3 סדרי העדיפויות המובילים עבור CISOs בשנת 2024

3 סדרי העדיפויות המובילים עבור CISOs בשנת 2024

חותמת זמן: 19 בינואר 2024 5:20
צומת המקור: 3072560

עם תחילת השנה החדשה, CISOs מתכנסים עם צוותי האבטחה וההנהלה שלהם כדי לבחון את סדרי העדיפויות המובילים לשנת 2024 וכיצד לטפל בבעיות אלו. השנה - עם שפע של חוקי פרטיות חדשים, תקנות רשות ניירות ערך, איומי סייבר וטכנולוגיות חדשות המבטיחות לפתור את האיומים הללו - הם עלולים לאבד שינה בניסיון לערום בצורה מיטבית את חלקי הטטריס הפתולוגיים של אסטרטגיית אבטחת הסייבר.

מכל האתגרים המתחרים על תשומת הלב של ה-CISO, האחריות האישית והמשפטית להפרות נתונים שה-SEC הטילה על CISOs עשויה להיות המאתגרת ביותר בשנה החדשה, אומרת ניקול סנדין, מנהלת מוצר ראשית ב-Axio. "עם העלות של CISOs לחדר הישיבות כדי לדון בסיכונים אלה, הם יצטרכו מערכת רישום כדי להגן על עצמם ולהפגין חובת זהירות", היא מציינת.

"כרגע, CISOs מנהלים את השיחות האלה, עושים בחירות קשות ופועלים כפי שהם רואים צורך - אבל אלה עשויים להיות מתועדים או לא", היא אומרת. "על ידי מקור אמת יחיד או מערכת תיעוד, CISOs יכולים להגן על עצמם טוב יותר. אחרת, נמשיך לראות אירועים בפרופיל גבוה שבהם CISO שאין לו את זה [תיעוד האירועים ומדוע הם נלקחו] במקום לוקח את הנפילה".

1. הגן על עצמך מפני אחריות אישית

סנדין משווה את ארגוני ה-CISO למנהלי שירותי בריאות, שמנהלים תיעוד מפורט של כל פעולה שהם נוקטים על מנת להגן על עצמם מפני טענות על עבירות. בהתחשב בכך שארגוני CISO רבים אינם מכוסים במסגרת פוליסות ביטוח של דירקטורים ונושאי משרה (D&O), הם יהיו אחראים באופן אישי לפי חוקי SEC חדשים אם תתרחש הפרה. זה כולל אחריות אישית הן להפרה עם אובדן נתונים והן להפרת פרטיות ללא אובדן נתונים.

Sundin ממליץ ל-CISO לנקוט בצעדים הבאים בהקדם האפשרי:

  • צור רשומת מערכת. זה יכול להיות מתכנן או יומן שבו כל פעולה הקשורה לאירוע ביטחוני פוטנציאלי מתועדת עם תיאור מפורט וכרונולוגי של כל פעולה שנעשתה והסיבות שבגללן בוצעה.

  • צור הגדרה תאגידית ל"מהותיות", עם מידע מהיועץ הכללי או מנהל הסיכונים הראשי, כדי לקבוע קווים מנחים ברורים לגבי מה נחשב מבחינה משפטית למשמעותית מהותית למשקיעים או לבעלי מניות ומה לא.

  • למד לדבר עם הדירקטוריון ובכירים אחרים במונחים פיננסיים. ספר לדירקטוריון בדיוק אילו בקרות אבטחה נדרשות, העלות שלהן וההפסד הפוטנציאלי לחברה אם מתרחשת הפרה עקב אי בקרות האבטחה במקום.

CISOs חייבים להיות גם משתתפים פעילים כאשר ניהול משא ומתן על פוליסות ביטוח סייבר, אומר סנדין. בדרך כלל, CISOs צריכים לחתום על מה שהיועץ הכללי או סמנכ"ל הכספים מנהלים בסופו של דבר משא ומתן, אבל בלי לקבל קלט ישיר - עם תיעוד כתוב של ההמלצות שלהם - הם עלולים לקבל אחריות משפטית בהגנה על הרחקה שאינה ניתנת לביטוח.

2. עקוב אחר איומי פרטיות מתעוררים

מבטחי סייבר יתמקדו בהפרות פרטיות ב-2024, צופה דייוויד אנדרסון, סגן נשיא לאחריות סייבר בוודרופ סוייר, תיווך לביטוח לאומי. אנדרסון אומר שחתמי ביטוח סייבר צפויים לעשות זאת להקשיח את התקנות על האופן שבו ארגונים מיישמים אבטחה על נתונים פרטיים וחשבונות מועדפים, כולל חשבונות שירות, שהוא מציין, נוטים להיות בעלי פריבילגיה יתר ולעתים קרובות לא הוחלפו הסיסמאות שלהם במשך שנים.

"אם אינך מציית לחוקי הפרטיות והחוקים החלים על העסק שלך, על תחום השיפוט שלך, שעליו חל הסטנדרט הסביר שלך, אנחנו לא הולכים לכסות את העובדה שאתה משתף נתונים בצורה שאינה מותאמת עם מדיניות הפרטיות שלך או שאינה מותאמת לחוק", אומר אנדרסון.

מצטט את ההידוק חוקי פרטיות במדינות כמו קליפורניה וושינגטון, הוא אומר שמבטחי סייבר דורשים מארגונים לא רק שיש להם מדיניות פרטיות מקיפה, אלא יוכלו להוכיח שהם פועלים לפי המדיניות שלהם. אם ארגונים לא מצליחים להגן על נתונים המוגנים במדיניות הפרטיות שלהם, הם עלולים למצוא את עצמם ללא הכיסוי.

"זה עשוי להיות סיכון בלתי ניתן לביטוח", הוא אומר. "התביעות הללו יקרות להחריד מנקודת מבט של הגנה והתיישבות".

"החתם הולך לחפש יותר מסתם תיבת סימון של כן או לא [באפליקציית ביטוח סייבר]. אתה תצטרך להראות היכן הפקדים האלה מוטמעים [ו] היכן אתה מאלץ את הספקים שלך לדבוק באותה רמת טיפול" כפי שמכתיבה מדיניות הפרטיות של הארגון שלך, מזהיר אנדרסון.

3. נהל סיכונים של צד שלישי

בעוד שאיומי הפרטיות יהיו גבוהים בסדר העדיפויות של הדירקטוריון לשנת 2024 הודות לתקנות SEC החדשות ולדרישות מבטחי הסייבר, כך גם איומים אחרים בשרשרת האספקה. Alastair Parr, סגן נשיא בכיר למוצרים ושירותים גלובליים בספק ניהול סיכונים של צד שלישי (TPRM) Prevalent, אומר שארגונים צריכים לבנות את תוכניות הרכש שלהם על ידי זיהוי שותפים מנקודת המבט של: כיצד יכול צד שלישי זה להציע לנו יתרונות חוסן תפעולי?

אנשי חזון שחושבים קדימה מסתכלים על ניהול סיכונים של צד שלישי (TPRM) ונתונים במצטבר ומה המשמעות של הפרות נתונים בהתבסס על ציות לרגולציה מתפתחת ומתרחבת, אמר פאר. במקום להתמקד בנתונים עצמם, הוא מציע לנקוט בגישה הוליסטית, ולכנות זאת מסגרת ניהול סיכונים ספקים חוצת תפקודיים.

"ברגע שהדירקטוריון מתחיל לחשוב על זה כעל פונקציונליות, תוכנית מקיפה יותר - יותר מחזור חיים - שמשנה את השאלות שהם צריכים לשאול", הוא אומר. "הם צריכים להתלהב מהמעורבות ברכש. הם לא צריכים לפחד מנתונים למען הנתונים".

רובן המכריע של החברות כיום נאבקות ב-TPRM, אומר פאר, מכיוון שהן מתמקדות יותר בעלות של ממשל נתונים מאשר בציות לרגולציה, חוסן תפעולי, השפעה על המותג או הסיכון המוניטין הקשור להפרות נתונים.

מבט לעתיד

בסביבה של רגולציה מוגברת, CISOs נושאים כעת באחריות אישית להפרות נתונים, בין אם הן כרוכות באובדן נתונים או בהפרות פרטיות. בתגובה, חתמי ביטוח סייבר מחמירים את הכללים שלהם לגבי האופן שבו ארגונים צריכים להגן על נתונים פרטיים וחשבונות מועדפים. וכל זה קורה עם תשומת לב מוגברת של הרגולטורים, המבטחים וה-C-suite לאיומי שרשרת האספקה.

כדי לעמוד באתגרים אלו בשנה הקרובה, CISOs צריכים להגן על הארגון שלהם ועל עצמם על ידי יצירת מערכת לתיעוד פעולות והחלטות רלוונטיות, קביעת ואכיפה של מדיניות פרטיות מקיפה ועקבית, והערכת שותפי הצד השלישי שלהם במונחים של חוסן תפעולי.

על ידי עבודה ברחבי הארגון עם צוותי רכש, משפטיים ואבטחה, CISOs יכולים לצמצם את ההשפעה הפוטנציאלית של איומי שרשרת האספקה ​​ועלויות הביטוח על העסק שלהם - ולכסות גם את עצמם.

בול זמן:

עוד מ קריאה אפלה