เมื่อปีใหม่เริ่มต้นขึ้น CISO จะรวมตัวกันกับทีมรักษาความปลอดภัยและฝ่ายบริหารองค์กรเพื่อกำหนดขอบเขตลำดับความสำคัญสูงสุดสำหรับปี 2024 และวิธีแก้ไขปัญหาเหล่านี้ ในปีนี้ — ด้วยกฎหมายความเป็นส่วนตัวใหม่ๆ มากมาย กฎระเบียบของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ภัยคุกคามทางไซเบอร์ และเทคโนโลยีใหม่ที่สัญญาว่าจะแก้ไขภัยคุกคามเหล่านั้น พวกเขาอาจนอนไม่หลับโดยพยายามรวบรวมชิ้นส่วน Tetris ที่เป็นสุภาษิตของกลยุทธ์ความปลอดภัยทางไซเบอร์อย่างเหมาะสมที่สุด
ในบรรดาความท้าทายทั้งหมดที่เรียกร้องความสนใจจาก CISO นั้น ความรับผิดชอบส่วนบุคคลและทางกฎหมายต่อการละเมิดข้อมูลที่ SEC มอบให้กับ CISO อาจเป็นความท้าทายที่สุดในปีใหม่นี้ Nicole Sundin ประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ของ Axio กล่าว “ด้วยการยกระดับ CISO ให้เป็นห้องประชุมคณะกรรมการเพื่อหารือเกี่ยวกับความเสี่ยงเหล่านี้ พวกเขาจะต้องมีระบบบันทึกเพื่อปกป้องตนเองและแสดงให้เห็นถึงหน้าที่ในการดูแล” เธอกล่าว
“ในปัจจุบัน CISO มีการสนทนาเหล่านี้ ทำการตัดสินใจที่ยากลำบาก และดำเนินการตามที่พวกเขาเห็นว่าจำเป็น แต่สิ่งเหล่านี้อาจจะได้รับการบันทึกไว้หรือไม่ก็ได้” เธอกล่าว “การมีแหล่งความจริงหรือระบบบันทึกเพียงแหล่งเดียว CISO จึงสามารถปกป้องตนเองได้ดีขึ้น มิฉะนั้น เราจะยังคงเห็นเหตุการณ์สำคัญๆ ต่อไป โดยที่ CISO ที่ไม่มี [บันทึกเหตุการณ์และสาเหตุที่ถูกถ่าย] นี้จะต้องล้มลง”
1. ปกป้องตนเองจากความรับผิดส่วนบุคคล
Sundin เปรียบ CISO กับผู้บริหารด้านการดูแลสุขภาพ ซึ่งเก็บบันทึกโดยละเอียดของทุกการกระทำที่พวกเขาทำ เพื่อปกป้องตนเองจากการกล่าวอ้างการกระทำผิด เมื่อพิจารณาว่า CISO จำนวนมากไม่อยู่ภายใต้กรมธรรม์ประกันภัยสำหรับกรรมการและเจ้าหน้าที่ขององค์กร (D&O) พวกเขาจึงต้องรับผิดเป็นการส่วนตัวภายใต้ กฎ ก.ล.ต. ใหม่ หากมีการละเมิดเกิดขึ้น ซึ่งรวมถึงความรับผิดส่วนบุคคลสำหรับทั้งการละเมิดข้อมูลสูญหายหรือการละเมิดความเป็นส่วนตัวโดยไม่มีข้อมูลสูญหาย
Sundin แนะนำให้ CISO ดำเนินการตามขั้นตอนต่อไปนี้โดยเร็วที่สุด:
-
สร้างบันทึกระบบ อาจเป็นเครื่องวางแผนหรือบันทึกประจำวันที่ทุกการกระทำที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้นจะได้รับการบันทึกพร้อมคำอธิบายโดยละเอียดตามลำดับเวลาของการกระทำแต่ละอย่างและเหตุผลที่ดำเนินการ
-
สร้างคำจำกัดความขององค์กรสำหรับ "ความมีสาระสำคัญ" โดยใช้ข้อมูลจากที่ปรึกษาทั่วไปหรือหัวหน้าเจ้าหน้าที่ความเสี่ยง เพื่อสร้างแนวทางที่ชัดเจนสำหรับสิ่งที่ถือว่าถูกกฎหมายถือว่ามีความสำคัญอย่างมีสาระสำคัญต่อนักลงทุนหรือผู้ถือหุ้น และสิ่งใดที่ไม่สำคัญ
-
เรียนรู้ที่จะพูดคุยกับคณะกรรมการ และผู้บริหารอื่นๆ ในด้านการเงิน แจ้งให้คณะกรรมการทราบอย่างชัดเจนว่าจำเป็นต้องมีการควบคุมความปลอดภัยแบบใด ค่าใช้จ่าย และความเสียหายที่อาจเกิดขึ้นแก่บริษัท หากมีการละเมิดเกิดขึ้นเนื่องจากไม่มีการควบคุมความปลอดภัย
CISO จะต้องเป็นผู้มีส่วนร่วมเมื่อ การเจรจากรมธรรม์ประกันภัยไซเบอร์ซุนดินกล่าว โดยปกติ CISO จะต้องลงนามในสิ่งที่ที่ปรึกษาทั่วไปหรือ CFO เจรจาในท้ายที่สุด แต่หากไม่มีข้อมูลโดยตรง — พร้อมบันทึกคำแนะนำเป็นลายลักษณ์อักษร — พวกเขาอาจต้องรับผิดตามกฎหมายในการปกป้องการยกเว้นที่ไม่สามารถรับประกันได้
2. ติดตามภัยคุกคามความเป็นส่วนตัวที่กำลังเกิดขึ้น
บริษัทประกันภัยทางไซเบอร์จะมุ่งเน้นไปที่การละเมิดความเป็นส่วนตัวในปี 2024 คาดการณ์ว่า David Anderson รองประธานฝ่ายความรับผิดทางไซเบอร์ของ Woodruff Sawyer ซึ่งเป็นนายหน้าประกันภัยระดับชาติ แอนเดอร์สันกล่าวว่าผู้จัดการการจัดจำหน่ายประกันภัยทางไซเบอร์ได้รับการคาดหวัง กฎระเบียบที่เข้มงวดขึ้น เกี่ยวกับวิธีการที่องค์กรต่างๆ ดำเนินการรักษาความปลอดภัยกับข้อมูลส่วนตัวและบัญชีพิเศษ รวมถึงบัญชีบริการ ซึ่งเขาตั้งข้อสังเกตไว้ว่า มีแนวโน้มที่จะมีสิทธิพิเศษมากเกินไป และมักจะไม่มีการเปลี่ยนรหัสผ่านมาหลายปีแล้ว
“หากคุณไม่ปฏิบัติตามกฎหมายความเป็นส่วนตัวและกฎเกณฑ์ที่บังคับใช้กับธุรกิจของคุณ เขตอำนาจศาลของคุณ ซึ่งใช้มาตรฐานที่สมเหตุสมผลของคุณ เราจะไม่ครอบคลุมข้อเท็จจริงที่ว่าคุณกำลังแบ่งปันข้อมูลในลักษณะที่ไม่สอดคล้องกัน กับนโยบายความเป็นส่วนตัวของคุณ หรือไม่สอดคล้องกับกฎหมาย” แอนเดอร์สันกล่าว
อ้างถึงความกระชับ กฎหมายความเป็นส่วนตัว ในรัฐต่างๆ เช่น แคลิฟอร์เนียและวอชิงตัน เขากล่าวว่าบริษัทประกันภัยทางไซเบอร์เรียกร้องให้องค์กรต่างๆ ไม่เพียงแต่มีนโยบายความเป็นส่วนตัวที่ครอบคลุมเท่านั้น แต่ยังต้องสามารถแสดงให้เห็นว่าพวกเขาปฏิบัติตามนโยบายของตนด้วย หากองค์กรล้มเหลวในการปกป้องข้อมูลที่ได้รับการคุ้มครองตามนโยบายความเป็นส่วนตัว พวกเขาก็อาจพบว่าตนเองไม่มีความคุ้มครอง
“มันอาจเป็นความเสี่ยงที่ไม่สามารถป้องกันได้” เขากล่าว “การเรียกร้องเหล่านั้นมีราคาแพงมากเมื่อพิจารณาจากมุมมองของฝ่ายจำเลยและการตั้งถิ่นฐาน”
“ผู้จัดการการจัดจำหน่ายจะมองหามากกว่าแค่ช่องทำเครื่องหมายใช่หรือไม่ใช่ [ในใบสมัครประกันภัยทางไซเบอร์] คุณจะต้องแสดงให้เห็นว่าการควบคุมเหล่านี้ฝังอยู่ที่ใด [และ] ตำแหน่งที่คุณบังคับให้ผู้ขายของคุณปฏิบัติตามระดับการดูแลเดียวกัน” ตามที่นโยบายความเป็นส่วนตัวขององค์กรของคุณกำหนด Anderson เตือน
3. จัดการความเสี่ยงของบุคคลที่สาม
แม้ว่าภัยคุกคามความเป็นส่วนตัวจะอยู่ในระดับสูงในลำดับความสำคัญของคณะกรรมการในปี 2024 เนื่องจากกฎระเบียบใหม่ของ SEC และข้อกำหนดของบริษัทประกันภัยทางไซเบอร์ ภัยคุกคามในห่วงโซ่อุปทานอื่นๆ ก็เช่นกัน Alastair Parr รองประธานอาวุโสฝ่ายผลิตภัณฑ์และบริการระดับโลกของ Prevalent ผู้ให้บริการบริหารความเสี่ยง (TPRM) บุคคลที่สามกล่าวว่าองค์กรต่างๆ ควรสร้างโปรแกรมการจัดซื้อจัดจ้างโดยการระบุพันธมิตรจากมุมมองของ: บุคคลที่สามรายนี้จะเสนอผลประโยชน์ด้านความยืดหยุ่นในการดำเนินงานให้เราได้อย่างไร
ผู้มีวิสัยทัศน์ที่มีความคิดก้าวหน้าจะพิจารณาการบริหารความเสี่ยงของบุคคลที่สาม (TPRM) และข้อมูลโดยรวม และความหมายของการละเมิดข้อมูลตามการปฏิบัติตามกฎระเบียบที่เกิดขึ้นใหม่และที่ขยายตัว Parr กล่าว แทนที่จะมุ่งเน้นไปที่ข้อมูล เขาแนะนำให้ใช้วิธีการแบบองค์รวม โดยเรียกว่าเป็นกรอบการบริหารความเสี่ยงของซัพพลายเออร์แบบข้ามสายงาน
“ทันทีที่คณะกรรมการเริ่มคิดว่ามันเป็นแบบข้ามสายงาน โปรแกรมที่ครอบคลุมมากขึ้น — มีวงจรชีวิตมากขึ้น — ซึ่งเปลี่ยนคำถามที่พวกเขาควรจะถาม” เขากล่าว “พวกเขาควรจะรู้สึกตื่นเต้นกับการมีส่วนร่วมในการจัดซื้อจัดจ้าง พวกเขาไม่ควรกลัวข้อมูลเพื่อประโยชน์ของข้อมูล”
บริษัทส่วนใหญ่ในปัจจุบันกำลังดิ้นรนกับ TPRM Parr กล่าว เพราะพวกเขาให้ความสำคัญกับต้นทุนของการกำกับดูแลข้อมูลมากกว่าการปฏิบัติตามกฎระเบียบ ความยืดหยุ่นในการดำเนินงาน ผลกระทบของแบรนด์ หรือความเสี่ยงด้านชื่อเสียงที่เกี่ยวข้องกับการละเมิดข้อมูล
มองไปข้างหน้า
ในสภาพแวดล้อมที่มีกฎระเบียบที่เพิ่มขึ้น ขณะนี้ CISO จะต้องรับผิดเป็นการส่วนตัวต่อการละเมิดข้อมูล ไม่ว่าการละเมิดนั้นจะเกี่ยวข้องกับการสูญหายของข้อมูลหรือการละเมิดความเป็นส่วนตัวก็ตาม เพื่อเป็นการตอบสนอง ผู้จัดการการจัดจำหน่ายประกันภัยทางไซเบอร์กำลังเข้มงวดกฎเกณฑ์ของตนว่าองค์กรควรปกป้องข้อมูลส่วนตัวและบัญชีที่ได้รับสิทธิพิเศษอย่างไร และทั้งหมดนี้เกิดขึ้นพร้อมกับความสนใจที่เพิ่มขึ้นจากหน่วยงานกำกับดูแล บริษัทประกันภัย และผู้บริหารระดับสูง ในเรื่องภัยคุกคามในห่วงโซ่อุปทาน
เพื่อรับมือกับความท้าทายเหล่านี้ในปีที่กำลังจะมาถึง CISO จำเป็นต้องปกป้ององค์กรและตนเองโดยการสร้างระบบเพื่อบันทึกการดำเนินการและการตัดสินใจที่เกี่ยวข้อง การจัดทำและบังคับใช้นโยบายความเป็นส่วนตัวที่ครอบคลุมและสม่ำเสมอ และการประเมินพันธมิตรบุคคลที่สามในแง่ของความยืดหยุ่นในการปฏิบัติงาน
ด้วยการทำงานทั่วทั้งองค์กรด้วยทีมจัดซื้อ กฎหมาย และความปลอดภัย CISO สามารถลดผลกระทบที่อาจเกิดขึ้นจากภัยคุกคามในห่วงโซ่อุปทานและต้นทุนการประกันภัยต่อธุรกิจของพวกเขา และปกปิดตัวเองด้วย
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- สามารถ
- เกี่ยวกับเรา
- เกี่ยวกับมัน
- บัญชี
- ข้าม
- กระทำ
- การกระทำ
- การปฏิบัติ
- คล่องแคล่ว
- ที่อยู่
- เป็นไปตาม
- ยึดมั่น
- กับ
- สรุป
- ชิด
- ทั้งหมด
- ด้วย
- an
- และ
- เดอร์สัน
- เหมาะสม
- การใช้งาน
- มีผลบังคับใช้
- เข้าใกล้
- เป็น
- AS
- ขอให้
- การประเมิน
- ที่เกี่ยวข้อง
- At
- ความสนใจ
- ตาม
- BE
- เพราะ
- กลายเป็น
- กำลัง
- ประโยชน์ที่ได้รับ
- ดีกว่า
- คณะกรรมการ
- คณะกรรมการผู้บริหาร
- ทั้งสอง
- ยี่ห้อ
- ช่องโหว่
- การละเมิด
- ค่านายหน้า
- สร้าง
- ธุรกิจ
- แต่
- by
- C-ห้องสวีท
- แคลิฟอร์เนีย
- โทร
- CAN
- ซึ่ง
- ซีเอฟโอ
- โซ่
- ความท้าทาย
- ท้าทาย
- การเปลี่ยนแปลง
- การเปลี่ยนแปลง
- หัวหน้า
- หัวหน้าเจ้าหน้าที่ฝ่ายผลิตภัณฑ์
- ทางเลือก
- วงกลม
- CISO
- การเรียกร้อง
- ชัดเจน
- มา
- คณะกรรมาธิการ
- บริษัท
- บริษัท
- การปฏิบัติตาม
- ครอบคลุม
- ถือว่า
- พิจารณา
- คงเส้นคงวา
- ต่อ
- การควบคุม
- การสนทนา
- ไทม์ไลน์การ
- ราคา
- ค่าใช้จ่าย
- ได้
- ปรึกษา
- หน้าปก
- ความคุ้มครอง
- ปกคลุม
- การสร้าง
- ข้าม
- ขณะนี้
- ไซเบอร์
- cybersecurity
- ข้อมูล
- การละเมิดข้อมูล
- ข้อมูลสูญหาย
- เดวิด
- การตัดสินใจ
- ป้องกัน
- คำนิยาม
- เรียกร้อง
- สาธิต
- ลักษณะ
- รายละเอียด
- บอกให้เขียน
- ยาก
- โดยตรง
- กรรมการ
- สนทนา
- เอกสาร
- เอกสาร
- doesn
- สอง
- แต่ละ
- สูง
- ที่ฝัง
- กากกะรุน
- การบังคับใช้
- สิ่งแวดล้อม
- สร้าง
- การสร้าง
- อีเธอร์ (ETH)
- เหตุการณ์
- ทุกๆ
- เผง
- ตลาดแลกเปลี่ยน
- สำนักงานคณะกรรมการกำกับการแลกเปลี่ยน
- ตื่นเต้น
- ผู้บริหารระดับสูง
- ที่ขยาย
- ที่คาดหวัง
- แพง
- ความจริง
- ล้มเหลว
- ตก
- ทางการเงิน
- หา
- โฟกัส
- โดยมุ่งเน้น
- ปฏิบัติตาม
- ดังต่อไปนี้
- สำหรับ
- พระเดช
- กรอบ
- ราคาเริ่มต้นที่
- การทำงาน
- รวบรวม
- General
- ได้รับ
- เหตุการณ์ที่
- ไป
- การกำกับดูแล
- แนวทาง
- มี
- สิ่งที่เกิดขึ้น
- มี
- มี
- he
- การดูแลสุขภาพ
- จัดขึ้น
- จุดสูง
- ประวัติดี
- แบบองค์รวม
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ICON
- ระบุ
- if
- ส่งผลกระทบ
- การดำเนินการ
- in
- อุบัติการณ์
- เหตุการณ์ที่เกิดขึ้น
- รวมถึง
- รวมทั้ง
- เพิ่มขึ้น
- อินพุต
- ประกัน
- ผู้ประกันตน
- นักลงทุน
- รวมถึง
- การมีส่วนร่วม
- ปัญหา
- IT
- ตัวเอง
- jpg
- อำนาจศาล
- เพียงแค่
- เก็บ
- กฎหมาย
- กฎหมาย
- ตามกฎหมาย
- ชั้น
- ความรับผิดชอบ
- วงจรชีวิต
- ดู
- แพ้
- ปิด
- ส่วนใหญ่
- ทำ
- จัดการ
- การจัดการ
- หลาย
- อย่างเป็นรูปธรรม
- อาจ..
- หมายความ
- พบ
- อาจ
- บรรเทา
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ฝูง
- ต้อง
- แห่งชาติ
- จำเป็น
- จำเป็นต้อง
- ใหม่
- เทคโนโลยีใหม่ ๆ
- ปีใหม่
- ไม่
- ปกติ
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ตอนนี้
- of
- ปิด
- เสนอ
- เจ้าหน้าที่
- เจ้าหน้าที่
- มักจะ
- on
- เพียง
- การดำเนินงาน
- ความยืดหยุ่นในการปฏิบัติงาน
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- มิฉะนั้น
- ออก
- ผู้เข้าร่วม
- พาร์ทเนอร์
- พรรค
- รหัสผ่าน
- ส่วนบุคคล
- ส่วนตัว
- มุมมอง
- ชิ้น
- สถานที่
- วางไว้
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- นโยบาย
- เป็นไปได้
- ที่มีศักยภาพ
- คาดการณ์
- ประธาน
- เป็นที่แพร่หลาย
- ความเป็นส่วนตัว
- การละเมิดความเป็นส่วนตัว
- กฎหมายความเป็นส่วนตัว
- นโยบายความเป็นส่วนตัว
- ภัยคุกคามความเป็นส่วนตัว
- ส่วนตัว
- ได้รับการยกเว้น
- จัดซื้อจัดจ้าง
- ผลิตภัณฑ์
- ผลิตภัณฑ์
- สินค้าและบริการ
- โครงการ
- โปรแกรม
- แวว
- ป้องกัน
- การป้องกัน
- ปกป้อง
- ผู้จัดหา
- คำถาม
- ค่อนข้าง
- RE
- เหมาะสม
- เหตุผล
- แนะนำ
- แนะนำ
- ระเบียน
- บันทึก
- บันทึก
- ไม่คำนึงถึง
- การควบคุม
- กฎระเบียบ
- หน่วยงานกำกับดูแล
- หน่วยงานกำกับดูแล
- ปฏิบัติตามกฎระเบียบ
- ตรงประเด็น
- จำเป็นต้องใช้
- ความต้องการ
- ความยืดหยุ่น
- คำตอบ
- ความรับผิดชอบ
- ความเสี่ยง
- การบริหาจัดการความเสี่ยง
- ความเสี่ยง
- กฎระเบียบ
- s
- กล่าวว่า
- ประโยชน์
- เดียวกัน
- พูดว่า
- ตกใจ
- ขอบเขต
- สำนักงานคณะกรรมการ ก.ล.ต.
- หลักทรัพย์
- สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
- ความปลอดภัย
- เห็น
- ระดับอาวุโส
- บริการ
- บริการ
- การตั้งถิ่นฐาน
- ผู้ถือหุ้น
- ใช้งานร่วมกัน
- เธอ
- น่า
- โชว์
- ลงชื่อ
- สำคัญ
- เดียว
- นอนหลับ
- So
- แก้
- ในไม่ช้า
- แหล่ง
- พูด
- กอง
- มาตรฐาน
- เริ่มต้น
- สหรัฐอเมริกา
- ขั้นตอน
- กลยุทธ์
- การดิ้นรน
- อย่างเช่น
- ชี้ให้เห็นถึง
- ผู้จัดจำหน่าย
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- ระบบ
- ระบบบันทึก
- T
- เอา
- นำ
- ใช้เวลา
- การ
- ทีม
- เทคโนโลยี
- บอก
- มีแนวโน้ม
- เงื่อนไขการใช้บริการ
- กว่า
- ขอบคุณ
- ที่
- พื้นที่
- ของพวกเขา
- ตัวเอง
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- คิด
- ที่สาม
- ของบุคคลที่สาม
- นี้
- ในปีนี้
- เหล่านั้น
- ภัยคุกคาม
- กระชับ
- ไปยัง
- ในวันนี้
- เกินไป
- ด้านบน
- ความจริง
- พยายาม
- ในที่สุด
- ภายใต้
- ผู้จัดการการจัดจำหน่าย
- us
- กว้างใหญ่
- ผู้ขาย
- รอง
- Vice President
- การละเมิด
- ผู้มีวิสัยทัศน์
- เตือน
- วอชิงตัน
- ทาง..
- we
- คือ
- อะไร
- ความหมายของ
- เมื่อ
- ว่า
- ที่
- WHO
- ทำไม
- จะ
- กับ
- ไม่มี
- การทำงาน
- จะ
- เขียน
- ปี
- ปี
- ใช่
- เธอ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล