Az új év kezdetén a CISO-k összeülnek biztonsági csapataikkal és vállalati vezetőségükkel, hogy felvázolják a 2024-es legfontosabb prioritásokat, és hogyan kezeljék ezeket a problémákat. Ebben az évben – mivel számos új adatvédelmi törvény, Értékpapír- és Tőzsdefelügyeleti szabályozás, kiberfenyegetés és új technológia ígérkezik ezeknek a fenyegetéseknek a megoldására – valószínűleg elveszítik az alvást, amikor megpróbálják optimálisan egymásra rakni a kiberbiztonsági stratégia közmondásos Tetris-darabjait.
A CISO figyelméért versengő kihívások közül a SEC által a CISO-kra rótt adatsértésekért való személyes és jogi felelősség jelentheti a legnagyobb kihívást az új évben – mondta Nicole Sundin, az Axio termékigazgatója. „Mivel a CISO-kat a tanácsterembe emelik, hogy megvitassák ezeket a kockázatokat, nyilvántartási rendszerre lesz szükségük, hogy megvédjék magukat, és bizonyítsák a gondoskodási kötelezettségüket” – jegyzi meg.
„Jelenleg a CISO-k folytatják ezeket a beszélgetéseket, nehéz döntéseket hoznak, és úgy cselekszenek, ahogy szükségesnek látják – de ezek dokumentálhatók vagy nem” – mondja. „Azáltal, hogy egyetlen igazságforrással vagy nyilvántartási rendszerrel rendelkeznek, a CISO-k jobban megvédhetik magukat. Ellenkező esetben továbbra is látni fogunk olyan nagy horderejű incidenseket, amikor egy CISO, aki nem rendelkezik ezzel [az eseményekről és a felvételek okairól], bukásra kerül.”
1. Védje meg magát a személyes felelősséggel szemben
Sundin a CISO-kat az egészségügyi vezetőkhöz hasonlítja, akik részletes nyilvántartást vezetnek minden olyan intézkedésükről, amelyet azért tesznek, hogy megvédjék magukat a visszaélésekkel szemben. Figyelembe véve, hogy sok CISO-ra nem terjed ki a vállalati igazgatói és tisztségviselői (D&O) biztosítás, ők személyesen felelnének új SEC szabályok ha megsértés történik. Ez magában foglalja a személyes felelősséget mind az adatvesztéssel járó jogsértésért, mind az adatvesztés nélküli adatvédelmi megsértésért.
A Sundin azt javasolja, hogy a CISO a lehető leghamarabb tegye meg a következő lépéseket:
-
Hozzon létre egy rendszerrekordot. Ez lehet egy tervező vagy napló, ahol a potenciális biztonsági incidenssel kapcsolatos minden intézkedést rögzítenek az egyes megtett intézkedések részletes, időrendi leírásával és a megtételük okaival.
-
Hozzon létre egy vállalati definíciót a „lényegességre” az általános jogtanácsos vagy a kockázatkezelési igazgató közreműködésével, hogy egyértelmű iránymutatást adjon arról, hogy mi minősül jogilag lényegesnek a befektetők vagy részvényesek számára, és mi nem.
-
Tanulj meg beszélni az igazgatósággal és más vezetők pénzügyi szempontból. Pontosan mondja el az igazgatóságnak, hogy milyen biztonsági ellenőrzésekre van szükség, azok költségeit és a vállalatot érő esetleges veszteséget, ha a biztonsági ellenőrzések hiánya miatt megsértés történik.
A CISO-knak is aktív résztvevőknek kell lenniük, amikor a kiberbiztosítási kötvények tárgyalása, mondja Sundin. Általában a CISO-knak alá kell írniuk azt, amit az általános jogtanácsos vagy a pénzügyi igazgató végül megtárgyal, de közvetlen hozzájárulásuk nélkül – ajánlásaik írásos feljegyzésével – jogilag felelőssé válhatnak a nem biztosítható kizárás védelmében.
2. Figyelje az újonnan megjelenő adatvédelmi fenyegetéseket
A kiberbiztosítók 2024-ben az adatvédelmi jogsértésekre fognak összpontosítani – jósolja David Anderson, a Woodruff Sawyer nemzeti biztosítási brókercég kiberfelelősségért felelős alelnöke. Anderson szerint a kiberbiztosítóktól elvárják szigorítják a szabályokat Megjegyzi, hogy a szervezetek hogyan valósítják meg a személyes adatok és a privilegizált fiókok biztonságát, beleértve a szolgáltatási fiókokat is, amelyek általában túlzottan kiszolgáltatottak, és gyakran évek óta nem változtatták meg a jelszavaikat.
"Ha nem tartja be a vállalkozására, az Ön joghatóságára vonatkozó adatvédelmi törvényeket és törvényeket, amelyekre az Ön ésszerű normája vonatkozik, akkor nem térünk ki arra a tényre, hogy az adatokat olyan módon osztja meg, amely nincs összhangban. az adatvédelmi szabályzatával, vagy nincs összhangban a törvényekkel” – mondja Anderson.
A szigorításra hivatkozva adatvédelmi törvények Kaliforniában és Washingtonban azt mondja, hogy a kiberbiztosítók megkövetelik a szervezetektől, hogy ne csak átfogó adatvédelmi irányelveket alkalmazzanak, hanem bizonyítsák is, hogy követik irányelveiket. Ha a szervezetek elmulasztják az adatvédelmi szabályzatuk által védett adatok védelmét, előfordulhat, hogy a fedezet nélkül találják magukat.
„Lehet, hogy ez nem biztosítható kockázat” – mondja. "Ezek a követelések védelmi és rendezési szempontból borzasztóan drágák."
„A biztosító többet fog keresni, mint egy igen vagy nem jelölőnégyzetet [a kiberbiztosítási kérelemben]. Meg kell mutatnia, hogy hol vannak beágyazva ezek a vezérlők [és] hol kényszeríti beszállítóit arra, hogy ugyanolyan szintű gondosságot kövessenek el”, ahogy a szervezet adatvédelmi szabályzata előírja – figyelmeztet Anderson.
3. Harmadik felek kockázatainak kezelése
Míg az új SEC-szabályozásnak és a kiberbiztosítók követelményeinek köszönhetően 2024-ben az igazgatóság prioritásai között szerepel majd az adatvédelmi fenyegetések, más ellátási lánc fenyegetések is. Alastair Parr, a harmadik féltől származó kockázatkezelési (TPRM) szolgáltató Prevalent globális termékekért és szolgáltatásokért felelős alelnöke szerint a szervezeteknek a partnerek azonosításával kell kialakítaniuk beszerzési programjaikat a következő szemszögből: Hogyan kínálhat ez a harmadik fél a működési rugalmasság előnyeit számunkra?
Az előrelátó látnokok a harmadik fél kockázatkezelését (TPRM) és az adatokat összességében vizsgálják, és azt, hogy mit jelentenek az adatsértések a kialakuló és bővülő szabályozási megfelelés alapján, mondta Parr. Ahelyett, hogy magára az adatokra összpontosítana, holisztikus megközelítést javasol, nevezve azt egy többfunkciós beszállítói kockázatkezelési keretrendszernek.
„Amint a testület elkezdi úgy gondolni, hogy ez többfunkciós, egy átfogóbb program – inkább egy életciklus –, amely megváltoztatja a kérdéseket, amelyeket fel kellene tenniük” – mondja. „Izgatottnak kell lenniük a beszerzési részvétel miatt. Nem szabad megijedniük az adatoktól az adatok kedvéért.”
Parr szerint a vállalatok túlnyomó többsége manapság küzd a TPRM-mel, mert jobban összpontosítanak az adatkezelés költségeire, mint a szabályozási megfelelésre, a működési rugalmasságra, a márkahatásra vagy az adatsértéssel járó hírnévkockázatra.
Előretekintve
A fokozott szabályozás mellett a CISO-k személyesen is felelősek az adatvédelmi incidensekért, függetlenül attól, hogy az adatvesztést vagy a magánélet megsértését vonja maga után. Válaszul a kiberbiztosítók szigorítják szabályaikat arra vonatkozóan, hogy a szervezetek miként védjék a személyes adatokat és a privilegizált fiókokat. És mindez úgy történik, hogy a szabályozó hatóságok, a biztosítók és a C-suite fokozott figyelmet fordít az ellátási lánc fenyegetéseire.
Ahhoz, hogy a következő évben meg tudjanak felelni ezeknek a kihívásoknak, a CISO-knak meg kell védeniük szervezetüket és önmagukat azáltal, hogy létrehoznak egy rendszert a vonatkozó intézkedések és döntések dokumentálására, átfogó és következetes adatvédelmi szabályzatok kialakítására és érvényesítésére, valamint külső partnereik működési ellenálló képességének értékelésére.
Azáltal, hogy a szervezeten belül beszerzési, jogi és biztonsági csapatokkal dolgoznak együtt, a CISO-k mérsékelhetik az ellátási láncot fenyegető veszélyeket és a biztosítási költségeket a vállalkozásukra – és fedezhetik magukat is.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- :van
- :is
- :nem
- :ahol
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- Képes
- Rólunk
- erről
- Fiókok
- át
- törvény
- Akció
- cselekvések
- aktív
- cím
- tapad
- ragaszkodva
- ellen
- adalékanyag
- igazított
- Minden termék
- Is
- an
- és a
- Anderson
- alkalmazható
- Alkalmazás
- alkalmazandó
- megközelítés
- VANNAK
- AS
- kér
- értékelése
- társult
- At
- figyelem
- alapján
- BE
- mert
- válik
- hogy
- Előnyök
- Jobb
- bizottság
- Igazgatóság
- mindkét
- márka
- megsértése
- megsértésének
- ügynöki jutalék
- épít
- üzleti
- de
- by
- C-lakosztály
- Kalifornia
- hívás
- TUD
- ami
- CFO
- lánc
- kihívások
- kihívást
- megváltozott
- Változások
- fő
- termékfelelős
- választás
- Kör
- CISO
- követelések
- világos
- érkező
- jutalék
- Companies
- vállalat
- teljesítés
- átfogó
- figyelembe vett
- figyelembe véve
- következetes
- folytatódik
- ellenőrzések
- beszélgetések
- Társasági
- Költség
- kiadások
- tudott
- tanács
- terjed
- lefedettség
- fedett
- létrehozása
- Kereszt
- Jelenleg
- cyber
- Kiberbiztonság
- dátum
- Adatok megsértése
- adatvesztés
- David
- határozatok
- Védelem
- definíció
- igényes
- bizonyítani
- leírás
- részletes
- diktál
- nehéz
- közvetlen
- igazgatók
- megvitatni
- dokumentum
- dokumentált
- nem
- két
- minden
- emelkedett
- beágyazott
- csiszolókő
- érvényesítése
- Környezet
- létrehozni
- létrehozó
- Eter (ETH)
- események
- Minden
- pontosan
- csere
- Tőzsdei Bizottság
- izgatott
- vezetők
- bővülő
- várható
- drága
- tény
- FAIL
- Esik
- pénzügyi
- Találjon
- Összpontosít
- összpontosítás
- következik
- következő
- A
- kényszerítve
- Keretrendszer
- ból ből
- funkcionális
- gyűjt
- általános
- szerzés
- Globális
- megy
- kormányzás
- irányelvek
- kellett
- Esemény
- Legyen
- tekintettel
- he
- egészségügyi
- hős
- Magas
- nagy horderejű
- holisztikus
- Hogyan
- How To
- HTTPS
- ICON
- azonosító
- if
- Hatás
- végre
- in
- incidens
- események
- magában foglalja a
- Beleértve
- <p></p>
- bemenet
- biztosítás
- biztosítók
- Befektetők
- vonja
- bevonása
- kérdések
- IT
- maga
- jpg
- igazságszolgáltatás
- éppen
- Tart
- törvények
- Jogi
- jogilag
- szint
- felelősség
- életciklus
- néz
- vesztes
- le
- Többség
- csinál
- kezelése
- vezetés
- sok
- jelentősen
- Lehet..
- jelent
- Találkozik
- esetleg
- Enyhít
- monitor
- több
- a legtöbb
- sokaság
- kell
- nemzeti
- elengedhetetlen
- Szükség
- Új
- Új technológiák
- újév
- nem
- rendszerint
- Megjegyzések
- Most
- of
- kedvezmény
- ajánlat
- Tiszt
- tisztviselők
- gyakran
- on
- csak
- operatív
- működési rugalmasság
- or
- érdekében
- szervezet
- szervezetek
- Más
- másképp
- ki
- résztvevők
- partnerek
- párt
- jelszavak
- személyes
- Személyesen
- perspektíva
- darabok
- Hely
- helyezett
- Plató
- Platón adatintelligencia
- PlatoData
- Politikák
- politika
- lehetséges
- potenciális
- jósolja
- elnök
- uralkodó
- magánélet
- Adatvédelmi megsértés
- adatvédelmi törvények
- Adatvédelem
- Adatvédelmi fenyegetések
- magán
- kiváltságos
- beszerzés
- Termékek
- Termékek
- Termékek és szolgáltatások
- Program
- Programok
- biztató
- védelme
- védett
- védelme
- ellátó
- Kérdések
- Inkább
- RE
- ésszerű
- miatt
- ajánlások
- ajánlja
- rekord
- feljegyzett
- nyilvántartások
- Tekintet nélkül
- Szabályozás
- előírások
- Szabályozók
- szabályozók
- Előírásoknak való megfelelés
- kötelező
- követelmények
- rugalmasság
- válasz
- felelősség
- Kockázat
- kockázatkezelés
- kockázatok
- szabályok
- s
- Mondott
- kedvéért
- azonos
- azt mondja,
- félek
- hatálya
- SEC
- Értékpapír
- Értékpapír- és Tőzsdebizottság
- biztonság
- lát
- idősebb
- szolgáltatás
- Szolgáltatások
- település
- Részvényesek
- megosztás
- ő
- kellene
- előadás
- <p></p>
- jelentős
- egyetlen
- alvás
- So
- SOLVE
- Nemsokára
- forrás
- beszél
- verem
- standard
- kezdődik
- Államok
- Lépései
- Stratégia
- küzd
- ilyen
- javasolja,
- szállító
- kínálat
- ellátási lánc
- rendszer
- nyilvántartási rendszer
- T
- Vesz
- meghozott
- tart
- bevétel
- csapat
- Technologies
- mondd
- Inkább
- feltételek
- mint
- köszönöm
- hogy
- A
- azok
- maguk
- Ezek
- ők
- Gondolkodás
- Harmadik
- harmadik fél
- ezt
- idén
- azok
- fenyegetések
- szigorítása
- nak nek
- Ma
- is
- felső
- igazság
- próbál
- Végül
- alatt
- jegyzők
- us
- Hatalmas
- gyártók
- vice
- Alelnök
- jogsértések
- látnokok
- figyelmeztet
- washington
- Út..
- we
- voltak
- Mit
- Mi
- amikor
- vajon
- ami
- WHO
- miért
- lesz
- val vel
- nélkül
- dolgozó
- lenne
- írott
- év
- év
- Igen
- te
- A te
- magad
- zephyrnet