Le 3 principali priorità per i CISO nel 2024

All’inizio del nuovo anno, i CISO si riuniscono con i loro team di sicurezza e il management aziendale per individuare le principali priorità per il 2024 e come affrontare questi problemi. Quest’anno, con una moltitudine di nuove leggi sulla privacy, regolamenti della Securities and Exchange Commission, minacce informatiche e nuove tecnologie che promettono di risolvere tali minacce, potrebbero perdere il sonno cercando di impilare in modo ottimale i proverbiali pezzi di Tetris della strategia di sicurezza informatica.

Di tutte le sfide che attirano l’attenzione del CISO, la responsabilità personale e legale per le violazioni dei dati che la SEC ha imposto ai CISO potrebbe essere la più impegnativa nel nuovo anno, afferma Nicole Sundin, chief product officer di Axio. "Poiché i CISO vengono nominati nei consigli di amministrazione per discutere di questi rischi, avranno bisogno di un sistema di registrazione per proteggersi e dimostrare il dovere di diligenza", osserva.

"Attualmente, i CISO hanno queste conversazioni, fanno scelte difficili e agiscono come ritengono necessario, ma queste possono essere documentate o meno", afferma. “Avendo un’unica fonte di verità o un sistema di registrazione, i CISO possono proteggersi meglio. Altrimenti, continueremo a vedere incidenti di alto profilo in cui la colpa è di un CISO che non dispone di questa [registrazione degli eventi e del motivo per cui sono stati presi]”.

1. Difenditi dalla responsabilità personale

Sundin paragona i CISO ai dirigenti sanitari, che tengono registri dettagliati di ogni azione intrapresa per difendersi dalle accuse di illeciti. Considerando che molti CISO non sono coperti dalle polizze assicurative per direttori e funzionari aziendali (D&O), essi sarebbero personalmente responsabili ai sensi nuove regole della SEC qualora si verificasse una violazione. Ciò include la responsabilità personale sia per una violazione con perdita di dati che per una violazione della privacy senza perdita di dati.

Sundin raccomanda ai CISO di adottare le seguenti misure il prima possibile:

Anche i CISO devono essere partecipanti attivi quando negoziazione di polizze assicurative informatiche, dice Sundin. Normalmente i CISO devono approvare ciò che il consulente legale o il CFO negozia in ultima analisi, ma senza avere un input diretto – con una registrazione scritta delle loro raccomandazioni – potrebbero diventare legalmente responsabili proteggendo un’esclusione non assicurabile.

2. Monitorare le minacce emergenti alla privacy

Gli assicuratori informatici si concentreranno sulle violazioni della privacy nel 2024, prevede David Anderson, vicepresidente della responsabilità informatica presso Woodruff Sawyer, una società di intermediazione assicurativa nazionale. Anderson afferma che ci si aspetta che i sottoscrittori delle assicurazioni informatiche lo facciano inasprire le normative su come le organizzazioni implementano la sicurezza sui dati privati ​​e sugli account privilegiati, compresi gli account di servizio, che, secondo lui, tendono ad essere eccessivamente privilegiati e spesso non cambiano password da anni.

"Se non rispetti le leggi e gli statuti sulla privacy applicabili alla tua attività, alla tua giurisdizione, a cui si applicano i tuoi standard ragionevoli, non copriremo il fatto che stai condividendo i dati in un modo non allineato con la tua politica sulla privacy o non è in linea con lo statuto", afferma Anderson.

Citando l'inasprimento leggi sulla privacy in stati come la California e Washington, afferma, gli assicuratori informatici chiedono alle organizzazioni non solo di disporre di politiche sulla privacy complete, ma anche di essere in grado di dimostrare che seguono le loro politiche. Se le organizzazioni non riescono a proteggere i dati protetti dalla propria politica sulla privacy, potrebbero ritrovarsi senza copertura.

“Potrebbe essere un rischio non assicurabile”, dice. “Tali affermazioni sono terribilmente costose dal punto di vista della difesa e della transazione”.

“Il sottoscrittore cercherà qualcosa di più di una semplice casella di controllo sì o no [su una richiesta di assicurazione informatica]. Dovrai mostrare dove sono incorporati questi controlli [e] dove stai costringendo i tuoi fornitori ad aderire allo stesso livello di attenzione” imposto dalle politiche sulla privacy della tua organizzazione, avverte Anderson.

3. Gestire i rischi di terze parti

Mentre le minacce alla privacy saranno in cima alle priorità dei consigli di amministrazione per il 2024 grazie alle nuove normative SEC e ai requisiti degli assicuratori informatici, lo saranno anche le altre minacce alla catena di fornitura. Alastair Parr, vicepresidente senior di prodotti e servizi globali presso Prevalent, fornitore di servizi di gestione del rischio di terze parti (TPRM), afferma che le organizzazioni dovrebbero costruire i propri programmi di approvvigionamento identificando i partner dal punto di vista di: come può questa terza parte offrirci vantaggi in termini di resilienza operativa?

I visionari lungimiranti esaminano la gestione del rischio di terze parti (TPRM) e i dati nel loro insieme e cosa significano le violazioni dei dati in base alla conformità normativa emergente e in espansione, ha affermato Parr. Piuttosto che concentrarsi sui dati stessi, suggerisce di adottare un approccio olistico, definendolo un quadro di gestione del rischio del fornitore interfunzionale.

"Non appena il consiglio inizia a considerarlo come un programma interfunzionale, più completo - più simile a un ciclo di vita - che cambia le domande che dovrebbero porsi", afferma. “Dovrebbero essere entusiasti del coinvolgimento negli appalti. Non dovrebbero avere paura dei dati fine a se stessi”.

La stragrande maggioranza delle aziende oggi ha difficoltà con il TPRM, afferma Parr, perché si concentra più sul costo della governance dei dati che sulla conformità normativa, sulla resilienza operativa, sull’impatto del marchio o sul rischio reputazionale associato alle violazioni dei dati.

Uno sguardo al futuro

In un contesto di maggiore regolamentazione, i CISO sono ora ritenuti personalmente responsabili per le violazioni dei dati, indipendentemente dal fatto che implichino perdita di dati o violazioni della privacy. In risposta, gli assicuratori informatici stanno inasprendo le loro regole su come le organizzazioni dovrebbero proteggere i dati privati ​​e gli account privilegiati. E tutto ciò sta accadendo con una maggiore attenzione da parte di regolatori, assicuratori e alti dirigenti verso le minacce alla catena di fornitura.

Per affrontare queste sfide nel prossimo anno, i CISO dovranno proteggere la propria organizzazione e se stessi creando un sistema per documentare azioni e decisioni rilevanti, stabilendo e applicando politiche sulla privacy complete e coerenti e valutando i propri partner terzi in termini di resilienza operativa.

Collaborando all'interno dell'organizzazione con i team di approvvigionamento, legale e sicurezza, i CISO possono mitigare il potenziale impatto delle minacce alla catena di fornitura e dei costi assicurativi sulla propria attività, oltre a coprire anche se stessi.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024