3 najważniejsze priorytety CISO w 2024 r

Wraz z początkiem nowego roku CISO spotykają się ze swoimi zespołami ds. bezpieczeństwa i zarządem firmy, aby określić najważniejsze priorytety na rok 2024 i sposoby rozwiązania tych problemów. W tym roku – w obliczu mnóstwa nowych przepisów dotyczących prywatności, rozporządzeń Komisji Papierów Wartościowych i Giełd, zagrożeń cybernetycznych i nowych technologii obiecujących rozwiązanie tych zagrożeń – mogą nie spać, próbując optymalnie ułożyć przysłowiowe elementy strategii cyberbezpieczeństwa Tetris.

Ze wszystkich wyzwań stojących przed CISO, osobista i prawna odpowiedzialność za naruszenia danych nałożone przez SEC na CISO może być największym wyzwaniem w nowym roku, mówi Nicole Sundin, dyrektor ds. produktu w Axio. „W sytuacji, gdy CISO zostaną powołani do zarządu w celu omówienia tych zagrożeń, będą potrzebować systemu dokumentacji, aby chronić siebie i wykazać obowiązek zachowania ostrożności” – zauważa.

„Obecnie CISO prowadzą takie rozmowy, dokonują trudnych wyborów i postępują według własnego uznania, ale mogą one być udokumentowane lub nie” – mówi. „Dzięki jednemu źródłu prawdy lub systemowi rejestrów CISO mogą lepiej się chronić. W przeciwnym razie w dalszym ciągu będziemy świadkami głośnych incydentów, w przypadku których CISO, który nie posiada tego [zapisu wydarzeń i powodów, dla których miały miejsce], ponosi upadek”.

1. Broń się przed odpowiedzialnością osobistą

Sundin porównuje CISO do dyrektorów placówek służby zdrowia, którzy prowadzą szczegółową dokumentację wszystkich podejmowanych działań, aby bronić się przed roszczeniami z tytułu nadużyć. Biorąc pod uwagę, że wielu CISO nie jest objętych polisami ubezpieczeniowymi dla dyrektorów i urzędników korporacyjnych (D&O), byliby oni osobiście odpowiedzialni na podstawie nowe zasady SEC w przypadku wystąpienia naruszenia. Obejmuje to osobistą odpowiedzialność zarówno za naruszenie skutkujące utratą danych, jak i naruszenie prywatności bez utraty danych.

Sundin zaleca, aby CISO jak najszybciej podjęli następujące kroki:

CISO muszą także być aktywnymi uczestnikami, gdy negocjowanie polis ubezpieczeniowych w zakresie cyberbezpieczeństwa– mówi Sundin. Zwykle CISO muszą podpisać się pod tym, co ostatecznie negocjuje główny radca prawny lub dyrektor finansowy, ale bez bezpośredniego wkładu – wraz z pisemnym zapisem swoich zaleceń – mogliby ponieść prawną odpowiedzialność za ochronę wykluczenia niepodlegającego ubezpieczeniu.

2. Monitoruj pojawiające się zagrożenia prywatności

Cyberubezpieczyciele skoncentrują się na naruszeniach prywatności w 2024 r., przewiduje David Anderson, wiceprezes ds. odpowiedzialności cybernetycznej w Woodruff Sawyer, krajowej firmie brokerskiej zajmującej się ubezpieczeniami. Anderson twierdzi, że tego oczekuje się od ubezpieczycieli cyberbezpieczeństwa zaostrzyć przepisy na temat sposobu, w jaki organizacje wdrażają zabezpieczenia prywatnych danych i kont uprzywilejowanych, w tym kont usług, które, jak zauważa, zwykle są nadmiernie uprzywilejowane i często nie zmieniano haseł od lat.

„Jeśli nie przestrzegasz przepisów i ustaw dotyczących prywatności mających zastosowanie do Twojej firmy, Twojej jurysdykcji, do której mają zastosowanie Twoje rozsądne standardy, nie będziemy omawiać faktu, że udostępniasz dane w sposób niezgodny z Twoją polityką prywatności lub jest niezgodna z prawem” – mówi Anderson.

Powołując się na zaostrzenie przepisy dotyczące prywatności twierdzi, że w stanach takich jak Kalifornia i Waszyngton ubezpieczyciele cybernetyczni wymagają od organizacji, aby nie tylko posiadały kompleksowe polityki prywatności, ale także były w stanie wykazać, że przestrzegają tych zasad. Jeśli organizacje nie będą chronić danych chronionych przez swoją politykę prywatności, mogą zostać pozbawione tej ochrony.

„Może to być ryzyko, którego nie można ubezpieczyć” – mówi. „Te roszczenia są przerażająco drogie z punktu widzenia obrony i ugody”.

„Ubezpieczyciel będzie szukał czegoś więcej niż tylko pola wyboru „tak” lub „nie” [we wniosku o ubezpieczenie cybernetyczne]. Będziesz musiał pokazać, gdzie są wbudowane te kontrole [i] gdzie zmuszasz dostawców do przestrzegania tego samego poziomu staranności”, jak nakazuje polityka prywatności Twojej organizacji, ostrzega Anderson.

3. Zarządzaj ryzykiem stron trzecich

Choć zagrożenia dla prywatności będą jednym z priorytetów dyrektorów na rok 2024 dzięki nowym regulacjom SEC i wymaganiom cyberubezpieczycieli, podobnie będzie z innymi zagrożeniami w łańcuchu dostaw. Alastair Parr, starszy wiceprezes ds. globalnych produktów i usług w firmie Prevalent, dostawcy usług zarządzania ryzykiem przez strony trzecie (TPRM), twierdzi, że organizacje powinny budować swoje programy zaopatrzenia, identyfikując partnerów z perspektywy: W jaki sposób ta strona trzecia może zapewnić nam korzyści w zakresie odporności operacyjnej?

Myślący przyszłościowo wizjonerzy przyglądają się zarządzaniu ryzykiem przez strony trzecie (TPRM) i danym zbiorczym oraz temu, co oznaczają naruszenia danych w oparciu o pojawiającą się i rozszerzającą się zgodność z przepisami, powiedział Parr. Zamiast skupiać się na samych danych, sugeruje przyjęcie podejścia całościowego, nazywając je wielofunkcyjnymi ramami zarządzania ryzykiem dostawców.

„Gdy tylko zarząd zacznie myśleć o tym jako o programie obejmującym wiele funkcji, bardziej kompleksowy program – bardziej cykl życia – który zmieni pytania, które powinni zadawać” – mówi. „Powinni być podekscytowani zaangażowaniem w zamówienia. Nie powinni bać się danych dla samych danych”.

Parr twierdzi, że zdecydowana większość firm boryka się obecnie z problemem TPRM, ponieważ skupiają się one bardziej na kosztach zarządzania danymi niż na zgodności z przepisami, odporności operacyjnej, wpływie na markę czy ryzyku reputacji związanym z naruszeniami danych.

Patrząc w przyszłość

W środowisku zaostrzonych przepisów CISO ponoszą obecnie osobistą odpowiedzialność za naruszenia danych, niezależnie od tego, czy wiążą się one z utratą danych, czy naruszeniem prywatności. W odpowiedzi ubezpieczyciele cyberubezpieczeń zaostrzają swoje zasady dotyczące sposobu, w jaki organizacje powinny chronić prywatne dane i konta uprzywilejowane. A wszystko to dzieje się przy zwiększonej uwadze organów regulacyjnych, ubezpieczycieli i kadry kierowniczej na zagrożeniach w łańcuchu dostaw.

Aby sprostać tym wyzwaniom w nadchodzącym roku, CISO muszą chronić swoją organizację i siebie, tworząc system dokumentowania odpowiednich działań i decyzji, ustanawiając i egzekwując kompleksową i spójną politykę prywatności oraz oceniając swoich partnerów zewnętrznych pod kątem odporności operacyjnej.

Współpracując w całej organizacji z zespołami ds. zaopatrzenia, prawnymi i bezpieczeństwa, CISO mogą złagodzić potencjalny wpływ zagrożeń w łańcuchu dostaw i kosztów ubezpieczenia na swoją działalność, a także zabezpieczyć się.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024