A CISO-k három legfontosabb prioritása 3-ben

Az új év kezdetén a CISO-k összeülnek biztonsági csapataikkal és vállalati vezetőségükkel, hogy felvázolják a 2024-es legfontosabb prioritásokat, és hogyan kezeljék ezeket a problémákat. Ebben az évben – mivel számos új adatvédelmi törvény, Értékpapír- és Tőzsdefelügyeleti szabályozás, kiberfenyegetés és új technológia ígérkezik ezeknek a fenyegetéseknek a megoldására – valószínűleg elveszítik az alvást, amikor megpróbálják optimálisan egymásra rakni a kiberbiztonsági stratégia közmondásos Tetris-darabjait.

A CISO figyelméért versengő kihívások közül a SEC által a CISO-kra rótt adatsértésekért való személyes és jogi felelősség jelentheti a legnagyobb kihívást az új évben – mondta Nicole Sundin, az Axio termékigazgatója. „Mivel a CISO-kat a tanácsterembe emelik, hogy megvitassák ezeket a kockázatokat, nyilvántartási rendszerre lesz szükségük, hogy megvédjék magukat, és bizonyítsák a gondoskodási kötelezettségüket” – jegyzi meg.

„Jelenleg a CISO-k folytatják ezeket a beszélgetéseket, nehéz döntéseket hoznak, és úgy cselekszenek, ahogy szükségesnek látják – de ezek dokumentálhatók vagy nem” – mondja. „Azáltal, hogy egyetlen igazságforrással vagy nyilvántartási rendszerrel rendelkeznek, a CISO-k jobban megvédhetik magukat. Ellenkező esetben továbbra is látni fogunk olyan nagy horderejű incidenseket, amikor egy CISO, aki nem rendelkezik ezzel [az eseményekről és a felvételek okairól], bukásra kerül.”

1. Védje meg magát a személyes felelősséggel szemben

Sundin a CISO-kat az egészségügyi vezetőkhöz hasonlítja, akik részletes nyilvántartást vezetnek minden olyan intézkedésükről, amelyet azért tesznek, hogy megvédjék magukat a visszaélésekkel szemben. Figyelembe véve, hogy sok CISO-ra nem terjed ki a vállalati igazgatói és tisztségviselői (D&O) biztosítás, ők személyesen felelnének új SEC szabályok ha megsértés történik. Ez magában foglalja a személyes felelősséget mind az adatvesztéssel járó jogsértésért, mind az adatvesztés nélküli adatvédelmi megsértésért.

A Sundin azt javasolja, hogy a CISO a lehető leghamarabb tegye meg a következő lépéseket:

A CISO-knak is aktív résztvevőknek kell lenniük, amikor a kiberbiztosítási kötvények tárgyalása, mondja Sundin. Általában a CISO-knak alá kell írniuk azt, amit az általános jogtanácsos vagy a pénzügyi igazgató végül megtárgyal, de közvetlen hozzájárulásuk nélkül – ajánlásaik írásos feljegyzésével – jogilag felelőssé válhatnak a nem biztosítható kizárás védelmében.

2. Figyelje az újonnan megjelenő adatvédelmi fenyegetéseket

A kiberbiztosítók 2024-ben az adatvédelmi jogsértésekre fognak összpontosítani – jósolja David Anderson, a Woodruff Sawyer nemzeti biztosítási brókercég kiberfelelősségért felelős alelnöke. Anderson szerint a kiberbiztosítóktól elvárják szigorítják a szabályokat Megjegyzi, hogy a szervezetek hogyan valósítják meg a személyes adatok és a privilegizált fiókok biztonságát, beleértve a szolgáltatási fiókokat is, amelyek általában túlzottan kiszolgáltatottak, és gyakran évek óta nem változtatták meg a jelszavaikat.

"Ha nem tartja be a vállalkozására, az Ön joghatóságára vonatkozó adatvédelmi törvényeket és törvényeket, amelyekre az Ön ésszerű normája vonatkozik, akkor nem térünk ki arra a tényre, hogy az adatokat olyan módon osztja meg, amely nincs összhangban. az adatvédelmi szabályzatával, vagy nincs összhangban a törvényekkel” – mondja Anderson.

A szigorításra hivatkozva adatvédelmi törvények Kaliforniában és Washingtonban azt mondja, hogy a kiberbiztosítók megkövetelik a szervezetektől, hogy ne csak átfogó adatvédelmi irányelveket alkalmazzanak, hanem bizonyítsák is, hogy követik irányelveiket. Ha a szervezetek elmulasztják az adatvédelmi szabályzatuk által védett adatok védelmét, előfordulhat, hogy a fedezet nélkül találják magukat.

„Lehet, hogy ez nem biztosítható kockázat” – mondja. "Ezek a követelések védelmi és rendezési szempontból borzasztóan drágák."

„A biztosító többet fog keresni, mint egy igen vagy nem jelölőnégyzetet [a kiberbiztosítási kérelemben]. Meg kell mutatnia, hogy hol vannak beágyazva ezek a vezérlők [és] hol kényszeríti beszállítóit arra, hogy ugyanolyan szintű gondosságot kövessenek el”, ahogy a szervezet adatvédelmi szabályzata előírja – figyelmeztet Anderson.

3. Harmadik felek kockázatainak kezelése

Míg az új SEC-szabályozásnak és a kiberbiztosítók követelményeinek köszönhetően 2024-ben az igazgatóság prioritásai között szerepel majd az adatvédelmi fenyegetések, más ellátási lánc fenyegetések is. Alastair Parr, a harmadik féltől származó kockázatkezelési (TPRM) szolgáltató Prevalent globális termékekért és szolgáltatásokért felelős alelnöke szerint a szervezeteknek a partnerek azonosításával kell kialakítaniuk beszerzési programjaikat a következő szemszögből: Hogyan kínálhat ez a harmadik fél a működési rugalmasság előnyeit számunkra?

Az előrelátó látnokok a harmadik fél kockázatkezelését (TPRM) és az adatokat összességében vizsgálják, és azt, hogy mit jelentenek az adatsértések a kialakuló és bővülő szabályozási megfelelés alapján, mondta Parr. Ahelyett, hogy magára az adatokra összpontosítana, holisztikus megközelítést javasol, nevezve azt egy többfunkciós beszállítói kockázatkezelési keretrendszernek.

„Amint a testület elkezdi úgy gondolni, hogy ez többfunkciós, egy átfogóbb program – inkább egy életciklus –, amely megváltoztatja a kérdéseket, amelyeket fel kellene tenniük” – mondja. „Izgatottnak kell lenniük a beszerzési részvétel miatt. Nem szabad megijedniük az adatoktól az adatok kedvéért.”

Parr szerint a vállalatok túlnyomó többsége manapság küzd a TPRM-mel, mert jobban összpontosítanak az adatkezelés költségeire, mint a szabályozási megfelelésre, a működési rugalmasságra, a márkahatásra vagy az adatsértéssel járó hírnévkockázatra.

Előretekintve

A fokozott szabályozás mellett a CISO-k személyesen is felelősek az adatvédelmi incidensekért, függetlenül attól, hogy az adatvesztést vagy a magánélet megsértését vonja maga után. Válaszul a kiberbiztosítók szigorítják szabályaikat arra vonatkozóan, hogy a szervezetek miként védjék a személyes adatokat és a privilegizált fiókokat. És mindez úgy történik, hogy a szabályozó hatóságok, a biztosítók és a C-suite fokozott figyelmet fordít az ellátási lánc fenyegetéseire.

Ahhoz, hogy a következő évben meg tudjanak felelni ezeknek a kihívásoknak, a CISO-knak meg kell védeniük szervezetüket és önmagukat azáltal, hogy létrehoznak egy rendszert a vonatkozó intézkedések és döntések dokumentálására, átfogó és következetes adatvédelmi szabályzatok kialakítására és érvényesítésére, valamint külső partnereik működési ellenálló képességének értékelésére.

Azáltal, hogy a szervezeten belül beszerzési, jogi és biztonsági csapatokkal dolgoznak együtt, a CISO-k mérsékelhetik az ellátási láncot fenyegető veszélyeket és a biztosítási költségeket a vállalkozásukra – és fedezhetik magukat is.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024