В начале нового года директора по информационной безопасности собираются вместе со своими командами безопасности и корпоративным руководством, чтобы определить главные приоритеты на 2024 год и способы решения этих проблем. В этом году — с множеством новых законов о конфиденциальности, постановлениями Комиссии по ценным бумагам и биржам, киберугрозами и новыми технологиями, обещающими решить эти угрозы — они, возможно, теряют сон, пытаясь оптимально сложить пресловутые элементы «Тетриса» в стратегии кибербезопасности.
Из всех проблем, требующих внимания директора по информационной безопасности, личная и юридическая ответственность за утечку данных, которую Комиссия по ценным бумагам и биржам возложила на директоров по информационной безопасности, может стать самой сложной в новом году, говорит Николь Сундин, директор по продуктам Axio. «Поскольку директора по информационной безопасности будут допущены в зал заседаний для обсуждения этих рисков, им понадобится система учета, чтобы защитить себя и продемонстрировать обязанность проявлять осторожность», — отмечает она.
«В настоящее время директора по информационной безопасности ведут такие беседы, делают трудный выбор и действуют так, как считают необходимым — но это может быть задокументировано, а может и не быть», — говорит она. «Имея единый источник достоверной информации или систему учета, директора по информационной безопасности могут лучше защитить себя. В противном случае мы продолжим наблюдать громкие инциденты, когда директор по информационной безопасности, у которого нет этого [записи событий и причин, по которым они были сделаны], падает».
1. Защитите себя от личной ответственности
Сундин сравнивает директоров по информационной безопасности с руководителями здравоохранения, которые ведут подробный учет каждого действия, которое они предпринимают, чтобы защитить себя от обвинений в должностных преступлениях. Учитывая, что многие директора по информационной безопасности не застрахованы полисами корпоративного страхования директоров и должностных лиц (D&O), они будут нести личную ответственность по новые правила SEC если произойдет нарушение. Это включает личную ответственность как за нарушение с потерей данных, так и за нарушение конфиденциальности без потери данных.
Сундин рекомендует директорам по информационной безопасности как можно скорее предпринять следующие шаги:
-
Создайте системную запись. Это может быть планировщик или дневник, в котором фиксируются все действия, связанные с потенциальным инцидентом безопасности, с подробным хронологическим описанием каждого предпринятого действия и причин, по которым они были предприняты.
-
Создайте корпоративное определение понятия «существенность» при участии главного юрисконсульта или директора по рискам, чтобы установить четкие инструкции относительно того, что с юридической точки зрения считается существенно значимым для инвесторов или акционеров, а что нет.
-
Научитесь разговаривать с советом директоров и других руководителей в финансовом отношении. Сообщите совету директоров, какие именно меры безопасности необходимы, их стоимость и потенциальные потери для компании, если произойдет нарушение из-за отсутствия мер безопасности.
Директора по информационной безопасности также должны быть активными участниками, когда переговоры по полисам киберстрахования, - говорит Сундин. Обычно директора по информационной безопасности должны подписать то, о чем в конечном итоге договаривается главный юрисконсульт или финансовый директор, но без прямого участия — с письменной записью своих рекомендаций — они могут нести юридическую ответственность, защищающую не подлежащее страхованию исключение.
2. Отслеживайте возникающие угрозы конфиденциальности
Киберстраховщики сосредоточатся на нарушениях конфиденциальности в 2024 году, прогнозирует Дэвид Андерсон, вице-президент по киберответственности национальной страховой брокерской компании Woodruff Sawyer. Андерсон говорит, что андеррайтеры киберстрахования, как ожидается, ужесточить правила о том, как организации обеспечивают безопасность личных данных и привилегированных учетных записей, включая учетные записи служб, которые, как он отмечает, имеют тенденцию иметь чрезмерные привилегии и часто не меняли свои пароли в течение многих лет.
«Если вы не соблюдаете законы и постановления о конфиденциальности, применимые к вашему бизнесу, к вашей юрисдикции, к которой применяются ваши разумные стандарты, мы не собираемся освещать тот факт, что вы делитесь данными таким образом, который не соответствует с вашей политикой конфиденциальности или не соответствует закону», — говорит Андерсон.
Ссылаясь на ужесточение законы о конфиденциальности По его словам, в таких штатах, как Калифорния и Вашингтон, киберстраховщики требуют от организаций не только иметь всеобъемлющую политику конфиденциальности, но и иметь возможность продемонстрировать, что они следуют своим политикам. Если организации не смогут защитить данные, защищенные их политикой конфиденциальности, они могут оказаться без защиты.
«Это может быть незастрахованный риск», — говорит он. «Эти претензии ужасно дороги с точки зрения обороны и урегулирования».
«Андеррайтер будет искать нечто большее, чем просто флажок «да» или «нет» [в заявке на киберстрахование]. Вам придется показать, где встроены эти элементы управления, [и] где вы заставляете своих поставщиков соблюдать тот же уровень осторожности», как того требует политика конфиденциальности вашей организации, предупреждает Андерсон.
3. Управляйте сторонними рисками
Хотя угрозы конфиденциальности будут занимать приоритетное место в приоритетах совета директоров на 2024 год благодаря новым правилам SEC и требованиям киберстраховщиков, также будут и другие угрозы цепочки поставок. Аластер Парр, старший вице-президент по глобальным продуктам и услугам стороннего поставщика управления рисками (TPRM) Preвалент, говорит, что организации должны строить свои программы закупок, выявляя партнеров с точки зрения: как эта третья сторона может предложить нам преимущества операционной устойчивости?
Дальновидные провидцы смотрят на управление рисками третьих сторон (TPRM) и данные в совокупности, а также на то, что означают утечки данных, исходя из появляющегося и расширяющегося соответствия нормативным требованиям, сказал Парр. Вместо того, чтобы сосредотачиваться на самих данных, он предлагает применить целостный подход, назвав его межфункциональной системой управления рисками поставщиков.
«Как только правление начнет думать об этом как о кросс-функциональной программе, о более комплексной программе — больше о жизненном цикле — которая меняет вопросы, которые им следует задавать», — говорит он. «Они должны быть в восторге от участия в закупках. Им не следует бояться данных ради данных».
Подавляющее большинство компаний сегодня борются с TPRM, говорит Парр, потому что они больше внимания уделяют стоимости управления данными, чем соблюдению нормативных требований, операционной устойчивости, влиянию бренда или репутационному риску, связанному с утечкой данных.
Взгляд в будущее
В условиях ужесточения регулирования директора по информационной безопасности теперь несут личную ответственность за утечку данных, независимо от того, связана ли она с потерей данных или нарушением конфиденциальности. В ответ андеррайтеры киберстрахования ужесточают правила защиты частных данных и привилегированных учетных записей. И все это происходит при повышенном внимании регулирующих органов, страховщиков и высшего руководства к угрозам в цепочке поставок.
Чтобы решить эти проблемы в наступающем году, директора по информационной безопасности должны защитить свою организацию и себя, создав систему для документирования соответствующих действий и решений, установив и внедрив комплексную и последовательную политику конфиденциальности, а также оценивая своих сторонних партнеров с точки зрения операционной устойчивости.
Работая по всей организации с отделами закупок, юристами и службами безопасности, директора по информационной безопасности могут смягчить потенциальное влияние угроз в цепочке поставок и затрат на страхование на свой бизнес, а также обезопасить себя.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- :имеет
- :является
- :нет
- :куда
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- в состоянии
- О нас
- об этом
- Учетные записи
- через
- Действие (Act):
- Действие
- действия
- активный
- адрес
- придерживаться
- придерживаясь
- против
- совокупный
- выровненный
- Все
- причислены
- an
- и
- андерсон
- отношение
- Применение
- применяется
- подхода
- МЫ
- AS
- спрашивающий
- Оценка
- связанный
- At
- внимание
- основанный
- BE
- , так как:
- становиться
- не являетесь
- Преимущества
- Лучшая
- доска
- совет директоров
- изоферменты печени
- марка
- нарушение
- нарушения
- брокерский
- строить
- бизнес
- но
- by
- С-люкс
- Калифорния
- вызова
- CAN
- заботится
- CFO
- цепь
- проблемы
- сложные
- менялась
- изменения
- главный
- директор по продукту
- выбор
- Circle
- CISO
- требования
- Очистить
- приход
- комиссии
- Компании
- Компания
- Соответствие закону
- комплексный
- считается
- принимая во внимание
- последовательный
- продолжать
- контрольная
- Беседы
- Корпоративное
- Цена
- Расходы
- может
- адвокат
- чехол для варгана
- охват
- покрытый
- Создающий
- Пересекать
- В настоящее время
- кибер-
- Информационная безопасность
- данным
- Нарушения данных
- Потеря данных
- Давид
- решения
- Защита
- определение
- требующий
- демонстрировать
- описание
- подробный
- диктовать
- трудный
- направлять
- Директора
- обсуждать
- документ
- документированный
- Безразлично
- два
- каждый
- возвышенный
- встроенный
- появление
- обеспечение соблюдения
- Окружающая среда
- установить
- налаживание
- Эфир (ETH)
- События
- Каждая
- точно,
- обмена
- Комиссия по обмену
- возбужденный
- руководителей высшего звена.
- расширяющийся
- ожидаемый
- дорогим
- факт
- FAIL
- Осень
- финансовый
- Найдите
- Фокус
- фокусировка
- следовать
- после
- Что касается
- принуждение
- Рамки
- от
- функциональная
- собирать
- Общие
- получающий
- Глобальный
- будет
- управление
- методические рекомендации
- было
- Случай
- Есть
- имеющий
- he
- здравоохранение
- Герой
- High
- Высокий профиль
- целостный
- Как
- How To
- HTTPS
- ICON
- идентифицирующий
- if
- Влияние
- осуществлять
- in
- инцидент
- инцидентов
- включает в себя
- В том числе
- расширились
- вход
- страхование
- страховщики
- Инвесторы
- включать в себя
- участие
- вопросы
- IT
- саму трезвость
- JPG
- юрисдикция
- всего
- Сохранить
- Законодательство
- Юр. Информация
- юридически
- уровень
- ответственность
- Жизненный цикл
- посмотреть
- потери
- от
- Большинство
- сделать
- управлять
- управление
- многих
- материально
- Май..
- значить
- Встречайте
- может быть
- смягчать
- монитор
- БОЛЕЕ
- самых
- множество
- должен
- национальный
- необходимо
- Необходимость
- Новые
- Новые технологии
- Новый год
- нет
- нормально
- Заметки
- сейчас
- of
- от
- предлагают
- сотрудник
- офицеров
- .
- on
- только
- оперативный
- операционная устойчивость
- or
- заказ
- организация
- организации
- Другое
- в противном случае
- внешний
- новыми участниками
- партнеры
- вечеринка
- пароли
- личного
- Лично
- перспектива
- штук
- Часть
- размещенный
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сборах
- политика
- возможное
- потенциал
- предсказывает
- президент
- превалирующий
- политикой конфиденциальности.
- Нарушение конфиденциальности
- законы о конфиденциальности
- политике конфиденциальности
- Угрозы конфиденциальности
- частная
- привилегированный
- приобретение
- Продукт
- Продукция
- Продукты и услуги
- FitPartner™
- Программы
- многообещающий
- для защиты
- защищенный
- защищающий
- Недвижимости
- Вопросы
- скорее
- RE
- разумный
- причины
- рекомендаций
- рекомендует
- запись
- записанный
- учет
- Несмотря на
- "Регулирование"
- правила
- Регулирующие органы
- регуляторы
- Соответствие нормативным требованиям
- соответствующие
- обязательный
- Требования
- упругость
- ответ
- ответственность
- Снижение
- управление рисками
- рисках,
- условиями,
- s
- Сказал
- Сакэ
- то же
- говорит
- испуганный
- сфера
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- безопасность
- посмотреть
- старший
- обслуживание
- Услуги
- поселок
- Акционеры
- разделение
- она
- должен
- показывать
- подпись
- значительный
- одинарной
- спать
- So
- РЕШАТЬ
- Скоро
- Источник
- говорить
- стек
- стандарт
- начинается
- Области
- Шаги
- Стратегия
- Борющийся
- такие
- Предлагает
- поставщик
- поставка
- цепочками поставок
- система
- система записи
- T
- взять
- приняты
- принимает
- с
- команды
- технологии
- сказать
- Тенденцию
- terms
- чем
- благодаря
- который
- Ассоциация
- их
- сами
- Эти
- они
- мышление
- В третьих
- сторонние
- этой
- В этом году
- те
- угрозы
- затягивание
- в
- сегодня
- слишком
- топ
- Правда
- пытается
- В конечном счете
- под
- андеррайтеры
- us
- Огромная
- поставщики
- вице
- вице-президент
- Нарушения
- фантазеры
- предупреждает
- Вашингтон
- Путь..
- we
- были
- Что
- Что такое
- когда
- будь то
- который
- КТО
- зачем
- будете
- без
- работает
- бы
- письменный
- год
- лет
- Да
- являетесь
- ВАШЕ
- себя
- зефирнет