CISO:n 3 tärkeintä prioriteettia vuonna 2024

Uuden vuoden alkaessa CISO:t kokoontuvat turvallisuustiimiensä ja yrityksen johdon kanssa kartoittamaan vuoden 2024 tärkeimmät prioriteetit ja miten näihin ongelmiin puututaan. Tänä vuonna – lukuisten uusien tietosuojalakien, Securities and Exchange Commissionin säädösten, kyberuhkien ja uusien tekniikoiden myötä, jotka lupaavat ratkaista nämä uhat – he saattavat menettää unta yrittäessään pinota optimaalisesti kyberturvallisuusstrategian sananmukaisia ​​Tetris-osia.

Kaikista CISO:n huomion saamista haasteista SEC:n CISO:ille asettama henkilökohtainen ja oikeudellinen vastuu tietomurroista saattaa olla haastavin uudessa vuonna, sanoo Nicole Sundin, Axion tuotejohtaja. "Kun CISO:t nostetaan neuvotteluhuoneeseen keskustelemaan näistä riskeistä, he tarvitsevat rekisterijärjestelmän suojellakseen itseään ja osoittaakseen huolenpitovelvollisuutensa", hän huomauttaa.

"Tällä hetkellä CISO:t käyvät näitä keskusteluja, tekevät vaikeita valintoja ja toimivat tarpeelliseksi katsomallaan tavalla - mutta ne voidaan dokumentoida tai olla dokumentoimatta", hän sanoo. "Yksittäinen totuuden lähde tai tietuejärjestelmä CISO:t voivat suojata itseään paremmin. Muuten tulemme näkemään jatkossakin korkean profiilin tapauksia, joissa CISO, jolla ei ole tätä [tapahtumarekisteriä ja miksi ne toteutettiin], kaatuu."

1. Puolusta itseäsi henkilökohtaista vastuuta vastaan

Sundin vertaa CISO:ita terveydenhuollon johtajiin, jotka pitävät yksityiskohtaista kirjaa kaikista toimistaan ​​puolustaakseen itseään väärinkäytöksiä vastaan. Ottaen huomioon, että monet CISO:t eivät kuulu yritysten johtajien ja virkamiesten (D&O) vakuutuksiin, ne olisivat henkilökohtaisesti vastuussa uudet SEC-säännöt jos rikos tapahtuu. Tämä sisältää henkilökohtaisen vastuun sekä tietoturvaloukkauksesta että tietosuojaloukkauksesta ilman tietojen menetystä.

Sundin suosittelee, että CISO:t toteuttavat seuraavat toimet mahdollisimman pian:

CISO:n on myös oltava aktiivisia osallistujia neuvotella kybervakuutuksista, Sundin sanoo. Normaalisti CISO:n on allekirjoitettava se, mitä lakimies tai talousjohtaja lopulta neuvottelee, mutta ilman suoraa panosta – kirjallisella suositusluettelolla – ne voivat tulla oikeudellisesti vastuullisiksi suojaamaan ei-vakuutuskelpoista poissulkemista.

2. Valvo esiin tulevia tietosuojauhkia

Kybervakuutusyhtiöt keskittyvät yksityisyyden loukkauksiin vuonna 2024, ennustaa David Anderson, kansallisen vakuutusmeklarin Woodruff Sawyerin kybervastuujohtaja. Anderson sanoo, että kybervakuutuksenantajilta odotetaan tiukentaa määräyksiä kuinka organisaatiot toteuttavat yksityisten tietojen ja etuoikeutettujen tilien turvallisuutta, mukaan lukien palvelutilit, jotka hän huomauttaa, ovat yleensä ylioikeutettuja, eikä niiden salasanoja ole usein vaihdettu vuosiin.

"Jos et noudata yritykseesi, lainkäyttöalueellesi sovellettavia tietosuojalakeja ja säädöksiä, joihin kohtuullista standardiasi sovelletaan, emme aio kattaa sitä tosiasiaa, että jaat tietoja tavalla, joka ei ole yhdenmukaista tietosuojakäytäntösi kanssa tai se ei ole lain mukainen", Anderson sanoo.

Kiristykseen vedoten yksityisyyttä koskevat lait Kalifornian ja Washingtonin kaltaisissa osavaltioissa hän sanoo, että verkkovakuutusyhtiöt vaativat organisaatioilta kattavia tietosuojakäytäntöjä, mutta ne myös pystyvät osoittamaan noudattavansa käytäntöjään. Jos organisaatiot eivät pysty suojaamaan tietosuojakäytäntönsä suojaamia tietoja, ne voivat joutua ilman suojaa.

"Se voi olla vakuuttamaton riski", hän sanoo. "Nämä vaateet ovat hirvittävän kalliita puolustuksen ja sovittelun näkökulmasta."

"Vakuutuksenantaja aikoo etsiä enemmän kuin vain kyllä ​​tai ei -valintaruutua [kybervakuutushakemuksesta]. Sinun on näytettävä, missä nämä hallintalaitteet on upotettu [ja] missä pakotat toimittajasi noudattamaan samaa huolenpitoa” kuin organisaatiosi tietosuojakäytännöt edellyttävät, Anderson varoittaa.

3. Hallitse kolmannen osapuolen riskejä

Vaikka tietosuojauhat ovat korkealla hallituksessa vuonna 2024 uusien SEC-säännösten ja kybervakuuttajien vaatimusten ansiosta, niin myös muut toimitusketjuun liittyvät uhat. Alastair Parr, kolmannen osapuolen riskienhallinnan (TPRM) tarjoajan Prevalentin globaaleista tuotteista ja palveluista vastaava varatoimitusjohtaja, sanoo, että organisaatioiden tulisi rakentaa hankintaohjelmansa tunnistamalla kumppanit seuraavista näkökohdista: Miten tämä kolmas osapuoli voi tarjota meille toiminnallisia kestävyysetuja?

Edistykselliset visionäärit tarkastelevat kolmannen osapuolen riskienhallintaa (TPRM) ja dataa kokonaisuutena ja sitä, mitä tietoturvaloukkaukset tarkoittavat kehittyvän ja laajenevan säännöstenmukaisuuden perusteella, Parr sanoi. Sen sijaan, että keskittyisi itse tietoihin, hän ehdottaa kokonaisvaltaista lähestymistapaa ja kutsuu sitä toiminnallisten toimittajien riskienhallintakehykseksi.

"Heti kun hallitus alkaa ajatella sitä ristikkäisenä, kattavampi ohjelma - enemmän elinkaari - joka muuttaa kysymyksiä, joita heidän pitäisi kysyä", hän sanoo. "Heidän pitäisi olla innostunut hankintaan osallistumisesta. Heidän ei pitäisi pelätä dataa datan vuoksi."

Suurin osa yrityksistä kamppailee nykyään TPRM:n kanssa, Parr sanoo, koska ne keskittyvät enemmän tietojen hallinnan kustannuksiin kuin säännösten noudattamiseen, toiminnan kestävyyteen, brändivaikutukseen tai tietoturvaloukkauksiin liittyvään maineriskiin.

Katse tulevaisuuteen

Lisääntyneen sääntelyn ympäristössä CISO:t ovat nyt henkilökohtaisesti vastuussa tietoturvaloukkauksista riippumatta siitä, liittyykö niihin tietojen häviämiseen vai yksityisyyden loukkauksiin. Vastauksena kybervakuutusyhtiöt tiukentavat sääntöjään siitä, kuinka organisaatioiden tulee suojata yksityisiä tietoja ja etuoikeutettuja tilejä. Ja kaikki tämä tapahtuu, kun sääntelyviranomaiset, vakuutusyhtiöt ja C-suite kiinnittävät entistä enemmän huomiota toimitusketjun uhkiin.

Vastatakseen näihin haasteisiin tulevana vuonna CISO:n on suojeltava organisaatiotaan ja itseään luomalla järjestelmä asiaankuuluvien toimien ja päätösten dokumentoimiseksi, luomalla ja valvomalla kattavia ja johdonmukaisia ​​tietosuojakäytäntöjä sekä arvioimalla kolmansien osapuolien kumppaneidensa toiminnan kestävyyttä.

Työskentelemällä koko organisaatiossa hankinta-, laki- ja turvallisuustiimien kanssa CISO:t voivat lieventää toimitusketjun uhkien ja vakuutuskustannusten mahdollisia vaikutuksia liiketoimintaansa – ja myös suojata itsensä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024