on vain kasvamassa, ja suoran maksutulon arvo kasvaa 5.1 miljardiin dollariin vuonna 2023, mikä on 62 prosenttia enemmän kuin vuotta aiemmin, Fitch Ratingsin mukaan.

Jatkossa on enemmän toimijoita, vähemmän kattavia vakuutuksia (ja siten vakuutusyhtiön riskiä) ja enemmän kilpailua – kaikki tämä johtaa vakuutusten hintojen alenemiseen. Silti jotkut ennustavat vakuutusmaksujen nousevan seuraavien 12–18 kuukauden aikana.

Ota selvää mitä odottaa: Nousuhyökkäyksien myötä myös kybervakuutusmaksut ovat nousussa

Related: Sota vai liiketoiminnan kustannukset? Kybervakuutuksenantajat tiivistävät poissulkemisia

DR Global: Puuttuu kyberturvallisuusmerkki Essential Eightin kanssa

Kommentti: Arye Zacks, Adaptive Shield, vanhempi tekninen tutkija

Australian Essential Eight Maturity Model ei vieläkään ota huomioon keskeisiä tekijöitä, joita tarvitaan nykypäivän pilvi- ja SaaS-ympäristöjen suojaamiseen.

Essential Eight, Aussien hallituksen tärkein kyberturvallisuuden riskienhallintakehys yrityksille, perustettiin vuonna 2010, ja vaikka sitä päivitetään vuosittain, se ei ole onnistunut modernisoimaan digitaalisen muutoksen tahdissa: SaaS-sovellukset 70 % kaikista yritysten käyttämistä ohjelmistoista, mutta ilmaus "SaaS" ei näy missään asiakirjassa.

Erityisesti siitä puuttuu neljä keskeistä pilvikeskeistä tietoturvaohjetta: kokoonpanon hallinta, identiteetin suojaus, kolmannen osapuolen sovellusten integroinnin hallinta ja resurssien hallinta. Tässä artikkelissa käsitellään näitä puutteita ja sitä, mitä nykyaikaisten yritysten on sisällytettävä kyberturvallisuuskehyksiinsä.

Lue lisää täältä: Puuttuu kyberturvallisuusmerkki Essential Eightin kanssa

Related: Nyt on aika suojata pilvipohjaiset sovellukset

Kyberturvallisuusbudjettisi on hevosen takapää

Kommentti: Ira Winkler, Field CISO & Vice President, CYE

Rajoittavatko historialliset budjettirajoitukset kyberturvallisuusohjelmaasi? Älä anna vanhojen sahojen estää sinua. On aika tarkastella budjettiasi uudelleen mullistavia tulevaisuuden tarpeita silmällä pitäen.

Nykyinen turvallisuusbudjetti perustuu väistämättä edellisen vuoden budjettiin, joka perustuu aikaisempaan budjettiin, joka perustuu aikaisempaan budjettiin ja niin edelleen. Nykyinen budjetti voi siksi perustua pohjimmiltaan yli kymmenen vuoden takaiseen budjettiin – samalla tavalla kuin nykyaikaiset matkustajajunat saattaa olla velkaa roomalaisia ​​vaunuja piirtävän hevosen kokoiseksi.

Näin pääset eroon tästä rajoittavasta kierteestä: Kyberturvallisuusbudjettisi on hevosen takapää

Related: Chertoff-konsernin tytäryhtiö saa Trustwaven hankinnan päätökseen

Ensimmäinen askel AI/ML-työkalujen turvaamisessa on niiden paikantaminen

Fahmida Y. Rashid, Toimitusjohtaja, Ominaisuudet, Dark Reading

Tietoturvatiimien on alettava hyödyntää näitä työkaluja harkitessaan ohjelmistojen toimitusketjua. Loppujen lopuksi he eivät voi suojella sitä, mitä he eivät tiedä olevansa.

Tekoäly-ominaisuuksia ja koneoppimismallien (ML) työskentelyä helpottavia työkaluja sisältävien sovellusten kasvava määrä on aiheuttanut uusia ohjelmistojen toimitusketjun päänsärkyjä organisaatioille, joiden turvallisuustiimien on nyt arvioitava ja hallittava nämä AI-komponentit.

Lisäksi turvallisuustiimit eivät useinkaan saa tietoa, kun työntekijät tuovat nämä työkalut organisaatioon, ja näkyvyyden puute tarkoittaa, että he eivät pysty hallitsemaan niitä tai suojaamaan käytettyjä tietoja.

Näin löydät käytettävissä työkaluissa ja sovelluksissa piilevän AI/ML:n – jopa varjossa olevissa.

Lue lisää täältä: Ensimmäinen askel AI/ML-työkalujen turvaamisessa on niiden paikantaminen

Related: Tekoäly antaa puolustajille etua yrityspuolustuksessa

CISO:n 3 tärkeintä prioriteettia vuonna 2024

Kirjailija Stephen Lawton, Dark Reading Contributing Writer

Muuttuva sääntely- ja täytäntöönpanoympäristö tarkoittaa, että älykäs CISO saattaa joutua muuttamaan toimintatapaansa tänä vuonna.

Kun CISO:t kokoontuvat tietoturvatiimiensä ja yritysjohtonsa kanssa kartoittaakseen vuoden 2024 tärkeimpiä prioriteetteja, SEC:n CISO:ille asettama henkilökohtainen ja oikeudellinen vastuu tietomurroista voi olla haastavin uudessa vuonna.

Kybervakuutuksen muutokset puolestaan ​​vaikuttavat myös kyberriskien hallintaan. Mitä tulee yksityisyyden loukkauksiin vuonna 2024, kybervakuuttajien odotetaan tiukentavan säännöksiä siitä, kuinka organisaatiot toteuttavat yksityisten tietojen ja etuoikeutettujen tilien turvallisuutta, mukaan lukien palvelutilit, jotka ovat yleensä ylioikeutettuja ja joiden salasanoja ei ole usein vaihdettu vuosiin.

Ota selvää, kuinka eteenpäin katsovat visionäärit lähestyvät murtumisriskiä (ja uusia toimitusketjun uhkia): CISO:n 3 tärkeintä prioriteettia vuonna 2024

Related: Onko vCISO-malli oikea organisaatiollesi?

CISA:n vesialan opas asettaa onnettomuuksien reagoinnin etupuolelle ja keskelle

Robert Lemos, Dark Reading Contributing Writer

Kun kyberhyökkääjät hyökkäävät yhä useammin veden toimittajiin ja jätevesilaitoksiin, Yhdysvaltain liittohallitus haluaa auttaa rajoittamaan tuhoavien hyökkäysten vaikutuksia.

Vesi- ja jätevesilaitokset saivat viime viikolla Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirastolta (CISA) uusia ohjeita parantaakseen kyberhyökkäyksiään sen jälkeen, kun kansallisvaltioryhmien ja kyberrikollisten hyökkäyksiä on tehty useammin alipalveltuihin kriittisiin infrastruktuuriin.

Asiakirja tulee, koska vesi- ja jätevesialan (WWS) kyberturvallisuuspyrkimyksiä on kuitenkin haitannut resurssirajoitukset. CISA:n 27-sivuinen opas tarjoaa yksityiskohtaisia ​​neuvoja vesilaitosten areenalle tehokkaan tapauskohtaisen pelikirjan luomiseksi ottaen huomioon alan ainutlaatuiset haasteet.

Tässä ovat tärkeimmät noutot: CISA:n vesialan opas asettaa onnettomuuksien reagoinnin etupuolelle ja keskelle

Related: Move Over, APT:t: Kyberrikolliset tähtäävät nyt myös kriittiseen infrastruktuuriin

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/ciso-corner-deep-dive-secops-insurance-evolving-role