3 glavne prednostne naloge za CISO v letu 2024

Ko se začne novo leto, se CISO zberejo s svojimi varnostnimi ekipami in vodstvom podjetja, da bi določili glavne prednostne naloge za leto 2024 in kako obravnavati ta vprašanja. Letos – s številnimi novimi zakoni o zasebnosti, predpisi Komisije za vrednostne papirje in borzo, kibernetskimi grožnjami in novimi tehnologijami, ki obljubljajo rešitev teh groženj – morda izgubljajo spanec, ko poskušajo optimalno zložiti pregovorne dele tetrisa strategije kibernetske varnosti.

Od vseh izzivov, ki tekmujejo za pozornost CISO, bi lahko bila osebna in pravna odgovornost za kršitve podatkov, ki jo je SEC naložila CISO, največji izziv v novem letu, pravi Nicole Sundin, produktna direktorica pri Axio. »Ker so CISO povzdignjeni v sejno sobo, da bi razpravljali o teh tveganjih, bodo potrebovali sistem evidence, da se zaščitijo in izkažejo dolžnost skrbnega ravnanja,« ugotavlja.

"Trenutno imajo CISO te pogovore, sprejemajo težke odločitve in delujejo, kot se jim zdi potrebno - vendar so lahko dokumentirani ali pa tudi ne," pravi. »Z enim samim virom resnice ali sistemom zapisov se lahko CISO bolje zaščitijo. V nasprotnem primeru bomo še naprej priča odmevnim incidentom, kjer pade CISO, ki nima tega [zapisa dogodkov in zakaj so bili posneti].«

1. Zaščitite se pred osebno odgovornostjo

Sundin CISO primerja z vodstvenimi delavci v zdravstvu, ki vodijo podrobne evidence o vsakem dejanju, ki ga izvedejo, da bi se branili pred obtožbami o zlorabi. Glede na to, da mnogi CISO niso zajeti v zavarovalnih policah za direktorje podjetij in uradnike (D&O), bi bili osebno odgovorni po nova pravila SEC če pride do kršitve. To vključuje osebno odgovornost za kršitev z izgubo podatkov ali kršitev zasebnosti brez izgube podatkov.

Sundin priporoča, da CISO čim prej sprejmejo naslednje korake:

CISO morajo biti tudi aktivni udeleženci, ko pogajanja o kibernetskih zavarovalnih policah, pravi Sundin. Običajno morajo CISO podpisati tisto, o čemer se na koncu pogaja generalni svetovalec ali finančni direktor, vendar brez neposrednega vnosa – s pisnim zapisom svojih priporočil – lahko postanejo pravno odgovorni zaradi zaščite nezavarovalne izključitve.

2. Spremljajte nastajajoče grožnje zasebnosti

Kibernetske zavarovalnice se bodo leta 2024 osredotočile na kršitve zasebnosti, napoveduje David Anderson, podpredsednik kibernetske odgovornosti pri Woodruff Sawyer, nacionalni zavarovalniški posredniški hiši. Anderson pravi, da se od zavarovalcev kibernetskega zavarovanja pričakuje poostriti predpise o tem, kako organizacije izvajajo varnost na zasebnih podatkih in privilegiranih računih, vključno s servisnimi računi, za katere ugotavlja, da so ponavadi preveč privilegirani in pogosto niso spremenili gesel že leta.

»Če ne upoštevate zakonov in statutov o zasebnosti, ki veljajo za vaše podjetje, za vašo jurisdikcijo, za katero veljajo vaši razumni standardi, ne bomo krili dejstva, da delite podatke na način, ki ni usklajen. z vašo politiko zasebnosti ali ni v skladu s statutom,« pravi Anderson.

Navaja zaostrovanje zakoni o zasebnosti v zveznih državah, kot sta Kalifornija in Washington, pravi, da kibernetske zavarovalnice od organizacij zahtevajo, da imajo ne le celovito politiko zasebnosti, temveč tudi možnost, da dokažejo, da sledijo svoji politiki. Če organizacije ne zaščitijo podatkov, zaščitenih z njihovo politiko zasebnosti, se lahko znajdejo brez kritja.

"To je lahko tveganje, ki ga ni mogoče zavarovati," pravi. "Ti zahtevki so grozljivo dragi z vidika obrambe in poravnave."

»Zavarovalnica bo iskala več kot le potrditveno polje da ali ne [v vlogi za kibernetsko zavarovanje]. Pokazati boste morali, kje so te kontrole vgrajene [in] kje silite svoje prodajalce, da se držijo enake ravni skrbnosti,« kot narekujejo pravilniki o zasebnosti vaše organizacije, opozarja Anderson.

3. Upravljajte tveganja tretjih oseb

Medtem ko bodo grožnje zasebnosti zaradi novih predpisov SEC in zahtev kibernetskih zavarovalnic visoko na prednostnih nalogah upravnega odbora za leto 2024, bodo tudi druge grožnje dobavni verigi. Alastair Parr, višji podpredsednik globalnih izdelkov in storitev pri zunanjem ponudniku obvladovanja tveganj (TPRM) Prevalent, pravi, da bi morale organizacije zgraditi svoje programe nabave tako, da prepoznajo partnerje z vidika: Kako nam lahko ta tretja oseba ponudi prednosti operativne odpornosti?

V prihodnost misleči vizionarji gledajo na obvladovanje tveganj tretjih oseb (TPRM) in podatke v agregatu ter na to, kaj pomenijo kršitve podatkov na podlagi nastajajoče in vse večje skladnosti s predpisi, je dejal Parr. Namesto da bi se osredotočil na same podatke, predlaga celostni pristop, ki ga imenuje medfunkcionalni okvir za obvladovanje tveganj dobaviteljev.

»Takoj ko uprava začne o tem razmišljati kot o medfunkcionalnem, celovitejšem programu – bolj življenjskem ciklu – ki spremeni vprašanja, ki bi si jih morali postavljati,« pravi. »Morali bi biti navdušeni nad sodelovanjem pri javnih naročilih. Ne bi se smeli bati podatkov zaradi podatkov."

Velika večina podjetij se danes spopada s TPRM, pravi Parr, ker se bolj osredotočajo na stroške upravljanja podatkov kot na skladnost s predpisi, operativno odpornost, vpliv blagovne znamke ali tveganje ugleda, povezano s kršitvami podatkov.

Looking Ahead

V okolju povečane regulacije so CISO zdaj osebno odgovorni za kršitve podatkov, ne glede na to, ali gre za izgubo podatkov ali kršitve zasebnosti. V odgovor zavarovalniki kibernetskega zavarovanja zaostrujejo svoja pravila o tem, kako naj organizacije varujejo zasebne podatke in privilegirane račune. In vse to se dogaja s povečano pozornostjo regulatorjev, zavarovalnic in vodstva do groženj dobavne verige.

Za soočanje s temi izzivi v prihodnjem letu morajo CISO zaščititi svojo organizacijo in sebe z ustvarjanjem sistema za dokumentiranje ustreznih dejanj in odločitev, vzpostavitvijo in uveljavljanjem celovitih in doslednih politik zasebnosti ter ocenjevanjem svojih zunanjih partnerjev v smislu operativne odpornosti.

S sodelovanjem v celotni organizaciji z nabavnimi, pravnimi in varnostnimi skupinami lahko CISO ublažijo morebiten vpliv groženj v dobavni verigi in stroškov zavarovanja na svoje poslovanje – in pokrijejo tudi sebe.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024