פינת CISO: צלילה עמוקה לתוך SecOps, ביטוח והתפקיד המתפתח של CISOs

ברוכים הבאים ל-CISO Corner, התקציר השבועי של מאמרים של Dark Reading המותאמים במיוחד לקוראי פעולות אבטחה ולמנהיגי אבטחה. מדי שבוע, נציע מאמרים שנאספו מכל מבצע החדשות שלנו, The Edge, DR Tech, DR Global ומדור הפרשנות שלנו. אנו מחויבים להביא לך קבוצה מגוונת של נקודות מבט כדי לתמוך בעבודה של הפעלת אסטרטגיות אבטחת סייבר, עבור מנהיגים בארגונים מכל הצורות והגדלים.

בנושא זה:

CISOs נאבקים על סטטוס C-Suite גם כשהציפיות מרקיעות שחקים

מאת ג'אי ויג'יאן, סופר תורם של קריאה אפלה

סקר IANS מראה ש-CISOs נושאים על עצמם יותר ויותר אחריות משפטית ורגולטורית להפרות נתונים, אך מעטים זוכים להכרה או לתמיכה שהם צריכים.

CISOs מתבקשים יותר ויותר לקחת על עצמם את האחריות של מה שבדרך כלל ייחשב לתפקיד C-suite, אך מבלי להיחשב או להתייחס אליהם בארגונים רבים.

סקר IANS מצא כי 75% מלאים מה-CISO מחפשים שינוי עבודה, שכן הציפיות לתפקיד ה-CISO השתנו באופן דרמטי בארגונים במגזר הציבורי והפרטי בגלל תקנות חדשות ודרישות גוברות לאחריות על פרצות אבטחה.

אבל בעוד שלמעלה מ-63% מה-CISO יש סגן נשיא או תפקיד ברמת מנהל, רק 20% נמצאים ברמת C-suite למרות שיש להם "ראש" בתואר. במקרה של ארגונים עם הכנסות של יותר ממיליארד דולר, המספר הזה קטן עוד יותר, ועומד על 1%.

מדוע רוב CISOs חסרים סיפוק בעבודה: CISOs נאבקים על סטטוס C-Suite גם כשהציפיות מרקיעות שחקים

מידע נוסף: תפקיד CISO עובר אבולוציה גדולה

עם התקפות על העלייה, גם פרמיות ביטוח הסייבר צפויות לעלות

מאת רוברט למוס, סופר תורם של קריאה אפלה

המבטחים הכפילו את הפרמיות בסוף 2021 כדי לקזז הפסדים מתביעות כופר. עם התגברות ההתקפות שוב, ארגונים יכולים לצפות סבב חדש של עליות.

בעוד שעלויות הפרמיה ירדו ב-6% ברבעון השלישי של 2023 בהשוואה לרבעון המקביל ב-2022, אפילו כשתביעות הקשורות לתוכנת כופר ופרטיות כבר זינקו מהשנה הקודמת.

בעקבות המגיפה וצמיחת תוכנות הכופר, תביעות ביטוח סייבר עלו משנת 2020 ואילך, והובילו לעלייה דרמטית בתמחור הפוליסה. אבל תעשיית ביטוח הסייבר רק הולכת וגדלה, כאשר שווי הפרמיות הכתובות הישירות גדל ל-5.1 מיליארד דולר ב-2023, עלייה של 62% משנה לשנה, לפי Fitch Ratings.

בהמשך, יש יותר שחקנים, פוליסות פחות מקיפות (ולכן סיכון מבטח), ותחרות גדולה יותר - כל אלה מביאים לריכוך מחירי הכיסוי. למרות זאת, יש הצופים עלייה בעלויות הפרמיה ב-12-18 החודשים הבאים.

גלה למה לצפות: עם התקפות על העלייה, גם פרמיות ביטוח הסייבר צפויות לעלות

מידע נוסף: מלחמה או עלות עשיית עסקים? מבטחי סייבר מוציאים אי הכללות

DR Global: חסרים את סימן אבטחת הסייבר עם השמונה החיוניים

פרשנות מאת אריה זקס, חוקר טכני בכיר, מגן אדפטיבי

מודל ה-Essential Eight Maturity של אוסטרליה עדיין אינו מתייחס לגורמי מפתח הדרושים להגנה על סביבות הענן וה-SaaS של ימינו.

ה-Essential Eight, המסגרת העיקרית של ממשלת אוסטרליה לניהול סיכוני אבטחת סייבר לעסקים, הוקמה בשנת 2010, ולמרות שהיא מתעדכנת מדי שנה, היא לא הצליחה להתחדש עם קצב הטרנספורמציה הדיגיטלית: יישומי SaaS מהווים 70% מכלל התוכנות שבהן משתמשים עסקים, אבל הביטוי "SaaS" לא מופיע בשום מקום במסמך.

באופן ספציפי, חסרות לו ארבע הנחיות אבטחה מרכזיות בענן: ניהול תצורה, אבטחת זהות, ניהול שילוב אפליקציות של צד שלישי ובקרת משאבים. מאמר זה מתעמק במחדלים הללו ובמה שעסקים מודרניים צריכים לשלב במסגרות אבטחת הסייבר שלהם.

קראו עוד כאן: חסרים את סימן אבטחת הסייבר עם השמינייה החיונית

מידע נוסף: הגיע הזמן לאבטח אפליקציות מקוריות בענן

תקציב אבטחת הסייבר שלך הוא החלק האחורי של הסוס

פרשנות מאת אירה וינקלר, Field CISO וסגנית נשיא, CYE

האם מגבלות תקציב היסטוריות מגבילות את תוכנית אבטחת הסייבר שלך? אל תיתן למסורים ישנים לעצור אותך. זה הזמן לבחון מחדש את התקציב שלך עם צרכים עתידיים מהפכניים בראש.

בהכרח תקציב אבטחה שוטף מבוסס על תקציב השנה הקודמת, המבוסס על התקציב הקודם, המבוסס על התקציב הקודם וכו'. התקציב הנוכחי עשוי אפוא להתבסס ביסודו על תקציב מלפני יותר מעשור - באותו האופן שבו רכבות נוסעים מודרניות עלול להיות חייב חוב לגודל הסוס המצייר מרכבה רומית.

הנה איך לצאת ממעגל ההגבלה הזה: תקציב אבטחת הסייבר שלך הוא החלק האחורי של הסוס

מידע נוסף: שותף של קבוצת צ'רטוף משלים את רכישת Trustwave

השלב הראשון באבטחת כלי AI/ML הוא איתורם

מאת פאחמידה י. ראשיד, עורכת מנהלת, תכונות, קריאה חשוכה

צוותי אבטחה צריכים להתחיל לקחת בחשבון את הכלים האלה כשחושבים על שרשרת אספקת התוכנה. אחרי הכל, הם לא יכולים להגן על מה שהם לא יודעים שיש להם.

המספר ההולך וגדל של יישומים המשלבים יכולות וכלים של בינה מלאכותית (AI) המקלים על העבודה עם מודלים של למידת מכונה (ML) יצרו כאבי ראש חדשים בשרשרת אספקת התוכנה עבור ארגונים, שצוותי האבטחה שלהם צריכים כעת להעריך ולנהל את הסיכונים הנשקפים על ידי רכיבי AI אלה.

בנוסף, צוותי אבטחה לרוב לא מקבלים מידע כאשר הכלים הללו מוכנסים לארגון על ידי העובדים, וחוסר הנראות אומר שהם לא מסוגלים לנהל אותם או להגן על הנתונים שבהם נעשה שימוש.

הנה איך למצוא את ה-AI/ML האורב בכלים ובאפליקציות שבהם נעשה שימוש - אפילו בצל.

קראו עוד כאן: השלב הראשון באבטחת כלי AI/ML הוא איתורם

מידע נוסף: AI נותן למגינים את היתרון בהגנה ארגונית

3 סדרי העדיפויות המובילים עבור CISOs בשנת 2024

מאת סטיבן לוטון, סופר תורם של קריאה אפלה

סביבת רגולציה ואכיפה משתנה פירושה שה-CISO החכם עשוי להצטרך לשנות את אופן עבודתם השנה.

כאשר CISOs מתאספים עם צוותי האבטחה שלהם והנהלת החברה כדי לקבוע סדרי עדיפויות עליונים לשנת 2024, האחריות האישית והמשפטית להפרות נתונים שה-SEC הטילה על CISOs עשויה להיות המאתגרת ביותר בשנה החדשה.

בתורו, שינויים בביטוח הסייבר משפיעים גם על ניהול סיכוני הסייבר. בכל הנוגע להפרות פרטיות בשנת 2024, חתמי ביטוח סייבר צפויים להקשיח את התקנות לגבי האופן שבו ארגונים מיישמים אבטחה על נתונים פרטיים וחשבונות מועדפים, כולל חשבונות שירות, אשר נוטים להיות בעלי זכויות יתר ולעתים קרובות לא הוחלפו הסיסמאות שלהם במשך שנים.

גלה כיצד אנשי חזון שחושבים קדימה מתקרבים לסיכון פריצה (ולאיומים מתעוררים של שרשרת האספקה): 3 סדרי העדיפויות המובילים עבור CISOs בשנת 2024

מידע נוסף: האם מודל vCISO מתאים לארגון שלך?

מדריך משק המים של CISA מציב תגובה לאירועים בחזית ובמרכז

מאת רוברט למוס, סופר תורם של קריאה אפלה

ככל שתוקפי סייבר מתמקדים יותר ויותר בספקי מים ובשירותי שפכים, הממשל הפדרלי בארה"ב רוצה לעזור להגביל את ההשפעה של התקפות הרסניות.

שירותי מים ושפכים קיבלו בשבוע שעבר הנחיות חדשות לשיפור תגובתם למתקפות סייבר מסוכנות הסייבר והאבטחה של תשתיות (CISA), בעקבות מספר רב יותר של התקפות של קבוצות מדינת לאום ופושעי סייבר המכוונים לתשתית קריטית מוחלשת.

המסמך מגיע מכיוון שמאמצי אבטחת סייבר עבור מגזר המים והשפכים (WWS), עם זאת, נפגעו על ידי אילוצי משאבים. המדריך בן 27 העמודים של CISA מציע עצות מפורטות לזירת שירות המים כיצד ליצור ספר הפעלה יעיל לתגובה לאירועים, בהתחשב באתגרים הייחודיים של המגזר.

להלן הסעיפים העיקריים: מדריך משק המים של CISA מציב תגובה לאירועים בחזית ובמרכז

מידע נוסף: מעבר, APTs: פושעי סייבר מכוונים כעת גם לתשתית קריטית

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-operations/ciso-corner-deep-dive-secops-insurance-evolving-role