Når det nye året begynner, samles CISO-er med sikkerhetsteamene og bedriftsledelsen for å finne toppprioriteringer for 2024 og hvordan de skal løse disse problemene. I år – med en rekke nye personvernlover, Securities and Exchange Commission-forskrifter, cybertrusler og nye teknologier som lover å løse disse truslene – kan de miste søvnen og prøve å stable de velkjente Tetris-delene av cybersikkerhetsstrategien optimalt.
Av alle utfordringene som kjemper om CISOs oppmerksomhet, kan det personlige og juridiske ansvaret for datainnbrudd SEC har lagt på CISOer være det mest utfordrende på det nye året, sier Nicole Sundin, produktsjef hos Axio. "Når CISO-er blir hevet til styrerommet for å diskutere disse risikoene, vil de trenge et system for å beskytte seg selv og vise omsorgsplikt," bemerker hun.
"Foreløpig har CISOer disse samtalene, tar vanskelige valg og handler som de ser nødvendig - men disse kan være dokumentert eller ikke," sier hun. "Ved å ha en enkelt kilde til sannhet eller et system for registrering, kan CISOer bedre beskytte seg selv. Ellers vil vi fortsette å se høyprofilerte hendelser der en CISO som ikke har denne [registreringen av hendelser og hvorfor de ble tatt] på plass, tar fallet."
1. Forsvar deg mot personlig ansvar
Sundin sammenligner CISOer med ledere i helsevesenet, som fører detaljerte journaler over hver handling de tar for å forsvare seg mot påstander om overtredelse. Tatt i betraktning at mange CISOer ikke er dekket av bedriftsdirektører og offiserer (D&O) forsikringer, vil de være personlig ansvarlige i henhold til nye SEC-regler dersom et brudd oppstår. Det inkluderer personlig ansvar for både et brudd med tap av data eller et brudd på personvernet uten tap av data.
Sundin anbefaler at CISOer tar følgende skritt så snart som mulig:
-
Opprett en systempost. Det kan være en planlegger eller dagbok der hver handling knyttet til en potensiell sikkerhetshendelse registreres med en detaljert, kronologisk beskrivelse av hver handling som er tatt og årsakene til at de ble utført.
-
Lag en bedriftsdefinisjon for "vesentlighet", med innspill fra generaladvokaten eller risikosjefen, for å etablere klare retningslinjer for hva som juridisk anses som vesentlig for investorer eller aksjonærer og hva som ikke er det.
-
Lær å snakke med styret og andre ledere i økonomiske termer. Fortell styret nøyaktig hvilke sikkerhetskontroller som kreves, deres kostnader og det potensielle tapet for selskapet hvis et brudd oppstår på grunn av at sikkerhetskontrollene ikke er på plass.
CISOer må også være aktive deltakere når forhandle cyberforsikringer, sier Sundin. Normalt må CISO-er signere på det generaladvokaten eller finansdirektøren til slutt forhandler om, men uten å ha direkte innspill - med en skriftlig oversikt over anbefalingene deres - kan de bli juridisk ansvarlige for å beskytte en ikke-forsikringsbar eksklusjon.
2. Overvåk nye personverntrusler
Cyberforsikringsselskaper vil fokusere på brudd på personvernet i 2024, spår David Anderson, visepresident for nettansvar hos Woodruff Sawyer, et nasjonalt forsikringsmeglerhus. Anderson sier at det forventes at cyberforsikringsgarantister vil gjøre det skjerpe regelverket om hvordan organisasjoner implementerer sikkerhet på private data og privilegerte kontoer, inkludert tjenestekontoer, som han bemerker, har en tendens til å være overprivilegert og ofte ikke har fått endret passord på flere år.
"Hvis du ikke overholder personvernlovene og vedtektene som gjelder for virksomheten din, for din jurisdiksjon, som din rimelige standard gjelder for, kommer vi ikke til å dekke det faktum at du deler data på en måte som ikke er tilpasset med personvernreglene dine eller ikke er i samsvar med lover, sier Anderson.
Siterer innstrammingen personvernlover i stater som California og Washington, sier han at cyberforsikringsselskaper krever at organisasjoner ikke bare har omfattende personvernregler på plass, men at de kan demonstrere at de følger retningslinjene deres. Hvis organisasjoner ikke klarer å beskytte data som er beskyttet av personvernreglene deres, kan de finne seg selv uten dekningen.
"Det kan være en uforsikrelig risiko," sier han. "Disse påstandene er fryktelig dyre fra et forsvars- og oppgjørsperspektiv."
"Tekeforsikringsgiveren kommer til å se etter mer enn bare en ja eller nei-avmerkingsboks [på en nettforsikringsapplikasjon]. Du må vise hvor disse kontrollene er innebygd [og] hvor du tvinger leverandørene dine til å følge samme grad av omsorg» som organisasjonens personvernregler tilsier, advarer Anderson.
3. Administrer tredjepartsrisikoer
Selv om personverntrusler vil være høye på styrets prioriteringer for 2024 takket være de nye SEC-forskriftene og cyberforsikringsselskapenes krav, vil også andre trusler i forsyningskjeden være det. Alastair Parr, senior visepresident for globale produkter og tjenester hos tredjeparts risikostyringsleverandør (TPRM) Prevalent, sier at organisasjoner bør bygge sine innkjøpsprogrammer ved å identifisere partnere fra perspektivet av: Hvordan kan denne tredjeparten tilby driftsmessige fordeler for oss?
Fremtidstenkende visjonærer ser på tredjeparts risikostyring (TPRM) og data samlet og hva datainnbrudd betyr basert på nye og utvidende regelverksoverholdelse, sa Parr. I stedet for å fokusere på selve dataene, foreslår han å ta en helhetlig tilnærming, og kaller det et tverrfunksjonelt leverandørrisikostyringsrammeverk.
"Så snart styret begynner å tenke på det som tverrfunksjonelt, vil et mer omfattende program - mer en livssyklus - endre spørsmålene de bør stille," sier han. "De burde bli begeistret for anskaffelsesengasjementet. De bør ikke være redde for data for dataens skyld."
De aller fleste bedrifter i dag sliter med TPRM, sier Parr, fordi de fokuserer mer på kostnadene ved datastyring enn på regeloverholdelse, operasjonell motstandskraft, merkevarepåvirkning eller omdømmerisiko forbundet med datainnbrudd.
Ser fremover
I miljøet med økt regulering blir CISO-er nå holdt personlig ansvarlige for datainnbrudd, uavhengig av om de innebærer tap av data eller brudd på personvernet. Som svar strammer cyberforsikringsforsikringsgivere inn reglene for hvordan organisasjoner skal beskytte private data og privilegerte kontoer. Og alt dette skjer med økt oppmerksomhet fra regulatorer, forsikringsselskaper og C-suiten til trusler i forsyningskjeden.
For å møte disse utfordringene i det kommende året, må CISO-er beskytte sin organisasjon og seg selv ved å lage et system for å dokumentere relevante handlinger og beslutninger, etablere og håndheve omfattende og konsistente personvernregler, og vurdere deres tredjepartspartnere når det gjelder operativ motstandskraft.
Ved å jobbe på tvers av organisasjonen med anskaffelses-, juridiske og sikkerhetsteam, kan CISO-er redusere den potensielle effekten av forsyningskjedetrusler og forsikringskostnader på virksomheten deres – og dekke seg selv også.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- : har
- :er
- :ikke
- :hvor
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- I stand
- Om oss
- om det
- kontoer
- tvers
- Handling
- Handling
- handlinger
- aktiv
- adresse
- overholde
- fester seg
- mot
- aggregat
- justert
- Alle
- også
- an
- og
- anderson
- aktuelt
- Søknad
- gjelder
- tilnærming
- ER
- AS
- spør
- vurdere
- assosiert
- At
- oppmerksomhet
- basert
- BE
- fordi
- bli
- være
- Fordeler
- Bedre
- borde
- styret
- både
- merke
- brudd
- brudd
- megling
- bygge
- virksomhet
- men
- by
- C-suite
- california
- ringer
- CAN
- hvilken
- cfo
- kjede
- utfordringer
- utfordrende
- endret
- Endringer
- sjef
- produktsjef
- valg
- Circle
- CISO
- krav
- fjerne
- kommer
- kommisjon
- Selskaper
- Selskapet
- samsvar
- omfattende
- ansett
- vurderer
- konsistent
- fortsette
- kontroller
- samtaler
- Bedriftens
- Kostnad
- Kostnader
- kunne
- råd
- dekke
- dekning
- dekket
- Opprette
- Kryss
- I dag
- cyber
- Cybersecurity
- dato
- Databrudd
- Data Loss
- David
- avgjørelser
- Forsvar
- definisjon
- krevende
- demonstrere
- beskrivelse
- detaljert
- diktere
- vanskelig
- direkte
- Styremedlemmer
- diskutere
- dokument
- dokumentert
- doesn
- to
- hver enkelt
- forhøyet
- innebygd
- Emery
- håndheving
- Miljø
- etablere
- etablere
- Eter (ETH)
- hendelser
- Hver
- nøyaktig
- utveksling
- Utvekslingskommisjonen
- opphisset
- ledere
- ekspanderende
- forventet
- dyrt
- Faktisk
- FAIL
- Fall
- finansiell
- Finn
- Fokus
- fokusering
- følge
- etter
- Til
- tvang
- Rammeverk
- fra
- funksjonelle
- samle
- general
- få
- Global
- skal
- styresett
- retningslinjer
- HAD
- Skjer
- Ha
- å ha
- he
- helsetjenester
- Held
- Høy
- høy profil
- helhetlig
- Hvordan
- Hvordan
- HTTPS
- ICON
- identifisering
- if
- Påvirkning
- iverksette
- in
- hendelse
- hendelser
- inkluderer
- Inkludert
- økt
- inngang
- forsikring
- forsikringsselskaper
- Investorer
- involvere
- engasjement
- saker
- IT
- selv
- jpg
- jurisdiksjon
- bare
- Hold
- Lover
- Lovlig
- lovlig
- Nivå
- ansvar
- Livssyklus
- Se
- å miste
- tap
- Flertall
- gjøre
- administrer
- ledelse
- mange
- materielt
- Kan..
- bety
- Møt
- kunne
- Minske
- Overvåke
- mer
- mest
- mangfold
- må
- nasjonal
- nødvendig
- Trenger
- Ny
- Ny teknologi
- nytt år
- Nei.
- normalt
- Merknader
- nå
- of
- off
- tilby
- Offiser
- offiserer
- ofte
- on
- bare
- operasjonell
- operativ motstandskraft
- or
- rekkefølge
- organisasjon
- organisasjoner
- Annen
- ellers
- ut
- deltakere
- partnere
- parti
- passord
- personlig
- personlig
- perspektiv
- stykker
- Sted
- plasseres
- plato
- Platon Data Intelligence
- PlatonData
- Politikk
- politikk
- mulig
- potensiell
- spår
- president
- utbredt
- privatliv
- Personvernbrudd
- personvernlover
- personvernregler
- Personverntrusler
- privat
- privilegert
- innkjøp
- Produkt
- Produkter
- Produkter og tjenester
- program
- programmer
- lovende
- beskytte
- beskyttet
- beskytte
- leverandør
- spørsmål
- heller
- RE
- rimelig
- grunner
- anbefalinger
- anbefaler
- rekord
- registrert
- poster
- Uansett
- Regulering
- forskrifter
- Regulatorer
- regulatorer
- Overholdelse av regelverk
- relevant
- påkrevd
- Krav
- resiliens
- svar
- ansvar
- Risiko
- risikostyring
- risikoer
- regler
- s
- Sa
- sake
- samme
- sier
- redd
- omfang
- SEK
- Verdipapirer
- Securities and Exchange Commission
- sikkerhet
- se
- senior
- tjeneste
- Tjenester
- bosetting
- aksjonærer
- deling
- hun
- bør
- Vis
- undertegne
- signifikant
- enkelt
- sove
- So
- LØSE
- Snart
- kilde
- snakke
- stable
- Standard
- starter
- Stater
- Steps
- Strategi
- Sliter
- slik
- foreslår
- leverandør
- levere
- forsyningskjeden
- system
- system av posten
- T
- Ta
- tatt
- tar
- ta
- lag
- Technologies
- fortelle
- tendens
- vilkår
- enn
- Takk
- Det
- De
- deres
- seg
- Disse
- de
- tenker
- Tredje
- tredjeparts
- denne
- dette året
- De
- trusler
- innstramming
- til
- i dag
- også
- topp
- Sannhet
- prøver
- Til syvende og sist
- etter
- garantistene
- us
- enorme
- leverandører
- vice
- Vice President
- Brudd
- visjonærer
- advarer
- washington
- Vei..
- we
- var
- Hva
- Hva er
- når
- om
- hvilken
- HVEM
- hvorfor
- vil
- med
- uten
- arbeid
- ville
- skrevet
- år
- år
- ja
- du
- Din
- deg selv
- zephyrnet
