Три главных приоритета для директоров по информационной безопасности в 3 году

В начале нового года директора по информационной безопасности собираются вместе со своими командами безопасности и корпоративным руководством, чтобы определить главные приоритеты на 2024 год и способы решения этих проблем. В этом году — с множеством новых законов о конфиденциальности, постановлениями Комиссии по ценным бумагам и биржам, киберугрозами и новыми технологиями, обещающими решить эти угрозы — они, возможно, теряют сон, пытаясь оптимально сложить пресловутые элементы «Тетриса» в стратегии кибербезопасности.

Из всех проблем, требующих внимания директора по информационной безопасности, личная и юридическая ответственность за утечку данных, которую Комиссия по ценным бумагам и биржам возложила на директоров по информационной безопасности, может стать самой сложной в новом году, говорит Николь Сундин, директор по продуктам Axio. «Поскольку директора по информационной безопасности будут допущены в зал заседаний для обсуждения этих рисков, им понадобится система учета, чтобы защитить себя и продемонстрировать обязанность проявлять осторожность», — отмечает она.

«В настоящее время директора по информационной безопасности ведут такие беседы, делают трудный выбор и действуют так, как считают необходимым — но это может быть задокументировано, а может и не быть», — говорит она. «Имея единый источник достоверной информации или систему учета, директора по информационной безопасности могут лучше защитить себя. В противном случае мы продолжим наблюдать громкие инциденты, когда директор по информационной безопасности, у которого нет этого [записи событий и причин, по которым они были сделаны], падает».

1. Защитите себя от личной ответственности

Сундин сравнивает директоров по информационной безопасности с руководителями здравоохранения, которые ведут подробный учет каждого действия, которое они предпринимают, чтобы защитить себя от обвинений в должностных преступлениях. Учитывая, что многие директора по информационной безопасности не застрахованы полисами корпоративного страхования директоров и должностных лиц (D&O), они будут нести личную ответственность по новые правила SEC если произойдет нарушение. Это включает личную ответственность как за нарушение с потерей данных, так и за нарушение конфиденциальности без потери данных.

Сундин рекомендует директорам по информационной безопасности как можно скорее предпринять следующие шаги:

Директора по информационной безопасности также должны быть активными участниками, когда переговоры по полисам киберстрахования, - говорит Сундин. Обычно директора по информационной безопасности должны подписать то, о чем в конечном итоге договаривается главный юрисконсульт или финансовый директор, но без прямого участия — с письменной записью своих рекомендаций — они могут нести юридическую ответственность, защищающую не подлежащее страхованию исключение.

2. Отслеживайте возникающие угрозы конфиденциальности

Киберстраховщики сосредоточатся на нарушениях конфиденциальности в 2024 году, прогнозирует Дэвид Андерсон, вице-президент по киберответственности национальной страховой брокерской компании Woodruff Sawyer. Андерсон говорит, что андеррайтеры киберстрахования, как ожидается, ужесточить правила о том, как организации обеспечивают безопасность личных данных и привилегированных учетных записей, включая учетные записи служб, которые, как он отмечает, имеют тенденцию иметь чрезмерные привилегии и часто не меняли свои пароли в течение многих лет.

«Если вы не соблюдаете законы и постановления о конфиденциальности, применимые к вашему бизнесу, к вашей юрисдикции, к которой применяются ваши разумные стандарты, мы не собираемся освещать тот факт, что вы делитесь данными таким образом, который не соответствует с вашей политикой конфиденциальности или не соответствует закону», — говорит Андерсон.

Ссылаясь на ужесточение законы о конфиденциальности По его словам, в таких штатах, как Калифорния и Вашингтон, киберстраховщики требуют от организаций не только иметь всеобъемлющую политику конфиденциальности, но и иметь возможность продемонстрировать, что они следуют своим политикам. Если организации не смогут защитить данные, защищенные их политикой конфиденциальности, они могут оказаться без защиты.

«Это может быть незастрахованный риск», — говорит он. «Эти претензии ужасно дороги с точки зрения обороны и урегулирования».

«Андеррайтер будет искать нечто большее, чем просто флажок «да» или «нет» [в заявке на киберстрахование]. Вам придется показать, где встроены эти элементы управления, [и] где вы заставляете своих поставщиков соблюдать тот же уровень осторожности», как того требует политика конфиденциальности вашей организации, предупреждает Андерсон.

3. Управляйте сторонними рисками

Хотя угрозы конфиденциальности будут занимать приоритетное место в приоритетах совета директоров на 2024 год благодаря новым правилам SEC и требованиям киберстраховщиков, также будут и другие угрозы цепочки поставок. Аластер Парр, старший вице-президент по глобальным продуктам и услугам стороннего поставщика управления рисками (TPRM) Preвалент, говорит, что организации должны строить свои программы закупок, выявляя партнеров с точки зрения: как эта третья сторона может предложить нам преимущества операционной устойчивости?

Дальновидные провидцы смотрят на управление рисками третьих сторон (TPRM) и данные в совокупности, а также на то, что означают утечки данных, исходя из появляющегося и расширяющегося соответствия нормативным требованиям, сказал Парр. Вместо того, чтобы сосредотачиваться на самих данных, он предлагает применить целостный подход, назвав его межфункциональной системой управления рисками поставщиков.

«Как только правление начнет думать об этом как о кросс-функциональной программе, о более комплексной программе — больше о жизненном цикле — которая меняет вопросы, которые им следует задавать», — говорит он. «Они должны быть в восторге от участия в закупках. Им не следует бояться данных ради данных».

Подавляющее большинство компаний сегодня борются с TPRM, говорит Парр, потому что они больше внимания уделяют стоимости управления данными, чем соблюдению нормативных требований, операционной устойчивости, влиянию бренда или репутационному риску, связанному с утечкой данных.

Взгляд в будущее

В условиях ужесточения регулирования директора по информационной безопасности теперь несут личную ответственность за утечку данных, независимо от того, связана ли она с потерей данных или нарушением конфиденциальности. В ответ андеррайтеры киберстрахования ужесточают правила защиты частных данных и привилегированных учетных записей. И все это происходит при повышенном внимании регулирующих органов, страховщиков и высшего руководства к угрозам в цепочке поставок.

Чтобы решить эти проблемы в наступающем году, директора по информационной безопасности должны защитить свою организацию и себя, создав систему для документирования соответствующих действий и решений, установив и внедрив комплексную и последовательную политику конфиденциальности, а также оценивая своих сторонних партнеров с точки зрения операционной устойчивости.

Работая по всей организации с отделами закупок, юристами и службами безопасности, директора по информационной безопасности могут смягчить потенциальное влияние угроз в цепочке поставок и затрат на страхование на свой бизнес, а также обезопасить себя.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024