Topp 3 prioriteringar för CISO:er 2024

När det nya året börjar samlas CISO:er med sina säkerhetsteam och företagsledningar för att ta reda på de högsta prioriteringarna för 2024 och hur man ska lösa dessa problem. I år – med en mängd nya integritetslagar, Securities and Exchange Commission-förordningar, cyberhot och ny teknik som lovar att lösa dessa hot – kanske de tappar sömn när de försöker stapla de ökända Tetris-bitarna i cybersäkerhetsstrategin på bästa sätt.

Av alla utmaningar som tävlar om CISO:s uppmärksamhet kan det personliga och juridiska ansvaret för dataintrång som SEC har lagt på CISO:er vara den mest utmanande under det nya året, säger Nicole Sundin, produktchef på Axio. "När CISO:er höjs till styrelserummet för att diskutera dessa risker, kommer de att behöva ett registersystem för att skydda sig själva och visa vårdplikt", konstaterar hon.

"För närvarande har CISO:er dessa konversationer, gör svåra val och agerar som de ser nödvändigt - men dessa kan eller kanske inte dokumenteras", säger hon. "Genom att ha en enda källa till sanning eller ett registersystem kan CISO:er skydda sig själva bättre. Annars kommer vi att fortsätta att se högprofilerade incidenter där en CISO som inte har detta [register över händelser och varför de togs] på plats tar hösten."

1. Försvara dig mot personligt ansvar

Sundin liknar CISO:er med vårdchefer, som för detaljerade register över varje åtgärd de vidtar för att försvara sig mot påståenden om övergrepp. Med tanke på att många CISO:er inte omfattas av försäkringar för företagsdirektörer och tjänstemän (D&O), skulle de vara personligen ansvariga enligt nya SEC-regler om ett brott inträffar. Det inkluderar personligt ansvar för både ett intrång med dataförlust eller ett integritetsintrång utan dataförlust.

Sundin rekommenderar att CISO:er vidtar följande steg så snart som möjligt:

CISO:er måste också vara aktiva deltagare när förhandlar cyberförsäkringar, säger Sundin. Normalt måste CISO:er skriva under på det som chefsjuristen eller finanschefen i slutändan förhandlar om, men utan att ha direkt input – med en skriftlig redogörelse för sina rekommendationer – kan de bli juridiskt ansvariga för att skydda en icke-försäkringsbar uteslutning.

2. Övervaka nya integritetshot

Cyberförsäkringsbolag kommer att fokusera på integritetsintrång 2024, förutspår David Anderson, vicepresident för cyberansvar på Woodruff Sawyer, en nationell försäkringsmäklare. Anderson säger att cyberförsäkringsgaranter förväntas göra det skärpa bestämmelserna om hur organisationer implementerar säkerhet på privata data och privilegierade konton, inklusive tjänstekonton, som han noterar, tenderar att vara överprivilegierade och ofta inte har fått sina lösenord ändrade på flera år.

"Om du inte följer de integritetslagar och lagar som är tillämpliga på ditt företag, för din jurisdiktion, som din rimliga standard gäller, kommer vi inte att täcka det faktum att du delar data på ett sätt som inte är anpassat med din integritetspolicy eller inte är i linje med lagar, säger Anderson.

Med hänvisning till skärpningen sekretesslagar i stater som Kalifornien och Washington säger han att cyberförsäkringsbolag kräver att organisationer inte bara har omfattande sekretesspolicyer på plats, utan kan visa att de följer deras policyer. Om organisationer misslyckas med att skydda data som skyddas av deras integritetspolicy kan de befinna sig utan täckning.

"Det kan vara en oförsäkrad risk", säger han. "Dessa påståenden är fruktansvärt dyra ur ett försvars- och bosättningsperspektiv."

"Försäkraren kommer att leta efter mer än bara en kryssruta för ja eller nej [på en cyberförsäkringsansökan]. Du kommer att behöva visa var dessa kontroller är inbäddade [och] var du tvingar dina leverantörer att följa samma nivå av omsorg" som din organisations integritetspolicy dikterar, varnar Anderson.

3. Hantera tredje parts risker

Även om integritetshot kommer att vara högt uppe i styrelsens prioriteringar för 2024 tack vare de nya SEC-reglerna och cyberförsäkringsbolagens krav, så kommer även andra hot i leveranskedjan att göra det. Alastair Parr, senior vice president för globala produkter och tjänster hos tredjeparts riskhanteringsleverantör (TPRM) Prevalent, säger att organisationer bör bygga upp sina inköpsprogram genom att identifiera partners utifrån perspektivet: Hur kan denna tredje part erbjuda operativ motståndskraft för oss?

Framåttänkta visionärer tittar på tredjepartsriskhantering (TPRM) och data som helhet och vad dataintrång betyder baserat på framväxande och växande regelefterlevnad, sa Parr. I stället för att fokusera på själva data, föreslår han att ta ett holistiskt tillvägagångssätt, kalla det ett tvärfunktionellt ramverk för leverantörsriskhantering.

"Så fort styrelsen börjar tänka på det som tvärfunktionellt, ett mer omfattande program - mer av en livscykel - som förändrar frågorna de borde ställa", säger han. "De borde bli entusiastiska över upphandlingsengagemanget. De borde inte vara rädda för data för datas skull."

De allra flesta företag idag kämpar med TPRM, säger Parr, eftersom de fokuserar mer på kostnaden för datastyrning än på regelefterlevnad, operativ motståndskraft, varumärkespåverkan eller ryktesrisken i samband med dataintrång.

Ser framåt

I en miljö av ökad reglering hålls CISO:er nu personligt ansvariga för dataintrång, oavsett om de innebär dataförlust eller integritetsintrång. Som svar skärper cyberförsäkringsgaranter sina regler om hur organisationer ska skydda privata data och privilegierade konton. Och allt detta händer med ökad uppmärksamhet från tillsynsmyndigheter, försäkringsbolag och C-sviten till hot om leveranskedjan.

För att möta dessa utmaningar under det kommande året måste CISO:er skydda sin organisation och sig själva genom att skapa ett system för att dokumentera relevanta åtgärder och beslut, upprätta och upprätthålla omfattande och konsekventa integritetspolicyer och utvärdera deras tredjepartspartners i termer av operativ motståndskraft.

Genom att arbeta över hela organisationen med inköps-, juridik- och säkerhetsteam kan CISO:er mildra den potentiella effekten av hot från leveranskedjan och försäkringskostnader på sin verksamhet – och även täcka sig själva.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024