As 3 principais prioridades para CISOs em 2024

À medida que o novo ano começa, os CISOs reúnem-se com as suas equipas de segurança e gestão corporativa para definir as principais prioridades para 2024 e como abordar estas questões. Este ano – com uma infinidade de novas leis de privacidade, regulamentos da Comissão de Valores Mobiliários, ameaças cibernéticas e novas tecnologias prometendo resolver essas ameaças – eles podem estar perdendo o sono tentando empilhar de forma otimizada as proverbiais peças Tetris da estratégia de segurança cibernética.

De todos os desafios que disputam a atenção do CISO, a responsabilidade pessoal e legal pelas violações de dados que a SEC atribuiu aos CISO pode ser o mais desafiador no novo ano, diz Nicole Sundin, diretora de produtos da Axio. “Com os CISOs sendo elevados à sala de reuniões para discutir esses riscos, eles precisarão de um sistema de registro para se protegerem e demonstrarem o dever de diligência”, observa ela.

“Atualmente, os CISOs têm essas conversas, fazem escolhas difíceis e agem conforme consideram necessário – mas isso pode ou não ser documentado”, diz ela. “Ao ter uma única fonte de verdade ou um sistema de registro, os CISOs podem se proteger melhor. Caso contrário, continuaremos a ver incidentes de alto perfil em que um CISO que não tenha este [registro de eventos e por que eles foram realizados] assumirá a responsabilidade.”

1. Defenda-se contra responsabilidades pessoais

Sundin compara os CISOs aos executivos do setor de saúde, que mantêm registros detalhados de todas as ações que tomam para se defenderem contra alegações de prevaricação. Considerando que muitos CISOs não estão cobertos pelas apólices de seguro de diretores e executivos corporativos (D&O), eles seriam pessoalmente responsáveis ​​sob novas regras da SEC caso ocorra uma violação. Isso inclui responsabilidade pessoal por violação com perda de dados ou violação de privacidade sem perda de dados.

Sundin recomenda que os CISOs tomem as seguintes medidas o mais rápido possível:

Os CISOs também devem ser participantes ativos quando negociação de apólices de seguro cibernético, diz Sundin. Normalmente, os CISOs precisam de assinar o que o conselho geral ou o CFO negocia, em última análise, mas sem ter participação direta – com um registo escrito das suas recomendações – podem tornar-se legalmente responsáveis ​​pela proteção de uma exclusão não segurável.

2. Monitore ameaças emergentes à privacidade

As seguradoras cibernéticas se concentrarão nas violações de privacidade em 2024, prevê David Anderson, vice-presidente de responsabilidade cibernética da Woodruff Sawyer, uma corretora de seguros nacional. Anderson diz que espera-se que os subscritores de seguros cibernéticos endurecer regulamentos sobre como as organizações implementam segurança em dados privados e contas privilegiadas, incluindo contas de serviço, que ele observa, tendem a ser excessivamente privilegiadas e muitas vezes não têm suas senhas alteradas há anos.

“Se você não estiver cumprindo as leis e estatutos de privacidade aplicáveis ​​ao seu negócio, à sua jurisdição, aos quais se aplica seu padrão razoável, não cobriremos o fato de que você está compartilhando dados de uma forma que não está alinhada está de acordo com sua política de privacidade ou não está alinhado com o estatuto”, diz Anderson.

Citando o aperto leis de privacidade em estados como Califórnia e Washington, ele diz que as seguradoras cibernéticas estão exigindo que as organizações não apenas tenham políticas de privacidade abrangentes, mas sejam capazes de demonstrar que seguem suas políticas. Se as organizações não protegerem os dados protegidos pela sua política de privacidade, poderão ficar sem cobertura.

“Pode ser um risco insegurável”, diz ele. “Essas reivindicações são terrivelmente caras do ponto de vista da defesa e do acordo.”

“O subscritor procurará mais do que apenas uma caixa de seleção de sim ou não [em um aplicativo de seguro cibernético]. Você terá que mostrar onde esses controles estão incorporados [e] onde você está forçando seus fornecedores a aderir ao mesmo nível de cuidado” conforme determinam as políticas de privacidade da sua organização, alerta Anderson.

3. Gerenciar riscos de terceiros

Embora as ameaças à privacidade estejam no topo das prioridades dos conselhos de administração para 2024, graças aos novos regulamentos da SEC e aos requisitos das seguradoras cibernéticas, o mesmo acontecerá com outras ameaças à cadeia de abastecimento. Alastair Parr, vice-presidente sênior de produtos e serviços globais do provedor de gerenciamento de riscos terceirizados (TPRM), Prevalent, diz que as organizações devem construir seus programas de compras identificando parceiros da perspectiva de: Como esse terceiro pode nos oferecer benefícios de resiliência operacional?

Visionários com visão de futuro analisam o gerenciamento de riscos de terceiros (TPRM) e os dados de forma agregada e o que significam as violações de dados com base na conformidade regulatória emergente e em expansão, disse Parr. Em vez de focar nos dados em si, ele sugere adotar uma abordagem holística, chamando-a de estrutura multifuncional de gestão de riscos de fornecedores.

“Assim que o conselho começar a pensar nisso como multifuncional, um programa mais abrangente – mais como um ciclo de vida – que muda as perguntas que deveriam fazer”, diz ele. “Eles deveriam estar entusiasmados com o envolvimento nas aquisições. Eles não deveriam ter medo dos dados pelos dados.”

A grande maioria das empresas hoje enfrenta dificuldades com o TPRM, diz Parr, porque se concentram mais no custo da governação de dados do que na conformidade regulamentar, na resiliência operacional, no impacto da marca ou no risco de reputação associado às violações de dados.

Olhando para o futuro

Num ambiente de maior regulamentação, os CISOs são agora pessoalmente responsabilizados por violações de dados, independentemente de envolverem perda de dados ou violações de privacidade. Em resposta, os subscritores de seguros cibernéticos estão a reforçar as suas regras sobre como as organizações devem proteger dados privados e contas privilegiadas. E tudo isto está a acontecer com uma atenção cada vez maior por parte dos reguladores, das seguradoras e dos executivos de alto escalão às ameaças à cadeia de abastecimento.

Para enfrentar estes desafios no próximo ano, os CISOs precisam de proteger a sua organização e a si próprios, criando um sistema para documentar ações e decisões relevantes, estabelecendo e aplicando políticas de privacidade abrangentes e consistentes e avaliando os seus parceiros terceiros em termos de resiliência operacional.

Ao trabalhar em toda a organização com equipes de compras, jurídicas e de segurança, os CISOs podem mitigar o impacto potencial das ameaças à cadeia de suprimentos e dos custos de seguro em seus negócios — e também se cobrirem.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024