3 Prioritas Utama CISO pada tahun 2024

Saat tahun baru dimulai, CISO berkumpul dengan tim keamanan dan manajemen perusahaan untuk menentukan prioritas utama tahun 2024 dan cara mengatasi masalah ini. Tahun ini – dengan banyaknya undang-undang privasi baru, peraturan Komisi Sekuritas dan Bursa, ancaman siber, dan teknologi baru yang menjanjikan untuk mengatasi ancaman-ancaman tersebut – mereka mungkin akan kehilangan waktu untuk mencoba menyusun strategi keamanan siber Tetris secara optimal.

Dari semua tantangan yang bersaing untuk mendapatkan perhatian CISO, tanggung jawab pribadi dan hukum atas pelanggaran data yang dibebankan SEC kepada CISO bisa menjadi tantangan paling besar di tahun baru ini, kata Nicole Sundin, chief product officer di Axio. “Dengan diangkatnya CISO ke ruang rapat untuk membahas risiko-risiko ini, mereka memerlukan sistem pencatatan untuk melindungi diri mereka sendiri dan menunjukkan kewajiban untuk berhati-hati,” jelasnya.

“Saat ini, CISO melakukan diskusi mengenai hal ini, membuat pilihan sulit, dan bertindak sesuai kebutuhan – namun hal ini mungkin didokumentasikan atau tidak,” katanya. “Dengan memiliki satu sumber kebenaran atau sistem pencatatan, CISO dapat melindungi diri mereka sendiri dengan lebih baik. Jika tidak, kita akan terus melihat insiden-insiden penting di mana CISO yang tidak memiliki [catatan kejadian dan alasan kejadian tersebut] akan terkena dampaknya.”

1. Pertahankan Diri Anda Terhadap Tanggung Jawab Pribadi

Sundin menyamakan CISO dengan eksekutif layanan kesehatan, yang menyimpan catatan rinci tentang setiap tindakan yang mereka ambil untuk membela diri terhadap klaim penyimpangan. Mengingat banyak CISO yang tidak tercakup dalam polis asuransi direktur dan pejabat perusahaan (D&O), mereka akan bertanggung jawab secara pribadi berdasarkan peraturan SEC yang baru jika terjadi pelanggaran. Hal ini mencakup tanggung jawab pribadi atas pelanggaran yang disertai kehilangan data atau pelanggaran privasi tanpa kehilangan data.

Sundin merekomendasikan CISO untuk mengambil langkah-langkah berikut ini sesegera mungkin:

CISO juga harus menjadi peserta aktif ketika menegosiasikan kebijakan asuransi cyber, kata Sundin. Biasanya CISO perlu menandatangani apa yang pada akhirnya dinegosiasikan oleh penasihat umum atau CFO, namun tanpa masukan langsung – dengan catatan tertulis mengenai rekomendasi mereka – mereka dapat bertanggung jawab secara hukum untuk melindungi pengecualian yang tidak dapat diasuransikan.

2. Pantau Ancaman Privasi yang Muncul

Perusahaan asuransi dunia maya akan fokus pada pelanggaran privasi pada tahun 2024, prediksi David Anderson, wakil presiden tanggung jawab dunia maya di Woodruff Sawyer, sebuah pialang asuransi nasional. Anderson mengatakan penjamin emisi asuransi siber diharapkan melakukan hal yang sama memperketat peraturan tentang bagaimana organisasi menerapkan keamanan pada data pribadi dan akun dengan hak istimewa, termasuk akun layanan, yang menurutnya, cenderung memiliki hak istimewa yang berlebihan dan sering kali kata sandinya tidak diubah selama bertahun-tahun.

“Jika Anda tidak mematuhi undang-undang privasi dan undang-undang yang berlaku untuk bisnis Anda, yurisdiksi Anda, yang mana standar wajar Anda berlaku, kami tidak akan menutupi fakta bahwa Anda berbagi data dengan cara yang tidak selaras. dengan kebijakan privasi Anda atau tidak sejalan dengan undang-undang,” kata Anderson.

Mengutip pengetatan hukum privasi di negara bagian seperti California dan Washington, ia mengatakan perusahaan asuransi dunia maya menuntut organisasi untuk tidak hanya memiliki kebijakan privasi yang komprehensif, namun juga dapat menunjukkan bahwa mereka mengikuti kebijakan mereka. Jika organisasi gagal melindungi data yang dilindungi oleh kebijakan privasi mereka, mereka bisa kehilangan perlindungan.

“Ini mungkin merupakan risiko yang tidak dapat diasuransikan,” katanya. “Klaim tersebut sangat mahal jika dilihat dari sudut pandang pertahanan dan pemukiman.”

“Penjamin emisi akan mencari lebih dari sekedar kotak centang ya atau tidak [pada aplikasi asuransi siber]. Anda harus menunjukkan di mana kontrol ini diterapkan [dan] di mana Anda memaksa vendor Anda untuk mematuhi tingkat kehati-hatian yang sama” sesuai dengan kebijakan privasi organisasi Anda, Anderson memperingatkan.

3. Kelola Risiko Pihak Ketiga

Meskipun ancaman privasi akan menjadi prioritas utama dewan direksi pada tahun 2024 berkat peraturan SEC yang baru dan persyaratan perusahaan asuransi siber, demikian pula ancaman rantai pasokan lainnya. Alastair Parr, wakil presiden senior produk dan layanan global di penyedia manajemen risiko pihak ketiga (TPRM) Prevalent, mengatakan organisasi harus membangun program pengadaan mereka dengan mengidentifikasi mitra dari perspektif: Bagaimana pihak ketiga ini dapat menawarkan manfaat ketahanan operasional kepada kami?

Para visioner yang berpikiran maju melihat manajemen risiko pihak ketiga (TPRM) dan data secara agregat dan apa arti pelanggaran data berdasarkan kepatuhan terhadap peraturan yang muncul dan meluas, kata Parr. Daripada berfokus pada data itu sendiri, ia menyarankan untuk mengambil pendekatan holistik, yang disebut sebagai kerangka kerja manajemen risiko pemasok lintas fungsi.

“Segera setelah dewan mulai menganggapnya sebagai program lintas fungsi, program yang lebih komprehensif – lebih bersifat siklus hidup – akan mengubah pertanyaan yang seharusnya mereka ajukan,” katanya. “Mereka seharusnya bersemangat dengan keterlibatan pengadaan ini. Mereka tidak perlu takut dengan data demi data.”

Sebagian besar perusahaan saat ini sedang berjuang dengan TPRM, kata Parr, karena mereka lebih fokus pada biaya tata kelola data dibandingkan kepatuhan terhadap peraturan, ketahanan operasional, dampak merek, atau risiko reputasi yang terkait dengan pelanggaran data.

Menatap ke Depan

Di tengah meningkatnya regulasi, CISO kini bertanggung jawab secara pribadi atas pelanggaran data, terlepas dari apakah pelanggaran tersebut melibatkan kehilangan data atau pelanggaran privasi. Sebagai tanggapannya, penjamin emisi asuransi siber memperketat aturan mereka tentang bagaimana organisasi harus melindungi data pribadi dan akun istimewa. Dan semua ini terjadi seiring dengan meningkatnya perhatian dari regulator, perusahaan asuransi, dan C-suite terhadap ancaman rantai pasokan.

Untuk menghadapi tantangan-tantangan ini di tahun mendatang, CISO perlu melindungi organisasi mereka dan diri mereka sendiri dengan menciptakan sistem untuk mendokumentasikan tindakan dan keputusan yang relevan, menetapkan dan menegakkan kebijakan privasi yang komprehensif dan konsisten, dan menilai mitra pihak ketiga mereka dalam hal ketahanan operasional.

Dengan bekerja sama di seluruh organisasi dengan tim pengadaan, hukum, dan keamanan, CISO dapat memitigasi potensi dampak ancaman rantai pasokan dan biaya asuransi terhadap bisnis mereka — dan juga melindungi diri mereka sendiri.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024