Wraz z początkiem nowego roku CISO spotykają się ze swoimi zespołami ds. bezpieczeństwa i zarządem firmy, aby określić najważniejsze priorytety na rok 2024 i sposoby rozwiązania tych problemów. W tym roku – w obliczu mnóstwa nowych przepisów dotyczących prywatności, rozporządzeń Komisji Papierów Wartościowych i Giełd, zagrożeń cybernetycznych i nowych technologii obiecujących rozwiązanie tych zagrożeń – mogą nie spać, próbując optymalnie ułożyć przysłowiowe elementy strategii cyberbezpieczeństwa Tetris.
Ze wszystkich wyzwań stojących przed CISO, osobista i prawna odpowiedzialność za naruszenia danych nałożone przez SEC na CISO może być największym wyzwaniem w nowym roku, mówi Nicole Sundin, dyrektor ds. produktu w Axio. „W sytuacji, gdy CISO zostaną powołani do zarządu w celu omówienia tych zagrożeń, będą potrzebować systemu dokumentacji, aby chronić siebie i wykazać obowiązek zachowania ostrożności” – zauważa.
„Obecnie CISO prowadzą takie rozmowy, dokonują trudnych wyborów i postępują według własnego uznania, ale mogą one być udokumentowane lub nie” – mówi. „Dzięki jednemu źródłu prawdy lub systemowi rejestrów CISO mogą lepiej się chronić. W przeciwnym razie w dalszym ciągu będziemy świadkami głośnych incydentów, w przypadku których CISO, który nie posiada tego [zapisu wydarzeń i powodów, dla których miały miejsce], ponosi upadek”.
1. Broń się przed odpowiedzialnością osobistą
Sundin porównuje CISO do dyrektorów placówek służby zdrowia, którzy prowadzą szczegółową dokumentację wszystkich podejmowanych działań, aby bronić się przed roszczeniami z tytułu nadużyć. Biorąc pod uwagę, że wielu CISO nie jest objętych polisami ubezpieczeniowymi dla dyrektorów i urzędników korporacyjnych (D&O), byliby oni osobiście odpowiedzialni na podstawie nowe zasady SEC w przypadku wystąpienia naruszenia. Obejmuje to osobistą odpowiedzialność zarówno za naruszenie skutkujące utratą danych, jak i naruszenie prywatności bez utraty danych.
Sundin zaleca, aby CISO jak najszybciej podjęli następujące kroki:
-
Utwórz rekord systemowy. Może to być planer lub pamiętnik, w którym zapisywane jest każde działanie związane z potencjalnym zdarzeniem związanym z bezpieczeństwem wraz ze szczegółowym, chronologicznym opisem każdego podjętego działania i powodem jego podjęcia.
-
Stwórz korporacyjną definicję „istotności” przy udziale radcy prawnego lub dyrektora ds. ryzyka, aby ustalić jasne wytyczne dotyczące tego, co z prawnego punktu widzenia jest uważane za istotne dla inwestorów lub akcjonariuszy, a co nie.
-
Naucz się rozmawiać z zarządem i innych menedżerów pod względem finansowym. Poinformuj zarząd dokładnie, jakie środki kontroli bezpieczeństwa są wymagane, jakie są ich koszty i jakie są potencjalne straty dla firmy, jeśli nastąpi naruszenie z powodu braku środków kontroli bezpieczeństwa.
CISO muszą także być aktywnymi uczestnikami, gdy negocjowanie polis ubezpieczeniowych w zakresie cyberbezpieczeństwa– mówi Sundin. Zwykle CISO muszą podpisać się pod tym, co ostatecznie negocjuje główny radca prawny lub dyrektor finansowy, ale bez bezpośredniego wkładu – wraz z pisemnym zapisem swoich zaleceń – mogliby ponieść prawną odpowiedzialność za ochronę wykluczenia niepodlegającego ubezpieczeniu.
2. Monitoruj pojawiające się zagrożenia prywatności
Cyberubezpieczyciele skoncentrują się na naruszeniach prywatności w 2024 r., przewiduje David Anderson, wiceprezes ds. odpowiedzialności cybernetycznej w Woodruff Sawyer, krajowej firmie brokerskiej zajmującej się ubezpieczeniami. Anderson twierdzi, że tego oczekuje się od ubezpieczycieli cyberbezpieczeństwa zaostrzyć przepisy na temat sposobu, w jaki organizacje wdrażają zabezpieczenia prywatnych danych i kont uprzywilejowanych, w tym kont usług, które, jak zauważa, zwykle są nadmiernie uprzywilejowane i często nie zmieniano haseł od lat.
„Jeśli nie przestrzegasz przepisów i ustaw dotyczących prywatności mających zastosowanie do Twojej firmy, Twojej jurysdykcji, do której mają zastosowanie Twoje rozsądne standardy, nie będziemy omawiać faktu, że udostępniasz dane w sposób niezgodny z Twoją polityką prywatności lub jest niezgodna z prawem” – mówi Anderson.
Powołując się na zaostrzenie przepisy dotyczące prywatności twierdzi, że w stanach takich jak Kalifornia i Waszyngton ubezpieczyciele cybernetyczni wymagają od organizacji, aby nie tylko posiadały kompleksowe polityki prywatności, ale także były w stanie wykazać, że przestrzegają tych zasad. Jeśli organizacje nie będą chronić danych chronionych przez swoją politykę prywatności, mogą zostać pozbawione tej ochrony.
„Może to być ryzyko, którego nie można ubezpieczyć” – mówi. „Te roszczenia są przerażająco drogie z punktu widzenia obrony i ugody”.
„Ubezpieczyciel będzie szukał czegoś więcej niż tylko pola wyboru „tak” lub „nie” [we wniosku o ubezpieczenie cybernetyczne]. Będziesz musiał pokazać, gdzie są wbudowane te kontrole [i] gdzie zmuszasz dostawców do przestrzegania tego samego poziomu staranności”, jak nakazuje polityka prywatności Twojej organizacji, ostrzega Anderson.
3. Zarządzaj ryzykiem stron trzecich
Choć zagrożenia dla prywatności będą jednym z priorytetów dyrektorów na rok 2024 dzięki nowym regulacjom SEC i wymaganiom cyberubezpieczycieli, podobnie będzie z innymi zagrożeniami w łańcuchu dostaw. Alastair Parr, starszy wiceprezes ds. globalnych produktów i usług w firmie Prevalent, dostawcy usług zarządzania ryzykiem przez strony trzecie (TPRM), twierdzi, że organizacje powinny budować swoje programy zaopatrzenia, identyfikując partnerów z perspektywy: W jaki sposób ta strona trzecia może zapewnić nam korzyści w zakresie odporności operacyjnej?
Myślący przyszłościowo wizjonerzy przyglądają się zarządzaniu ryzykiem przez strony trzecie (TPRM) i danym zbiorczym oraz temu, co oznaczają naruszenia danych w oparciu o pojawiającą się i rozszerzającą się zgodność z przepisami, powiedział Parr. Zamiast skupiać się na samych danych, sugeruje przyjęcie podejścia całościowego, nazywając je wielofunkcyjnymi ramami zarządzania ryzykiem dostawców.
„Gdy tylko zarząd zacznie myśleć o tym jako o programie obejmującym wiele funkcji, bardziej kompleksowy program – bardziej cykl życia – który zmieni pytania, które powinni zadawać” – mówi. „Powinni być podekscytowani zaangażowaniem w zamówienia. Nie powinni bać się danych dla samych danych”.
Parr twierdzi, że zdecydowana większość firm boryka się obecnie z problemem TPRM, ponieważ skupiają się one bardziej na kosztach zarządzania danymi niż na zgodności z przepisami, odporności operacyjnej, wpływie na markę czy ryzyku reputacji związanym z naruszeniami danych.
Patrząc w przyszłość
W środowisku zaostrzonych przepisów CISO ponoszą obecnie osobistą odpowiedzialność za naruszenia danych, niezależnie od tego, czy wiążą się one z utratą danych, czy naruszeniem prywatności. W odpowiedzi ubezpieczyciele cyberubezpieczeń zaostrzają swoje zasady dotyczące sposobu, w jaki organizacje powinny chronić prywatne dane i konta uprzywilejowane. A wszystko to dzieje się przy zwiększonej uwadze organów regulacyjnych, ubezpieczycieli i kadry kierowniczej na zagrożeniach w łańcuchu dostaw.
Aby sprostać tym wyzwaniom w nadchodzącym roku, CISO muszą chronić swoją organizację i siebie, tworząc system dokumentowania odpowiednich działań i decyzji, ustanawiając i egzekwując kompleksową i spójną politykę prywatności oraz oceniając swoich partnerów zewnętrznych pod kątem odporności operacyjnej.
Współpracując w całej organizacji z zespołami ds. zaopatrzenia, prawnymi i bezpieczeństwa, CISO mogą złagodzić potencjalny wpływ zagrożeń w łańcuchu dostaw i kosztów ubezpieczenia na swoją działalność, a także zabezpieczyć się.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- :ma
- :Jest
- :nie
- :Gdzie
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- Zdolny
- O nas
- o tym
- Konta
- w poprzek
- działać
- Działania
- działania
- aktywny
- adres
- przylegać
- przylegający
- przed
- agregat
- wyrównany
- Wszystkie kategorie
- również
- an
- i
- anderson
- odpowiedni
- Zastosowanie
- dotyczy
- podejście
- SĄ
- AS
- pytanie
- oceniając
- powiązany
- At
- Uwaga
- na podstawie
- BE
- bo
- stają się
- jest
- Korzyści
- Ulepsz Swój
- deska
- Rada dyrektorów
- obie
- marka
- naruszenie
- naruszenia
- pośrednictwo
- budować
- biznes
- ale
- by
- Pakiet C.
- California
- powołanie
- CAN
- który
- Cfo
- łańcuch
- wyzwania
- wyzwanie
- zmieniony
- Zmiany
- szef
- dyrektor ds. produktu
- wybory
- Okrągłe
- CISO
- roszczenia
- jasny
- przyjście
- prowizja
- Firmy
- sukcesy firma
- spełnienie
- wszechstronny
- za
- wobec
- zgodny
- kontynuować
- kontroli
- rozmowy
- Korporacyjny
- Koszty:
- Koszty:
- mógłby
- rada
- pokrywa
- pokrycie
- pokryty
- Tworzenie
- Krzyż
- Obecnie
- cyber
- Bezpieczeństwo cybernetyczne
- dane
- Naruszenie danych
- Utrata danych
- David
- Decyzje
- Obrona
- definicja
- wymagający
- wykazać
- opis
- szczegółowe
- dyktować
- trudny
- kierować
- Dyrektorzy
- dyskutować
- dokument
- udokumentowane
- robi
- z powodu
- każdy
- podniesiony
- osadzone
- wschodzących
- Egzekwowanie
- Środowisko
- zapewniają
- ustanowienie
- Eter (ETH)
- wydarzenia
- Każdy
- dokładnie
- wymiana
- Wymiana Komisji
- podniecony
- kierownictwo
- rozszerzenie
- spodziewany
- drogi
- fakt
- FAIL
- Spadać
- budżetowy
- Znajdź
- Skupiać
- skupienie
- obserwuj
- następujący
- W razie zamówieenia projektu
- zmuszając
- Framework
- od
- funkcjonalny
- zbierać
- Ogólne
- miejsce
- Globalne
- będzie
- zarządzanie
- wytyczne
- miał
- Wydarzenie
- Have
- mający
- he
- opieki zdrowotnej
- Trzymany
- Wysoki
- wysoki profil
- holistyczne
- W jaki sposób
- How To
- HTTPS
- ICON
- identyfikacja
- if
- Rezultat
- wdrożenia
- in
- incydent
- incydenty
- obejmuje
- Włącznie z
- wzrosła
- wkład
- ubezpieczenie
- Ubezpieczyciele
- Inwestorzy
- angażować
- Zaangażowanie
- problemy
- IT
- samo
- jpg
- jurysdykcja
- właśnie
- Trzymać
- Laws
- Regulamin
- prawnie
- poziom
- odpowiedzialność
- wifecycwe
- Popatrz
- utraty
- od
- Większość
- robić
- zarządzanie
- i konserwacjami
- wiele
- materialnie
- Może..
- oznaczać
- Poznaj nasz
- może
- Złagodzić
- monitor
- jeszcze
- większość
- wielość
- musi
- narodowy
- niezbędny
- Potrzebować
- Nowości
- Nowe technologie
- nowy rok
- Nie
- normalnie
- Uwagi
- już dziś
- of
- poza
- oferta
- Oficer
- Oficerowie
- często
- on
- tylko
- operacyjny
- odporność operacyjna
- or
- zamówienie
- organizacja
- organizacji
- Inne
- Inaczej
- na zewnątrz
- Uczestnicy
- wzmacniacz
- przyjęcie
- hasła
- osobisty
- Osobiście
- perspektywa
- sztuk
- Miejsce
- umieszczony
- plato
- Analiza danych Platona
- PlatoDane
- polityka
- polityka
- możliwy
- potencjał
- Prognozy
- prezydent
- rozpowszechniony
- prywatność
- Naruszenie prywatności
- przepisy dotyczące prywatności
- Polityka prywatności
- Zagrożenia prywatności
- prywatny
- uprzywilejowany
- Zamówień
- Produkt
- Produkty
- Produkty i usługi
- Program
- Programy
- obiecujący
- chronić
- chroniony
- ochrony
- dostawca
- pytania
- raczej
- RE
- rozsądny
- Przyczyny
- zalecenia
- zaleca
- rekord
- nagrany
- dokumentacja
- Bez względu
- Regulacja
- regulamin
- Regulatory
- regulacyjne
- Zgodność z przepisami
- wymagany
- wymagania
- sprężystość
- odpowiedź
- odpowiedzialność
- Ryzyko
- Zarządzanie ryzykiem
- ryzyko
- reguły
- s
- Powiedział
- wzgląd
- taki sam
- mówią
- bać
- zakres
- SEK
- Papiery wartościowe
- Papierów Wartościowych i Giełd
- bezpieczeństwo
- widzieć
- senior
- usługa
- Usługi
- osada
- Akcjonariusze
- dzielenie
- ona
- powinien
- pokazać
- znak
- znaczący
- pojedynczy
- spać
- So
- ROZWIĄZANIA
- Wkrótce
- Źródło
- mówić
- stos
- standard
- rozpocznie
- Zjednoczone
- Cel
- Strategia
- Walka
- taki
- Wskazuje
- dostawca
- Dostawa
- łańcuch dostaw
- system
- system ewidencji
- T
- Brać
- Zadania
- trwa
- biorąc
- Zespoły
- Technologies
- powiedzieć
- Tendencję
- REGULAMIN
- niż
- dzięki
- że
- Połączenia
- ich
- sami
- Te
- one
- Myślący
- Trzeci
- innych firm
- to
- w tym roku
- tych
- zagrożenia
- dokręcanie
- do
- już dziś
- także
- Top
- Prawda
- stara
- Ostatecznie
- dla
- ubezpieczyciele
- us
- Naprawiono
- sprzedawców
- wice
- Wiceprezes
- Naruszenia
- wizjonerzy
- Ostrzega
- Waszyngton
- Droga..
- we
- były
- Co
- Co to jest
- jeśli chodzi o komunikację i motywację
- czy
- który
- KIM
- dlaczego
- będzie
- w
- bez
- pracujący
- by
- napisany
- rok
- lat
- tak
- ty
- Twój
- siebie
- zefirnet