עם תחילת השנה החדשה, CISOs מתכנסים עם צוותי האבטחה וההנהלה שלהם כדי לבחון את סדרי העדיפויות המובילים לשנת 2024 וכיצד לטפל בבעיות אלו. השנה - עם שפע של חוקי פרטיות חדשים, תקנות רשות ניירות ערך, איומי סייבר וטכנולוגיות חדשות המבטיחות לפתור את האיומים הללו - הם עלולים לאבד שינה בניסיון לערום בצורה מיטבית את חלקי הטטריס הפתולוגיים של אסטרטגיית אבטחת הסייבר.
מכל האתגרים המתחרים על תשומת הלב של ה-CISO, האחריות האישית והמשפטית להפרות נתונים שה-SEC הטילה על CISOs עשויה להיות המאתגרת ביותר בשנה החדשה, אומרת ניקול סנדין, מנהלת מוצר ראשית ב-Axio. "עם העלות של CISOs לחדר הישיבות כדי לדון בסיכונים אלה, הם יצטרכו מערכת רישום כדי להגן על עצמם ולהפגין חובת זהירות", היא מציינת.
"כרגע, CISOs מנהלים את השיחות האלה, עושים בחירות קשות ופועלים כפי שהם רואים צורך - אבל אלה עשויים להיות מתועדים או לא", היא אומרת. "על ידי מקור אמת יחיד או מערכת תיעוד, CISOs יכולים להגן על עצמם טוב יותר. אחרת, נמשיך לראות אירועים בפרופיל גבוה שבהם CISO שאין לו את זה [תיעוד האירועים ומדוע הם נלקחו] במקום לוקח את הנפילה".
1. הגן על עצמך מפני אחריות אישית
סנדין משווה את ארגוני ה-CISO למנהלי שירותי בריאות, שמנהלים תיעוד מפורט של כל פעולה שהם נוקטים על מנת להגן על עצמם מפני טענות על עבירות. בהתחשב בכך שארגוני CISO רבים אינם מכוסים במסגרת פוליסות ביטוח של דירקטורים ונושאי משרה (D&O), הם יהיו אחראים באופן אישי לפי חוקי SEC חדשים אם תתרחש הפרה. זה כולל אחריות אישית הן להפרה עם אובדן נתונים והן להפרת פרטיות ללא אובדן נתונים.
Sundin ממליץ ל-CISO לנקוט בצעדים הבאים בהקדם האפשרי:
-
צור רשומת מערכת. זה יכול להיות מתכנן או יומן שבו כל פעולה הקשורה לאירוע ביטחוני פוטנציאלי מתועדת עם תיאור מפורט וכרונולוגי של כל פעולה שנעשתה והסיבות שבגללן בוצעה.
-
צור הגדרה תאגידית ל"מהותיות", עם מידע מהיועץ הכללי או מנהל הסיכונים הראשי, כדי לקבוע קווים מנחים ברורים לגבי מה נחשב מבחינה משפטית למשמעותית מהותית למשקיעים או לבעלי מניות ומה לא.
-
למד לדבר עם הדירקטוריון ובכירים אחרים במונחים פיננסיים. ספר לדירקטוריון בדיוק אילו בקרות אבטחה נדרשות, העלות שלהן וההפסד הפוטנציאלי לחברה אם מתרחשת הפרה עקב אי בקרות האבטחה במקום.
CISOs חייבים להיות גם משתתפים פעילים כאשר ניהול משא ומתן על פוליסות ביטוח סייבר, אומר סנדין. בדרך כלל, CISOs צריכים לחתום על מה שהיועץ הכללי או סמנכ"ל הכספים מנהלים בסופו של דבר משא ומתן, אבל בלי לקבל קלט ישיר - עם תיעוד כתוב של ההמלצות שלהם - הם עלולים לקבל אחריות משפטית בהגנה על הרחקה שאינה ניתנת לביטוח.
2. עקוב אחר איומי פרטיות מתעוררים
מבטחי סייבר יתמקדו בהפרות פרטיות ב-2024, צופה דייוויד אנדרסון, סגן נשיא לאחריות סייבר בוודרופ סוייר, תיווך לביטוח לאומי. אנדרסון אומר שחתמי ביטוח סייבר צפויים לעשות זאת להקשיח את התקנות על האופן שבו ארגונים מיישמים אבטחה על נתונים פרטיים וחשבונות מועדפים, כולל חשבונות שירות, שהוא מציין, נוטים להיות בעלי פריבילגיה יתר ולעתים קרובות לא הוחלפו הסיסמאות שלהם במשך שנים.
"אם אינך מציית לחוקי הפרטיות והחוקים החלים על העסק שלך, על תחום השיפוט שלך, שעליו חל הסטנדרט הסביר שלך, אנחנו לא הולכים לכסות את העובדה שאתה משתף נתונים בצורה שאינה מותאמת עם מדיניות הפרטיות שלך או שאינה מותאמת לחוק", אומר אנדרסון.
מצטט את ההידוק חוקי פרטיות במדינות כמו קליפורניה וושינגטון, הוא אומר שמבטחי סייבר דורשים מארגונים לא רק שיש להם מדיניות פרטיות מקיפה, אלא יוכלו להוכיח שהם פועלים לפי המדיניות שלהם. אם ארגונים לא מצליחים להגן על נתונים המוגנים במדיניות הפרטיות שלהם, הם עלולים למצוא את עצמם ללא הכיסוי.
"זה עשוי להיות סיכון בלתי ניתן לביטוח", הוא אומר. "התביעות הללו יקרות להחריד מנקודת מבט של הגנה והתיישבות".
"החתם הולך לחפש יותר מסתם תיבת סימון של כן או לא [באפליקציית ביטוח סייבר]. אתה תצטרך להראות היכן הפקדים האלה מוטמעים [ו] היכן אתה מאלץ את הספקים שלך לדבוק באותה רמת טיפול" כפי שמכתיבה מדיניות הפרטיות של הארגון שלך, מזהיר אנדרסון.
3. נהל סיכונים של צד שלישי
בעוד שאיומי הפרטיות יהיו גבוהים בסדר העדיפויות של הדירקטוריון לשנת 2024 הודות לתקנות SEC החדשות ולדרישות מבטחי הסייבר, כך גם איומים אחרים בשרשרת האספקה. Alastair Parr, סגן נשיא בכיר למוצרים ושירותים גלובליים בספק ניהול סיכונים של צד שלישי (TPRM) Prevalent, אומר שארגונים צריכים לבנות את תוכניות הרכש שלהם על ידי זיהוי שותפים מנקודת המבט של: כיצד יכול צד שלישי זה להציע לנו יתרונות חוסן תפעולי?
אנשי חזון שחושבים קדימה מסתכלים על ניהול סיכונים של צד שלישי (TPRM) ונתונים במצטבר ומה המשמעות של הפרות נתונים בהתבסס על ציות לרגולציה מתפתחת ומתרחבת, אמר פאר. במקום להתמקד בנתונים עצמם, הוא מציע לנקוט בגישה הוליסטית, ולכנות זאת מסגרת ניהול סיכונים ספקים חוצת תפקודיים.
"ברגע שהדירקטוריון מתחיל לחשוב על זה כעל פונקציונליות, תוכנית מקיפה יותר - יותר מחזור חיים - שמשנה את השאלות שהם צריכים לשאול", הוא אומר. "הם צריכים להתלהב מהמעורבות ברכש. הם לא צריכים לפחד מנתונים למען הנתונים".
רובן המכריע של החברות כיום נאבקות ב-TPRM, אומר פאר, מכיוון שהן מתמקדות יותר בעלות של ממשל נתונים מאשר בציות לרגולציה, חוסן תפעולי, השפעה על המותג או הסיכון המוניטין הקשור להפרות נתונים.
מבט לעתיד
בסביבה של רגולציה מוגברת, CISOs נושאים כעת באחריות אישית להפרות נתונים, בין אם הן כרוכות באובדן נתונים או בהפרות פרטיות. בתגובה, חתמי ביטוח סייבר מחמירים את הכללים שלהם לגבי האופן שבו ארגונים צריכים להגן על נתונים פרטיים וחשבונות מועדפים. וכל זה קורה עם תשומת לב מוגברת של הרגולטורים, המבטחים וה-C-suite לאיומי שרשרת האספקה.
כדי לעמוד באתגרים אלו בשנה הקרובה, CISOs צריכים להגן על הארגון שלהם ועל עצמם על ידי יצירת מערכת לתיעוד פעולות והחלטות רלוונטיות, קביעת ואכיפה של מדיניות פרטיות מקיפה ועקבית, והערכת שותפי הצד השלישי שלהם במונחים של חוסן תפעולי.
על ידי עבודה ברחבי הארגון עם צוותי רכש, משפטיים ואבטחה, CISOs יכולים לצמצם את ההשפעה הפוטנציאלית של איומי שרשרת האספקה ועלויות הביטוח על העסק שלהם - ולכסות גם את עצמם.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- :יש ל
- :הוא
- :לֹא
- :איפה
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- יכול
- אודות
- בנוגע לזה
- חשבונות
- לרוחב
- לפעול
- פעולה
- פעולות
- פעיל
- כתובת
- לדבוק
- דבקות
- נגד
- לְקַבֵּץ
- מיושר
- תעשיות
- גם
- an
- ו
- אנדרסון
- ישים
- בקשה
- חל
- גישה
- ARE
- AS
- לשאול
- הערכה
- המשויך
- At
- תשומת לב
- מבוסס
- BE
- כי
- להיות
- להיות
- הטבות
- מוטב
- לוּחַ
- דירקטוריון
- שניהם
- מותג
- הפרה
- פרות
- תיווך
- לִבנוֹת
- עסקים
- אבל
- by
- סוויטת C
- קליפורניה
- קוראים
- CAN
- אשר
- מנהל כספים ראשי
- שרשרת
- האתגרים
- אתגר
- השתנה
- שינויים
- רֹאשׁ
- קצין מוצר ראשי
- בחירות
- מעגל
- CISO
- טענות
- ברור
- מגיע
- עמלה
- חברות
- חברה
- הענות
- מַקִיף
- נחשב
- בהתחשב
- עִקבִי
- להמשיך
- בקרות
- שיחות
- משותף
- עלות
- עלויות
- יכול
- עֵצָה
- לכסות
- כיסוי
- מכוסה
- יוצרים
- לַחֲצוֹת
- כיום
- סייבר
- אבטחת סייבר
- נתונים
- הפרת נתונים
- אובדן נתונים
- דוד
- החלטות
- גופי בטחון
- הגדרה
- תובעני
- להפגין
- תיאור
- מְפוֹרָט
- להכתיב
- קשה
- ישיר
- דירקטורים
- לדון
- מסמך
- מְתוֹעָד
- לא איכפת
- ראוי
- כל אחד
- מורם
- מוטבע
- מתעורר
- אכיפה
- סביבה
- להקים
- מקימים
- Ether (ETH)
- אירועים
- כל
- בדיוק
- חליפין
- נציבות החליפין
- נרגש
- כעובדים בכירים
- הרחבת
- צפוי
- יקר
- עובדה
- FAIL
- ליפול
- כספי
- להתמקד
- התמקדות
- לעקוב
- הבא
- בעד
- מכריח
- מסגרת
- החל מ-
- פונקציונלי
- ללקט
- כללי
- מקבל
- גלוֹבָּלִי
- הולך
- ממשל
- הנחיות
- היה
- מתרחש
- יש
- יש
- he
- בריאות
- הוחזק
- גָבוֹהַ
- פרופיל גבוה
- הוליסטית
- איך
- איך
- HTTPS
- ICON
- זיהוי
- if
- פְּגִיעָה
- ליישם
- in
- תקרית
- תקריות
- כולל
- כולל
- גדל
- קלט
- ביטוח
- מבטח
- משקיעים
- לערב
- מעורבות
- בעיות
- IT
- עצמו
- jpg
- שיפוט
- רק
- שמור
- חוקים
- משפטי
- באופן חוקי
- רמה
- אחריות
- מעגל החיים
- נראה
- לאבד
- את
- הרוב
- לעשות
- לנהל
- ניהול
- רב
- מבחינה חומרית
- מאי..
- אומר
- לִפְגוֹשׁ
- יכול
- להקל
- צג
- יותר
- רוב
- המון
- צריך
- לאומי
- הכרחי
- צורך
- חדש
- טכנולוגיות חדשות
- ראש השנה
- לא
- בדרך כלל
- הערות
- עַכשָׁיו
- of
- כבוי
- הַצָעָה
- קָצִין
- קצינים
- לעתים קרובות
- on
- רק
- מבצעי
- חוסן תפעולי
- or
- להזמין
- ארגון
- ארגונים
- אחר
- אַחֶרֶת
- הַחוּצָה
- המשתתפים
- שותפים
- צד
- סיסמאות
- אישי
- אישית
- פרספקטיבה
- חתיכות
- מקום
- מוצב
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- מדיניות
- אפשרי
- פוטנציאל
- תחזית
- נשיא
- נפוץ
- פְּרָטִיוּת
- הפרת פרטיות
- חוקי פרטיות
- מדיניות פרטיות
- איומי פרטיות
- פְּרָטִי
- חסוי
- רכש
- המוצר
- מוצרים
- מוצרים ושירותים
- תָכְנִית
- תוכניות
- מבטיח
- להגן
- מוּגָן
- אבטחה
- ספק
- שאלות
- במקום
- RE
- סביר
- סיבות
- המלצות
- ממליצה
- שיא
- מוקלט
- רשום
- ללא קשר
- תקנה
- תקנון
- רגולטורים
- רגולטורים
- התאמה לתקנות
- רלוונטי
- נדרש
- דרישות
- כושר התאוששות
- תגובה
- אחריות
- הסיכון
- ניהול סיכונים
- סיכונים
- כללי
- s
- אמר
- טוֹבָה
- אותו
- אומר
- מפחד
- היקף
- ה-SEC
- ניירות ערך
- לניירות הערך
- אבטחה
- לִרְאוֹת
- לחצני מצוקה לפנסיונרים
- שרות
- שירותים
- הֶסדֵר
- בעלי המניות
- שיתוף
- היא
- צריך
- לְהַצִיג
- סִימָן
- משמעותי
- יחיד
- לִישׁוֹן
- So
- לפתור
- בקרוב
- מָקוֹר
- לדבר
- לערום
- תֶקֶן
- התחלות
- הברית
- צעדים
- אִסטרָטֶגִיָה
- נאבק
- כזה
- מציע
- להתחנן
- לספק
- שרשרת אספקה
- מערכת
- מערכת שיא
- T
- לקחת
- משימות
- לוקח
- נטילת
- צוותי
- טכנולוגיות
- לספר
- נוטה
- מונחים
- מֵאֲשֶׁר
- תודה
- זֶה
- השמיים
- שֶׁלָהֶם
- עצמם
- אלה
- הֵם
- חושב
- שְׁלִישִׁי
- צד שלישי
- זֶה
- השנה
- אלה
- איומים
- הידוק
- ל
- היום
- גַם
- חלק עליון
- אמת
- מנסה
- בסופו של דבר
- תחת
- חתמים
- us
- Vast
- ספקים
- סְגָן
- סגן הנשיא
- הפרות
- אנשי חזון
- מזהיר
- וושינגטון
- דֶרֶך..
- we
- היו
- מה
- מה
- מתי
- אם
- אשר
- מי
- למה
- יצטרך
- עם
- לְלֹא
- עובד
- היה
- כתוב
- שנה
- שנים
- כן
- אתה
- עצמך
- זפירנט