Yeni yıl başlarken CISO'lar, 2024 için en önemli öncelikleri ve bu sorunların nasıl ele alınacağını belirlemek üzere güvenlik ekipleri ve kurumsal yönetimle bir araya geliyor. Bu yıl - çok sayıda yeni gizlilik yasası, Menkul Kıymetler ve Borsa Komisyonu düzenlemeleri, siber tehditler ve bu tehditleri çözmeyi vaat eden yeni teknolojiler ile - siber güvenlik stratejisinin meşhur Tetris parçalarını en iyi şekilde istiflemeye çalışırken uykularını kaybediyor olabilirler.
Axio'nun baş ürün sorumlusu Nicole Sundin, CISO'nun dikkatini çekmek için yarışan tüm zorluklar arasında, SEC'in CISO'lara yüklediği veri ihlalleriyle ilgili kişisel ve yasal sorumluluğun, yeni yılda en zorlu olanı olabileceğini söylüyor. "CISO'ların bu riskleri tartışmak üzere yönetim kuruluna yükseltilmesiyle, kendilerini korumak ve özen yükümlülüğünü göstermek için bir kayıt sistemine ihtiyaçları olacak" diye belirtiyor.
"Şu anda CISO'lar bu konuşmaları yapıyor, zor seçimler yapıyor ve gerekli gördükleri şekilde hareket ediyorlar; ancak bunlar belgelenmiş olabilir veya olmayabilir" diyor. “CISO'lar, tek bir gerçek kaynağına veya kayıt sistemine sahip olarak kendilerini daha iyi koruyabilirler. Aksi takdirde, bu [olayların kaydına ve bunların neden yapıldığına] sahip olmayan bir CISO'nun düşüşe geçtiği yüksek profilli olayları görmeye devam edeceğiz."
1. Kişisel Sorumluluğa Karşı Kendinizi Koruyun
Sundin, CISO'ları, suiistimal iddialarına karşı kendilerini savunmak için yaptıkları her eylemin ayrıntılı kayıtlarını tutan sağlık yöneticilerine benzetiyor. Pek çok CISO'nun kurumsal direktörler ve memurlar (D&O) sigorta poliçeleri kapsamına girmediği göz önüne alındığında, bu sigorta kapsamında şahsen sorumlu olacaklardır. yeni SEC kuralları bir ihlal meydana gelirse. Bu, hem veri kaybıyla sonuçlanan bir ihlale hem de veri kaybı olmadan gerçekleşen bir gizlilik ihlaline ilişkin kişisel sorumluluğu içerir.
Sundin, CISO'ların mümkün olan en kısa sürede aşağıdaki adımları atmasını tavsiye ediyor:
-
Bir sistem kaydı oluşturun. Potansiyel bir güvenlik olayıyla ilgili her eylemin, gerçekleştirilen her eylemin ayrıntılı, kronolojik bir açıklaması ve bunların neden yapıldığıyla birlikte kaydedildiği bir planlayıcı veya günlük olabilir.
-
Yatırımcılar veya hissedarlar için neyin yasal olarak maddi olarak önemli olduğu ve neyin önemsiz olduğu konusunda net yönergeler oluşturmak için baş hukuk müşaviri veya baş risk yetkilisinin girdileriyle "önemlilik" için kurumsal bir tanım oluşturun.
-
Yönetim kuruluyla konuşmayı öğrenin ve mali açıdan diğer yöneticiler. Yönetim kuruluna tam olarak hangi güvenlik kontrollerinin gerekli olduğunu, bunların maliyetini ve güvenlik kontrollerinin mevcut olmaması nedeniyle bir ihlal meydana gelmesi durumunda şirketin olası zararlarını anlatın.
CISO'lar ayrıca aşağıdaki durumlarda aktif katılımcılar olmalıdır: Siber sigorta poliçelerinin müzakere edilmesiSundin diyor. Normalde CISO'ların, baş hukuk müşaviri veya CFO'nun nihai olarak müzakere ettiği şeyi imzalaması gerekir, ancak tavsiyelerinin yazılı bir kaydıyla birlikte doğrudan girdi olmadan, sigortalanamayan bir hariç tutmayı korumaktan yasal olarak sorumlu hale gelebilirler.
2. Ortaya Çıkan Gizlilik Tehditlerini Takip Edin
Ulusal sigorta komisyonculuğu Woodruff Sawyer'ın siber sorumluluktan sorumlu başkan yardımcısı David Anderson, siber sigortacıların 2024 yılında gizlilik ihlallerine odaklanacağını öngörüyor. Anderson, siber sigorta sigortacılarının düzenlemeleri sertleştirmek Kuruluşların, hizmet hesapları da dahil olmak üzere özel veriler ve ayrıcalıklı hesaplar üzerinde güvenliği nasıl uyguladıkları hakkında, kendisinin belirttiği gibi, aşırı ayrıcalıklı olma eğilimindedir ve parolaları yıllardır değiştirilmemiştir.
“İşiniz için geçerli olan ve kendi yargı alanınız için geçerli olan ve makul standartlarınızın geçerli olduğu gizlilik yasalarına ve tüzüklerine bağlı kalmıyorsanız, verileri uyumlu olmayan bir şekilde paylaştığınız gerçeğini kapsamayacağız. Anderson, "Bu, gizlilik politikanıza aykırı veya kanuna uygun değil" diyor.
Sıkılaştırmayı gerekçe göstererek gizlilik kanunları Kaliforniya ve Washington gibi eyaletlerde siber sigortacıların kuruluşların yalnızca kapsamlı gizlilik politikalarına sahip olmalarını değil, aynı zamanda bu politikalara uyduklarını gösterebilmelerini de talep ettiklerini söylüyor. Kuruluşlar, gizlilik politikalarıyla korunan verileri korumayı başaramazlarsa kendilerini kapsam dışında bulabilirler.
“Bu sigortalanamaz bir risk olabilir” diyor. "Bu iddialar savunma ve çözüm açısından korkunç derecede pahalı."
“Sigortacı [siber sigorta başvurusunda] sadece evet veya hayır onay kutusundan daha fazlasını arayacak. Anderson, bu kontrollerin nereye yerleştirildiğini [ve] satıcılarınızı aynı düzeyde bakıma uymaya zorladığınızı göstermeniz gerekecek” diye uyarıyor Anderson.
3. Üçüncü Taraf Risklerini Yönetin
Yeni SEC düzenlemeleri ve siber sigorta şirketlerinin gereklilikleri sayesinde gizlilik tehditleri, yönetim kurulunun 2024 öncelikleri arasında üst sıralarda yer alacak olsa da diğer tedarik zinciri tehditleri de öyle olacak. Üçüncü taraf risk yönetimi (TPRM) sağlayıcısı Prevalent'in küresel ürün ve hizmetlerden sorumlu kıdemli başkan yardımcısı Alastair Parr, kuruluşların satın alma programlarını ortaklarını şu perspektiften tanımlayarak oluşturmaları gerektiğini söylüyor: Bu üçüncü taraf bize operasyonel esneklik faydalarını nasıl sağlayabilir?
Parr, ileriyi düşünen vizyonerlerin üçüncü taraf risk yönetimine (TPRM) ve toplu olarak verilere baktığını ve ortaya çıkan ve genişleyen mevzuat uyumluluğuna bağlı olarak veri ihlallerinin ne anlama geldiğini incelediğini söyledi. Verilerin kendisine odaklanmak yerine, bütünsel bir yaklaşım benimsemeyi ve bunu işlevler arası tedarikçi risk yönetimi çerçevesi olarak adlandırmayı öneriyor.
"Yönetim kurulu bunu çapraz işlevler olarak düşünmeye başlar başlamaz, sormaları gereken soruları değiştiren daha kapsamlı, daha çok bir yaşam döngüsüne sahip bir program" diyor. “Tedarik katılımı konusunda heyecanlanıyor olmalılar. Veri uğruna veriden korkmamalılar.”
Parr, günümüzde şirketlerin büyük çoğunluğunun TPRM ile mücadele ettiğini, çünkü mevzuat uyumluluğu, operasyonel esneklik, marka etkisi veya veri ihlalleriyle ilişkili itibar riskinden ziyade veri yönetiminin maliyetine odaklandıklarını söylüyor.
Geleceğe Bakan Vizyon
Artan düzenleme ortamında, CISO'lar artık veri kaybı veya gizlilik ihlalleri içerip içermediğine bakılmaksızın veri ihlallerinden kişisel olarak sorumlu tutuluyor. Buna yanıt olarak siber sigorta sigortacıları, kuruluşların özel verileri ve ayrıcalıklı hesapları nasıl koruması gerektiğine ilişkin kurallarını sıkılaştırıyor. Ve tüm bunlar düzenleyicilerin, sigortacıların ve üst düzey yöneticilerin tedarik zinciri tehditlerine artan ilgisiyle gerçekleşiyor.
Önümüzdeki yıl bu zorlukların üstesinden gelmek için CISO'ların, ilgili eylemleri ve kararları belgeleyecek bir sistem oluşturarak, kapsamlı ve tutarlı gizlilik politikaları oluşturup uygulayarak ve üçüncü taraf ortaklarını operasyonel dayanıklılık açısından değerlendirerek kuruluşlarını ve kendilerini korumaları gerekiyor.
CISO'lar, kuruluş çapında satın alma, hukuk ve güvenlik ekipleriyle birlikte çalışarak, tedarik zinciri tehditlerinin ve sigorta maliyetlerinin işletmeleri üzerindeki potansiyel etkisini azaltabilir ve kendilerini de koruyabilirler.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- Yapabilmek
- Hakkımızda
- hakkında
- Hesaplar
- karşısında
- Hareket
- Action
- eylemler
- aktif
- adres
- bağlı
- bağlı
- karşı
- toplam
- hizalı
- Türkiye
- Ayrıca
- an
- ve
- anderson
- uygulanabilir
- Uygulama
- geçerlidir
- yaklaşım
- ARE
- AS
- soran
- Değerlendirme
- ilişkili
- At
- Dikkat
- merkezli
- BE
- Çünkü
- müşterimiz
- olmak
- faydaları
- Daha iyi
- yazı tahtası
- Yönetim Kurulu
- her ikisi de
- marka
- ihlal
- ihlalleri
- komisyonculuk
- inşa etmek
- iş
- fakat
- by
- C-suite
- Kaliforniya
- çağrı
- CAN
- hangi
- CFO
- zincir
- zorluklar
- zor
- değişmiş
- değişiklikler
- baş
- baş ürün sorumlusu
- choices
- Daire
- CISO'su
- iddia
- açık
- gelecek
- alın
- Şirketler
- şirket
- uyma
- kapsamlı
- kabul
- düşünen
- tutarlı
- devam etmek
- kontroller
- konuşmaları
- Kurumsal
- Ücret
- maliyetler
- olabilir
- avukat
- kapak
- kapsama
- kaplı
- Oluşturma
- Çapraz
- Şu anda
- Siber
- Siber güvenlik
- veri
- Veri ihlalleri
- Veri Kaybı
- David
- kararlar
- Savunma
- tanım
- talep
- göstermek
- tanım
- detaylı
- dikte
- zor
- direkt
- Yönetmenler
- tartışmak
- belge
- belgeli
- gelmez
- gereken
- her
- yüksek
- gömülü
- ortaya çıkan
- zorlama
- çevre
- kurmak
- kurulması
- Eter (ETH)
- olaylar
- Her
- kesinlikle
- takas
- Değişim Komisyonu
- uyarılmış
- Yöneticiler
- genişleyen
- beklenen
- pahalı
- gerçek
- FAIL
- Düşmek
- mali
- bulmak
- odak
- odaklanma
- takip et
- takip etme
- İçin
- zorlama
- iskelet
- itibaren
- fonksiyonel
- toplamak
- genel
- alma
- Küresel
- gidiş
- yönetim
- kuralları yenileyerek
- vardı
- olay
- Var
- sahip olan
- he
- sağlık
- Held
- Yüksek
- yüksek profilli
- bütünsel
- Ne kadar
- Nasıl Yapılır
- HTTPS
- ICON
- belirlenmesi
- if
- darbe
- uygulamak
- in
- olay
- olaylar
- içerir
- Dahil olmak üzere
- artmış
- giriş
- sigorta
- sigortacılar
- Yatırımcılar
- dahil
- tutulum
- sorunlar
- IT
- kendisi
- jpg
- yargı
- sadece
- tutmak
- Yasalar
- Yasal Şartlar
- yasal
- seviye
- yükümlülük
- yaşam döngüsü
- Bakın
- kaybetme
- kayıp
- çoğunluk
- yapmak
- yönetmek
- yönetim
- çok
- maddi olarak
- Mayıs..
- ortalama
- Neden
- olabilir
- Azaltmak
- izlemek
- Daha
- çoğu
- çokluk
- şart
- ulusal
- gerekli
- gerek
- yeni
- Yeni teknolojiler
- Yılbaşı
- yok hayır
- normalde
- notlar
- şimdi
- of
- kapalı
- teklif
- Subay
- subay
- sık sık
- on
- bir tek
- işletme
- operasyonel esneklik
- or
- sipariş
- kuruluşlar
- organizasyonlar
- Diğer
- aksi takdirde
- dışarı
- Katılımcılar
- ortaklar
- Parti
- şifreleri
- kişisel
- Şahsen
- perspektif
- parçalar
- yer
- yerleştirilir
- Platon
- Plato Veri Zekası
- PlatoVeri
- politikaları
- politika
- mümkün
- potansiyel
- öngörür
- başkan
- yaygın
- gizlilik
- Gizlilik İhlali
- gizlilik kanunları
- Gizlilik Politikası
- Gizlilik Tehditleri
- özel
- ayrıcalıklı
- tedarik
- PLATFORM
- Ürünler
- Ürünler ve servisler
- Programı
- Programlar
- umut verici
- korumak
- korumalı
- koruyucu
- sağlayan
- Sorular
- daha doğrusu
- RE
- makul
- nedenleri
- tavsiyeler
- önerir
- kayıt
- kaydedilmiş
- kayıtlar
- Ne olursa olsun
- Değişiklik Yapıldı
- yönetmelik
- Denetleyiciler
- düzenleyici
- Yasal Uygunluk
- uygun
- gereklidir
- Yer Alan Kurallar
- esneklik
- yanıt
- sorumluluk
- Risk
- risk yönetimi
- riskler
- kurallar
- s
- Adı geçen
- uğruna
- aynı
- diyor
- korkmuş
- kapsam
- SEC
- Senetler
- Menkul Kıymetler ve Borsa Komisyonu
- güvenlik
- görmek
- kıdemli
- hizmet
- Hizmetler
- yerleşme
- Hissedarlar
- paylaşımı
- o
- meli
- şov
- işaret
- önemli
- tek
- uyku
- So
- ÇÖZMEK
- Yakında
- Kaynak
- konuşmak
- yığın
- standart
- başlar
- Devletler
- Basamaklar
- Stratejileri
- Mücadele
- böyle
- Önerdi
- satıcı
- arz
- tedarik zinciri
- sistem
- kayıt sistemi
- T
- Bizi daha iyi tanımak için
- alınan
- alır
- alma
- takım
- Teknolojileri
- söylemek
- eğilimindedir
- şartlar
- göre
- Teşekkürler
- o
- The
- ve bazı Asya
- kendilerini
- Bunlar
- onlar
- Düşünme
- Üçüncü
- üçüncü şahıslara ait
- Re-Tweet
- Bu yıl
- Bu
- tehditler
- sıkma
- için
- bugün
- çok
- üst
- Hakikat
- çalışıyor
- eninde sonunda
- altında
- sigortacılar
- us
- Geniş
- satıcıları
- mengene
- Başkan Yardımcısı
- İhlaller
- vizyonerler
- Uyardı
- washington
- Yol..
- we
- vardı
- Ne
- Nedir
- ne zaman
- olup olmadığını
- hangi
- DSÖ
- neden
- irade
- ile
- olmadan
- çalışma
- olur
- yazılı
- yıl
- yıl
- Evet
- sen
- kendiniz
- zefirnet