3 में सीआईएसओ के लिए शीर्ष 2024 प्राथमिकताएँ

3 में सीआईएसओ के लिए शीर्ष 2024 प्राथमिकताएँ

समय टिकट: 19 जनवरी, 2024 शाम 5:20 बजे
स्रोत नोड: 3072560

जैसे ही नया साल शुरू होता है, सीआईएसओ अपनी सुरक्षा टीमों और कॉर्पोरेट प्रबंधन के साथ 2024 के लिए सर्वोच्च प्राथमिकताओं का दायरा तय करने और इन मुद्दों को कैसे संबोधित किया जाए, इसके लिए इकट्ठा होते हैं। इस साल - कई नए गोपनीयता कानूनों, प्रतिभूति और विनिमय आयोग के नियमों, साइबर खतरों और उन खतरों को हल करने का वादा करने वाली नई तकनीकों के साथ - साइबर सुरक्षा रणनीति के लौकिक टेट्रिस टुकड़ों को बेहतर ढंग से ढेर करने की कोशिश में उनकी नींद उड़ सकती है।

एक्सियो के मुख्य उत्पाद अधिकारी निकोल सुंडिन का कहना है कि सीआईएसओ के ध्यान में आने वाली सभी चुनौतियों में से, एसईसी ने सीआईएसओ पर डेटा उल्लंघनों के लिए जो व्यक्तिगत और कानूनी जिम्मेदारी रखी है, वह नए साल में सबसे चुनौतीपूर्ण हो सकती है। "सीआईएसओ को इन जोखिमों पर चर्चा करने के लिए बोर्डरूम में पदोन्नत किए जाने के साथ, उन्हें खुद को बचाने और देखभाल के कर्तव्य को प्रदर्शित करने के लिए रिकॉर्ड की एक प्रणाली की आवश्यकता होगी," वह नोट करती हैं।

वह कहती हैं, "वर्तमान में, सीआईएसओ इस तरह की बातचीत करते हैं, कठिन विकल्प चुनते हैं और जैसा आवश्यक समझते हैं वैसा कार्य करते हैं - लेकिन इन्हें प्रलेखित किया जा सकता है या नहीं भी।" “सच्चाई का एक स्रोत या रिकॉर्ड की एक प्रणाली होने से, सीआईएसओ बेहतर ढंग से अपनी सुरक्षा कर सकते हैं। अन्यथा, हम हाई-प्रोफाइल घटनाओं को देखना जारी रखेंगे जहां एक सीआईएसओ जिसके पास यह [घटनाओं का रिकॉर्ड और उन्हें क्यों लिया गया] नहीं है, वह गिर जाएगा।

1. व्यक्तिगत दायित्व से अपना बचाव करें

सुंडिन सीआईएसओ की तुलना स्वास्थ्य देखभाल अधिकारियों से करते हैं, जो दुर्भावना के दावों के खिलाफ खुद का बचाव करने के लिए की जाने वाली हर कार्रवाई का विस्तृत रिकॉर्ड रखते हैं। यह ध्यान में रखते हुए कि कई सीआईएसओ कॉर्पोरेट निदेशकों और अधिकारियों (डी एंड ओ) बीमा पॉलिसियों के अंतर्गत कवर नहीं होते हैं, वे व्यक्तिगत रूप से इसके लिए उत्तरदायी होंगे नए एसईसी नियम यदि कोई उल्लंघन होता है. इसमें डेटा हानि के साथ उल्लंघन या डेटा हानि के बिना गोपनीयता उल्लंघन दोनों के लिए व्यक्तिगत दायित्व शामिल है।

सुंडिन की अनुशंसा है कि सीआईएसओ यथाशीघ्र निम्नलिखित कदम उठाएं:

  • एक सिस्टम रिकॉर्ड बनाएं. यह एक योजनाकार या डायरी हो सकती है जहां संभावित सुरक्षा घटना से संबंधित प्रत्येक कार्रवाई को प्रत्येक कार्रवाई के विस्तृत, कालानुक्रमिक विवरण और उन कारणों के साथ दर्ज किया जाता है कि उन्हें क्यों लिया गया।

  • निवेशकों या शेयरधारकों के लिए कानूनी तौर पर क्या महत्वपूर्ण माना जाता है और क्या नहीं, इसके लिए स्पष्ट दिशानिर्देश स्थापित करने के लिए सामान्य परामर्शदाता या मुख्य जोखिम अधिकारी के इनपुट के साथ "भौतिकता" के लिए एक कॉर्पोरेट परिभाषा बनाएं।

  • निदेशक मंडल से बात करना सीखें और वित्तीय दृष्टि से अन्य अधिकारी। बोर्ड को सटीक रूप से बताएं कि किन सुरक्षा नियंत्रणों की आवश्यकता है, उनकी लागत और सुरक्षा नियंत्रण नहीं होने के कारण उल्लंघन होने पर कंपनी को संभावित नुकसान होगा।

जब सीआईएसओ को भी सक्रिय भागीदार होना चाहिए साइबर बीमा पॉलिसियों पर बातचीत, सुंडिन कहते हैं। आम तौर पर सीआईएसओ को उस पर हस्ताक्षर करने की आवश्यकता होती है जिस पर सामान्य परामर्शदाता या सीएफओ अंततः बातचीत करते हैं, लेकिन प्रत्यक्ष इनपुट के बिना - उनकी सिफारिशों के लिखित रिकॉर्ड के साथ - वे गैर-बीमा योग्य बहिष्करण की रक्षा के लिए कानूनी रूप से उत्तरदायी बन सकते हैं।

2. उभरते गोपनीयता खतरों की निगरानी करें

राष्ट्रीय बीमा ब्रोकरेज वुड्रफ सॉयर में साइबर दायित्व के उपाध्यक्ष डेविड एंडरसन की भविष्यवाणी है कि साइबर बीमाकर्ता 2024 में गोपनीयता उल्लंघनों पर ध्यान केंद्रित करेंगे। एंडरसन का कहना है कि साइबर बीमा हामीदारों से अपेक्षा की जाती है सख्त नियम संगठन निजी डेटा और सेवा खातों सहित विशेषाधिकार प्राप्त खातों पर सुरक्षा कैसे लागू करते हैं, इस पर उन्होंने ध्यान दिया, जो कि अत्यधिक विशेषाधिकार प्राप्त हैं और अक्सर वर्षों में उनके पासवर्ड नहीं बदले जाते हैं।

“यदि आप गोपनीयता कानूनों और क़ानूनों का पालन नहीं कर रहे हैं जो आपके व्यवसाय पर, आपके अधिकार क्षेत्र पर लागू होते हैं, जिस पर आपका उचित मानक लागू होता है, तो हम इस तथ्य को कवर नहीं करेंगे कि आप डेटा को इस तरह से साझा कर रहे हैं जो संरेखित नहीं है आपकी गोपनीयता नीति के साथ या क़ानून के अनुरूप नहीं है,'' एंडरसन कहते हैं।

सख्ती का हवाला दिया जा रहा है गोपनीयता कानून कैलिफोर्निया और वाशिंगटन जैसे राज्यों में, उनका कहना है कि साइबर बीमाकर्ता संगठनों से मांग कर रहे हैं कि उनके पास न केवल व्यापक गोपनीयता नीतियां हों, बल्कि वे यह प्रदर्शित करने में भी सक्षम हों कि वे उनकी नीतियों का पालन करते हैं। यदि संगठन अपनी गोपनीयता नीति द्वारा संरक्षित डेटा की सुरक्षा करने में विफल रहते हैं, तो वे स्वयं को कवरेज के बिना पा सकते हैं।

उनका कहना है, ''यह एक बीमा न किया जा सकने वाला जोखिम हो सकता है।'' "वे दावे रक्षा और निपटान के नजरिए से बेहद महंगे हैं।"

“हामीदार [साइबर बीमा आवेदन पर] केवल हाँ या ना वाले चेकबॉक्स से अधिक की तलाश करेगा। आपको यह दिखाना होगा कि ये नियंत्रण कहां अंतर्निहित हैं [और] आप अपने विक्रेताओं को देखभाल के समान स्तर का पालन करने के लिए कहां मजबूर कर रहे हैं" जैसा कि आपके संगठन की गोपनीयता नीतियां निर्देशित करती हैं, एंडरसन चेतावनी देते हैं।

3. तृतीय-पक्ष जोखिमों का प्रबंधन करें

जबकि नए एसईसी नियमों और साइबर बीमाकर्ताओं की आवश्यकताओं के कारण 2024 के लिए निदेशक मंडल की प्राथमिकताओं में गोपनीयता खतरे अधिक होंगे, वैसे ही अन्य आपूर्ति-श्रृंखला खतरे भी होंगे। थर्ड-पार्टी रिस्क मैनेजमेंट (टीपीआरएम) प्रदाता प्रिवलेंट में वैश्विक उत्पादों और सेवाओं के वरिष्ठ उपाध्यक्ष, एलेस्टेयर पार्र का कहना है कि संगठनों को अपने खरीद कार्यक्रमों को इस दृष्टिकोण से भागीदारों की पहचान करके बनाना चाहिए: यह तीसरा पक्ष हमें परिचालन लचीलापन लाभ कैसे प्रदान कर सकता है?

पार्र ने कहा, दूरदर्शी दूरदर्शी तीसरे पक्ष के जोखिम प्रबंधन (टीपीआरएम) और डेटा को समग्र रूप से देखते हैं और उभरते और विस्तारित नियामक अनुपालन के आधार पर डेटा उल्लंघनों का क्या मतलब है। डेटा पर ही ध्यान केंद्रित करने के बजाय, वह एक समग्र दृष्टिकोण अपनाने का सुझाव देते हैं, इसे एक क्रॉस-फ़ंक्शनल आपूर्तिकर्ता जोखिम प्रबंधन ढांचा कहते हैं।

वे कहते हैं, "जैसे ही बोर्ड इसके बारे में क्रॉस-फ़ंक्शनल, एक अधिक व्यापक कार्यक्रम - अधिक जीवनचक्र - के बारे में सोचना शुरू करता है, वह उन प्रश्नों को बदल देता है जो उन्हें पूछना चाहिए।" “उन्हें खरीद में भागीदारी के बारे में उत्साहित होना चाहिए। उन्हें डेटा के लिए डेटा से नहीं डरना चाहिए।”

पार्र कहते हैं, आज अधिकांश कंपनियां टीपीआरएम से जूझ रही हैं, क्योंकि वे नियामक अनुपालन, परिचालन लचीलापन, ब्रांड प्रभाव या डेटा उल्लंघनों से जुड़े प्रतिष्ठित जोखिम की तुलना में डेटा प्रशासन की लागत पर अधिक ध्यान केंद्रित करते हैं।

आगे देख रहे हैं

बढ़े हुए विनियमन के माहौल में, सीआईएसओ को अब डेटा उल्लंघनों के लिए व्यक्तिगत रूप से उत्तरदायी ठहराया जाता है, भले ही उनमें डेटा हानि या गोपनीयता उल्लंघन शामिल हो। जवाब में, साइबर बीमा हामीदार अपने नियमों को सख्त कर रहे हैं कि संगठनों को निजी डेटा और विशेषाधिकार प्राप्त खातों की सुरक्षा कैसे करनी चाहिए। और यह सब नियामकों, बीमाकर्ताओं और सी-सूट द्वारा आपूर्ति श्रृंखला के खतरों पर बढ़ते ध्यान के साथ हो रहा है।

आने वाले वर्ष में इन चुनौतियों का सामना करने के लिए, सीआईएसओ को प्रासंगिक कार्यों और निर्णयों का दस्तावेजीकरण करने, व्यापक और सुसंगत गोपनीयता नीतियों को स्थापित करने और लागू करने और परिचालन लचीलेपन के संदर्भ में अपने तीसरे पक्ष के भागीदारों का आकलन करने के लिए एक प्रणाली बनाकर अपने संगठन और खुद की रक्षा करने की आवश्यकता है।

पूरे संगठन में खरीद, कानूनी और सुरक्षा टीमों के साथ काम करके, सीआईएसओ अपने व्यवसाय पर आपूर्ति श्रृंखला खतरों और बीमा लागत के संभावित प्रभाव को कम कर सकते हैं - और खुद को भी कवर कर सकते हैं।

समय टिकट:

से अधिक डार्क रीडिंग