3년 CISO의 2024대 우선순위

새해가 시작되면서 CISO는 보안팀 및 기업 경영진과 함께 모여 2024년의 최우선 순위와 이러한 문제를 해결하는 방법을 모색합니다. 올해에는 수많은 새로운 개인 정보 보호법, 증권 거래 위원회 규정, 사이버 위협, 이러한 위협을 해결할 수 있는 신기술이 등장하면서 사이버 보안 전략의 테트리스 조각을 최적으로 쌓기 위해 잠을 이루지 못할 수도 있습니다.

Axio의 최고 제품 책임자인 Nicole Sundin은 CISO의 관심을 끌기 위해 경쟁하는 모든 과제 중에서 SEC가 CISO에게 부과한 데이터 침해에 대한 개인적, 법적 책임이 새해에 가장 어려운 과제가 될 수 있다고 말했습니다. "CISO가 이사회에 올라 이러한 위험을 논의하게 되면서 CISO는 스스로를 보호하고 주의 의무를 입증할 수 있는 기록 시스템이 필요할 것입니다."라고 그녀는 말합니다.

"현재 CISO는 이러한 대화를 나누고 어려운 선택을 하며 필요하다고 생각하는 대로 행동합니다. 그러나 이러한 내용은 문서화될 수도 있고 그렇지 않을 수도 있습니다."라고 그녀는 말합니다. “단일 진실 소스나 기록 시스템을 보유함으로써 CISO는 자신을 더 잘 보호할 수 있습니다. 그렇지 않으면 우리는 이 [사건 기록 및 해당 사건이 발생한 이유]를 마련하지 않은 CISO가 추락하는 세간의 이목을 끄는 사건을 계속 보게 될 것입니다.”

1. 개인 책임으로부터 자신을 방어하세요

Sundin은 CISO를 불법 행위에 대한 주장으로부터 자신을 방어하기 위해 취하는 모든 조치에 대한 자세한 기록을 보관하는 의료 경영진에 비유합니다. 많은 CISO가 기업 이사 및 임원(D&O) 보험의 적용을 받지 않는다는 점을 고려하면 그들은 다음과 같은 개인적 책임을 지게 됩니다. 새로운 SEC 규칙 위반이 발생하면. 여기에는 데이터 손실이 있는 침해 또는 데이터 손실이 없는 개인정보 침해에 대한 개인 책임이 포함됩니다.

Sundin은 CISO가 가능한 한 빨리 다음 단계를 수행할 것을 권장합니다.

CISO는 다음과 같은 경우에도 적극적으로 참여해야 합니다. 사이버 보험 정책 협상, Sundin은 말합니다. 일반적으로 CISO는 법무 자문위원이나 CFO가 궁극적으로 협상하는 내용에 대해 승인해야 하지만, 권장 사항에 대한 서면 기록을 통해 직접 입력하지 않고도 비보험 예외를 보호하는 법적 책임을 질 수 있습니다.

2. 새로운 개인정보 위협 모니터링

전국 보험 중개업체인 Woodruff Sawyer의 사이버 책임 담당 부사장인 David Anderson은 사이버 보험사들이 2024년에 개인정보 침해에 중점을 둘 것이라고 예측했습니다. 앤더슨은 사이버 보험업자들이 다음과 같은 일을 할 것으로 예상된다고 말했습니다. 규제를 강화하다 조직이 개인 데이터 및 서비스 계정을 포함하여 권한 있는 계정에 보안을 구현하는 방법에 대해 그는 권한이 과도하게 부여되는 경향이 있으며 수년 동안 암호를 변경하지 않은 경우가 많다고 지적했습니다.

“귀하의 합당한 표준이 적용되는 귀하의 비즈니스, 관할권에 적용되는 개인 정보 보호법 및 법령을 준수하지 않는 경우, 우리는 귀하가 일치하지 않는 방식으로 데이터를 공유하고 있다는 사실을 다루지 않을 것입니다. 귀하의 개인 정보 보호 정책과 일치하지 않거나 법령과 일치하지 않습니다.”라고 Anderson은 말합니다.

강화를 인용해 개인 정보 보호법 캘리포니아와 워싱턴 같은 주에서는 사이버 보험사들이 조직에 포괄적인 개인 정보 보호 정책을 마련할 뿐만 아니라 정책을 준수한다는 사실을 입증할 수 있도록 요구하고 있다고 그는 말했습니다. 조직이 개인정보 보호정책으로 보호되는 데이터를 보호하지 못하면 보호를 받지 못할 수도 있습니다.

“보험에 들 수 없는 위험일 수도 있습니다.”라고 그는 말합니다. "이러한 청구는 방어 및 합의 관점에서 보면 끔찍할 정도로 비용이 많이 듭니다."

“보험사는 [사이버 보험 신청서에서] 예 또는 아니요 확인란 이상의 것을 찾을 것입니다. 이러한 제어 기능이 어디에 내장되어 있는지, 그리고 공급업체가 조직의 개인 정보 보호 정책에 명시된 것과 동일한 수준의 주의를 따르도록 강제하고 있는지 보여주어야 합니다.”라고 Anderson은 경고합니다.

3. 제XNUMX자 위험 관리

새로운 SEC 규정과 사이버 보험사의 요구 사항으로 인해 2024년 이사회의 우선 순위는 개인 정보 보호 위협이 높을 것이지만 다른 공급망 위협도 마찬가지입니다. 제XNUMX자 위험 관리(TPRM) 제공업체인 Prevalent의 글로벌 제품 및 서비스 수석 부사장인 Alastair Parr는 조직이 다음과 같은 관점에서 파트너를 식별하여 조달 프로그램을 구축해야 한다고 말합니다. 이 제XNUMX자가 어떻게 운영 탄력성 이점을 우리에게 제공할 수 있습니까?

Parr는 미래 지향적인 비전을 가진 사람들이 제3자 위험 관리(TPRM)와 종합적인 데이터를 살펴보고, 새롭게 등장하고 확대되는 규정 준수를 기반으로 데이터 유출이 무엇을 의미하는지 살펴봅니다. 그는 데이터 자체에 초점을 맞추기보다는 이를 다기능 공급업체 위험 관리 프레임워크라고 부르는 전체적인 접근 방식을 취할 것을 제안합니다.

"이사회가 이를 교차 기능적 프로그램, 즉 라이프사이클에 가까운 프로그램으로 생각하기 시작하자마자 질문해야 할 질문이 바뀌게 됩니다."라고 그는 말합니다. “그들은 조달 참여에 흥미를 느껴야 합니다. 데이터 자체를 위해 데이터를 두려워해서는 안 됩니다.”

Parr는 오늘날 대다수의 기업이 TPRM으로 인해 어려움을 겪고 있다고 말합니다. 왜냐하면 규정 준수, 운영 탄력성, 브랜드 영향 또는 데이터 침해와 관련된 평판 위험보다는 데이터 거버넌스 비용에 더 중점을 두기 때문입니다.

앞을

규제가 강화되는 환경에서 이제 CISO는 데이터 손실이나 개인정보 침해와 관계없이 데이터 침해에 대해 개인적으로 책임을 져야 합니다. 이에 대응하여 사이버 보험업자는 조직이 개인 데이터와 특권 계정을 보호하는 방법에 대한 규칙을 강화하고 있습니다. 규제 기관, 보험사, 최고 경영진의 공급망 위협에 대한 관심이 높아지면서 이 모든 일이 일어나고 있습니다.

내년에 이러한 과제를 해결하기 위해 CISO는 관련 조치와 결정을 문서화하는 시스템을 만들고, 포괄적이고 일관된 개인 정보 보호 정책을 수립 및 시행하고, 운영 탄력성 측면에서 제3자 파트너를 평가함으로써 조직과 자신을 보호해야 합니다.

CISO는 조달, 법무, 보안 팀과 함께 조직 전반에 걸쳐 협력함으로써 공급망 위협과 보험 비용이 비즈니스에 미치는 잠재적인 영향을 완화하고 스스로를 보호할 수 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024