ลำดับความสำคัญ 3 อันดับแรกสำหรับ CISO ในปี 2024

เมื่อปีใหม่เริ่มต้นขึ้น CISO จะรวมตัวกันกับทีมรักษาความปลอดภัยและฝ่ายบริหารองค์กรเพื่อกำหนดขอบเขตลำดับความสำคัญสูงสุดสำหรับปี 2024 และวิธีแก้ไขปัญหาเหล่านี้ ในปีนี้ — ด้วยกฎหมายความเป็นส่วนตัวใหม่ๆ มากมาย กฎระเบียบของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ภัยคุกคามทางไซเบอร์ และเทคโนโลยีใหม่ที่สัญญาว่าจะแก้ไขภัยคุกคามเหล่านั้น พวกเขาอาจนอนไม่หลับโดยพยายามรวบรวมชิ้นส่วน Tetris ที่เป็นสุภาษิตของกลยุทธ์ความปลอดภัยทางไซเบอร์อย่างเหมาะสมที่สุด

ในบรรดาความท้าทายทั้งหมดที่เรียกร้องความสนใจจาก CISO นั้น ความรับผิดชอบส่วนบุคคลและทางกฎหมายต่อการละเมิดข้อมูลที่ SEC มอบให้กับ CISO อาจเป็นความท้าทายที่สุดในปีใหม่นี้ Nicole Sundin ประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ของ Axio กล่าว “ด้วยการยกระดับ CISO ให้เป็นห้องประชุมคณะกรรมการเพื่อหารือเกี่ยวกับความเสี่ยงเหล่านี้ พวกเขาจะต้องมีระบบบันทึกเพื่อปกป้องตนเองและแสดงให้เห็นถึงหน้าที่ในการดูแล” เธอกล่าว

“ในปัจจุบัน CISO มีการสนทนาเหล่านี้ ทำการตัดสินใจที่ยากลำบาก และดำเนินการตามที่พวกเขาเห็นว่าจำเป็น แต่สิ่งเหล่านี้อาจจะได้รับการบันทึกไว้หรือไม่ก็ได้” เธอกล่าว “การมีแหล่งความจริงหรือระบบบันทึกเพียงแหล่งเดียว CISO จึงสามารถปกป้องตนเองได้ดีขึ้น มิฉะนั้น เราจะยังคงเห็นเหตุการณ์สำคัญๆ ต่อไป โดยที่ CISO ที่ไม่มี [บันทึกเหตุการณ์และสาเหตุที่ถูกถ่าย] นี้จะต้องล้มลง”

1. ปกป้องตนเองจากความรับผิดส่วนบุคคล

Sundin เปรียบ CISO กับผู้บริหารด้านการดูแลสุขภาพ ซึ่งเก็บบันทึกโดยละเอียดของทุกการกระทำที่พวกเขาทำ เพื่อปกป้องตนเองจากการกล่าวอ้างการกระทำผิด เมื่อพิจารณาว่า CISO จำนวนมากไม่อยู่ภายใต้กรมธรรม์ประกันภัยสำหรับกรรมการและเจ้าหน้าที่ขององค์กร (D&O) พวกเขาจึงต้องรับผิดเป็นการส่วนตัวภายใต้ กฎ ก.ล.ต. ใหม่ หากมีการละเมิดเกิดขึ้น ซึ่งรวมถึงความรับผิดส่วนบุคคลสำหรับทั้งการละเมิดข้อมูลสูญหายหรือการละเมิดความเป็นส่วนตัวโดยไม่มีข้อมูลสูญหาย

Sundin แนะนำให้ CISO ดำเนินการตามขั้นตอนต่อไปนี้โดยเร็วที่สุด:

CISO จะต้องเป็นผู้มีส่วนร่วมเมื่อ การเจรจากรมธรรม์ประกันภัยไซเบอร์ซุนดินกล่าว โดยปกติ CISO จะต้องลงนามในสิ่งที่ที่ปรึกษาทั่วไปหรือ CFO เจรจาในท้ายที่สุด แต่หากไม่มีข้อมูลโดยตรง — พร้อมบันทึกคำแนะนำเป็นลายลักษณ์อักษร — พวกเขาอาจต้องรับผิดตามกฎหมายในการปกป้องการยกเว้นที่ไม่สามารถรับประกันได้

2. ติดตามภัยคุกคามความเป็นส่วนตัวที่กำลังเกิดขึ้น

บริษัทประกันภัยทางไซเบอร์จะมุ่งเน้นไปที่การละเมิดความเป็นส่วนตัวในปี 2024 คาดการณ์ว่า David Anderson รองประธานฝ่ายความรับผิดทางไซเบอร์ของ Woodruff Sawyer ซึ่งเป็นนายหน้าประกันภัยระดับชาติ แอนเดอร์สันกล่าวว่าผู้จัดการการจัดจำหน่ายประกันภัยทางไซเบอร์ได้รับการคาดหวัง กฎระเบียบที่เข้มงวดขึ้น เกี่ยวกับวิธีการที่องค์กรต่างๆ ดำเนินการรักษาความปลอดภัยกับข้อมูลส่วนตัวและบัญชีพิเศษ รวมถึงบัญชีบริการ ซึ่งเขาตั้งข้อสังเกตไว้ว่า มีแนวโน้มที่จะมีสิทธิพิเศษมากเกินไป และมักจะไม่มีการเปลี่ยนรหัสผ่านมาหลายปีแล้ว

“หากคุณไม่ปฏิบัติตามกฎหมายความเป็นส่วนตัวและกฎเกณฑ์ที่บังคับใช้กับธุรกิจของคุณ เขตอำนาจศาลของคุณ ซึ่งใช้มาตรฐานที่สมเหตุสมผลของคุณ เราจะไม่ครอบคลุมข้อเท็จจริงที่ว่าคุณกำลังแบ่งปันข้อมูลในลักษณะที่ไม่สอดคล้องกัน กับนโยบายความเป็นส่วนตัวของคุณ หรือไม่สอดคล้องกับกฎหมาย” แอนเดอร์สันกล่าว

อ้างถึงความกระชับ กฎหมายความเป็นส่วนตัว ในรัฐต่างๆ เช่น แคลิฟอร์เนียและวอชิงตัน เขากล่าวว่าบริษัทประกันภัยทางไซเบอร์เรียกร้องให้องค์กรต่างๆ ไม่เพียงแต่มีนโยบายความเป็นส่วนตัวที่ครอบคลุมเท่านั้น แต่ยังต้องสามารถแสดงให้เห็นว่าพวกเขาปฏิบัติตามนโยบายของตนด้วย หากองค์กรล้มเหลวในการปกป้องข้อมูลที่ได้รับการคุ้มครองตามนโยบายความเป็นส่วนตัว พวกเขาก็อาจพบว่าตนเองไม่มีความคุ้มครอง

“มันอาจเป็นความเสี่ยงที่ไม่สามารถป้องกันได้” เขากล่าว “การเรียกร้องเหล่านั้นมีราคาแพงมากเมื่อพิจารณาจากมุมมองของฝ่ายจำเลยและการตั้งถิ่นฐาน”

“ผู้จัดการการจัดจำหน่ายจะมองหามากกว่าแค่ช่องทำเครื่องหมายใช่หรือไม่ใช่ [ในใบสมัครประกันภัยทางไซเบอร์] คุณจะต้องแสดงให้เห็นว่าการควบคุมเหล่านี้ฝังอยู่ที่ใด [และ] ตำแหน่งที่คุณบังคับให้ผู้ขายของคุณปฏิบัติตามระดับการดูแลเดียวกัน” ตามที่นโยบายความเป็นส่วนตัวขององค์กรของคุณกำหนด Anderson เตือน

3. จัดการความเสี่ยงของบุคคลที่สาม

แม้ว่าภัยคุกคามความเป็นส่วนตัวจะอยู่ในระดับสูงในลำดับความสำคัญของคณะกรรมการในปี 2024 เนื่องจากกฎระเบียบใหม่ของ SEC และข้อกำหนดของบริษัทประกันภัยทางไซเบอร์ ภัยคุกคามในห่วงโซ่อุปทานอื่นๆ ก็เช่นกัน Alastair Parr รองประธานอาวุโสฝ่ายผลิตภัณฑ์และบริการระดับโลกของ Prevalent ผู้ให้บริการบริหารความเสี่ยง (TPRM) บุคคลที่สามกล่าวว่าองค์กรต่างๆ ควรสร้างโปรแกรมการจัดซื้อจัดจ้างโดยการระบุพันธมิตรจากมุมมองของ: บุคคลที่สามรายนี้จะเสนอผลประโยชน์ด้านความยืดหยุ่นในการดำเนินงานให้เราได้อย่างไร

ผู้มีวิสัยทัศน์ที่มีความคิดก้าวหน้าจะพิจารณาการบริหารความเสี่ยงของบุคคลที่สาม (TPRM) และข้อมูลโดยรวม และความหมายของการละเมิดข้อมูลตามการปฏิบัติตามกฎระเบียบที่เกิดขึ้นใหม่และที่ขยายตัว Parr กล่าว แทนที่จะมุ่งเน้นไปที่ข้อมูล เขาแนะนำให้ใช้วิธีการแบบองค์รวม โดยเรียกว่าเป็นกรอบการบริหารความเสี่ยงของซัพพลายเออร์แบบข้ามสายงาน

“ทันทีที่คณะกรรมการเริ่มคิดว่ามันเป็นแบบข้ามสายงาน โปรแกรมที่ครอบคลุมมากขึ้น — มีวงจรชีวิตมากขึ้น — ซึ่งเปลี่ยนคำถามที่พวกเขาควรจะถาม” เขากล่าว “พวกเขาควรจะรู้สึกตื่นเต้นกับการมีส่วนร่วมในการจัดซื้อจัดจ้าง พวกเขาไม่ควรกลัวข้อมูลเพื่อประโยชน์ของข้อมูล”

บริษัทส่วนใหญ่ในปัจจุบันกำลังดิ้นรนกับ TPRM Parr กล่าว เพราะพวกเขาให้ความสำคัญกับต้นทุนของการกำกับดูแลข้อมูลมากกว่าการปฏิบัติตามกฎระเบียบ ความยืดหยุ่นในการดำเนินงาน ผลกระทบของแบรนด์ หรือความเสี่ยงด้านชื่อเสียงที่เกี่ยวข้องกับการละเมิดข้อมูล

มองไปข้างหน้า

ในสภาพแวดล้อมที่มีกฎระเบียบที่เพิ่มขึ้น ขณะนี้ CISO จะต้องรับผิดเป็นการส่วนตัวต่อการละเมิดข้อมูล ไม่ว่าการละเมิดนั้นจะเกี่ยวข้องกับการสูญหายของข้อมูลหรือการละเมิดความเป็นส่วนตัวก็ตาม เพื่อเป็นการตอบสนอง ผู้จัดการการจัดจำหน่ายประกันภัยทางไซเบอร์กำลังเข้มงวดกฎเกณฑ์ของตนว่าองค์กรควรปกป้องข้อมูลส่วนตัวและบัญชีที่ได้รับสิทธิพิเศษอย่างไร และทั้งหมดนี้เกิดขึ้นพร้อมกับความสนใจที่เพิ่มขึ้นจากหน่วยงานกำกับดูแล บริษัทประกันภัย และผู้บริหารระดับสูง ในเรื่องภัยคุกคามในห่วงโซ่อุปทาน

เพื่อรับมือกับความท้าทายเหล่านี้ในปีที่กำลังจะมาถึง CISO จำเป็นต้องปกป้ององค์กรและตนเองโดยการสร้างระบบเพื่อบันทึกการดำเนินการและการตัดสินใจที่เกี่ยวข้อง การจัดทำและบังคับใช้นโยบายความเป็นส่วนตัวที่ครอบคลุมและสม่ำเสมอ และการประเมินพันธมิตรบุคคลที่สามในแง่ของความยืดหยุ่นในการปฏิบัติงาน

ด้วยการทำงานทั่วทั้งองค์กรด้วยทีมจัดซื้อ กฎหมาย และความปลอดภัย CISO สามารถลดผลกระทบที่อาจเกิดขึ้นจากภัยคุกคามในห่วงโซ่อุปทานและต้นทุนการประกันภัยต่อธุรกิจของพวกเขา และปกปิดตัวเองด้วย

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024