3 میں CISOs کے لیے سرفہرست 2024 ترجیحات

3 میں CISOs کے لیے سرفہرست 2024 ترجیحات

ٹائم سٹیمپ: 19 جنوری 2024 5:20 PM
ماخذ نوڈ: 3072560

جیسے ہی نیا سال شروع ہوتا ہے، CISOs اپنی سیکیورٹی ٹیموں اور کارپوریٹ انتظامیہ کے ساتھ 2024 کے لیے اولین ترجیحات اور ان مسائل کو حل کرنے کے طریقہ کار کے لیے جمع ہوتے ہیں۔ اس سال — رازداری کے بہت سے نئے قوانین، سیکیورٹیز اینڈ ایکسچینج کمیشن کے ضوابط، سائبر خطرات، اور ان خطرات کو حل کرنے کا وعدہ کرنے والی نئی ٹیکنالوجیز کے ساتھ — ہو سکتا ہے کہ وہ سائبر سیکیورٹی حکمت عملی کے محاورے ٹیٹریس کے ٹکڑوں کو بہتر طریقے سے اسٹیک کرنے کی کوشش کر رہے ہوں۔

CISO کی توجہ حاصل کرنے کے لیے درپیش تمام چیلنجوں میں سے، ڈیٹا کی خلاف ورزیوں کی ذاتی اور قانونی ذمہ داری جو SEC نے CISOs پر رکھی ہے، نئے سال میں سب سے زیادہ چیلنجنگ ہو سکتی ہے، نکول سنڈین، Axio کے چیف پروڈکٹ آفیسر کہتے ہیں۔ "ان خطرات پر بات کرنے کے لیے CISOs کو بورڈ روم میں بلند کیے جانے کے ساتھ، انہیں اپنی حفاظت اور دیکھ بھال کے فرائض کا مظاہرہ کرنے کے لیے ریکارڈ کے ایک نظام کی ضرورت ہوگی،" وہ نوٹ کرتی ہے۔

"فی الحال، CISO کے پاس یہ بات چیت ہوتی ہے، مشکل انتخاب کرتے ہیں، اور جیسا کہ وہ ضروری سمجھتے ہیں کام کرتے ہیں - لیکن یہ دستاویزی ہو سکتے ہیں یا نہیں،" وہ کہتی ہیں۔ "سچائی کا ایک واحد ذریعہ یا ریکارڈ کا ایک نظام رکھنے سے، CISOs اپنی حفاظت بہتر طریقے سے کر سکتے ہیں۔ بصورت دیگر، ہم ایسے ہائی پروفائل واقعات کو دیکھتے رہیں گے جہاں ایک CISO جس کے پاس یہ [واقعات کا ریکارڈ اور انہیں کیوں لیا گیا] نہیں ہے، زوال کا باعث بنتا ہے۔

1. ذاتی ذمہ داری کے خلاف اپنا دفاع کریں۔

Sundin CISOs کو ہیلتھ کیئر ایگزیکٹوز سے تشبیہ دیتے ہیں، جو بدعنوانی کے دعووں کے خلاف اپنا دفاع کرنے کے لیے کیے گئے ہر عمل کا تفصیلی ریکارڈ رکھتے ہیں۔ اس بات پر غور کرتے ہوئے کہ بہت سے CISOs کارپوریٹ ڈائریکٹرز اور آفیسرز (D&O) انشورنس پالیسیوں کے تحت نہیں آتے ہیں، وہ ذاتی طور پر ذمہ دار ہوں گے۔ SEC کے نئے قوانین کیا خلاف ورزی ہوتی ہے؟ اس میں ڈیٹا کے نقصان کے ساتھ خلاف ورزی یا ڈیٹا کے نقصان کے بغیر رازداری کی خلاف ورزی دونوں کی ذاتی ذمہ داری شامل ہے۔

Sundin تجویز کرتا ہے کہ CISOs جلد از جلد درج ذیل اقدامات کریں:

  • سسٹم ریکارڈ بنائیں۔ یہ ایک منصوبہ ساز یا ڈائری ہو سکتی ہے جہاں ممکنہ حفاظتی واقعے سے متعلق ہر کارروائی کو ہر ایک کی گئی کارروائی کی تفصیلی، تاریخ ساز وضاحت اور ان وجوہات کے ساتھ ریکارڈ کیا جاتا ہے کہ وہ کیوں کیے گئے۔

  • "مادیت" کے لیے ایک کارپوریٹ تعریف تخلیق کریں، جنرل کونسل یا چیف رسک آفیسر کے ان پٹ کے ساتھ، اس بات کے لیے واضح رہنما خطوط قائم کریں کہ سرمایہ کاروں یا شیئر ہولڈرز کے لیے کیا قانونی طور پر اہم سمجھا جاتا ہے اور کیا نہیں ہے۔

  • بورڈ آف ڈائریکٹرز سے بات کرنا سیکھیں۔ اور دیگر ایگزیکٹوز مالی لحاظ سے۔ بورڈ کو بالکل بتائیں کہ کون سے سیکیورٹی کنٹرولز کی ضرورت ہے، ان کی قیمت، اور اگر سیکیورٹی کنٹرولز نہ ہونے کی وجہ سے خلاف ورزی ہوتی ہے تو کمپنی کو ہونے والا ممکنہ نقصان۔

CISOs کو بھی فعال شریک ہونا چاہیے جب سائبر انشورنس پالیسیوں پر بات چیت، سنڈین کہتے ہیں۔ عام طور پر CISOs کو اس بات پر دستخط کرنے کی ضرورت ہوتی ہے کہ جنرل کونسل یا CFO آخر کار کیا بات چیت کرتے ہیں، لیکن براہ راست ان پٹ کے بغیر - ان کی سفارشات کے تحریری ریکارڈ کے ساتھ - وہ ناقابل بیمہ اخراج کی حفاظت کے لیے قانونی طور پر ذمہ دار بن سکتے ہیں۔

2. ابھرتے ہوئے رازداری کے خطرات کی نگرانی کریں۔

سائبر بیمہ کنندگان 2024 میں پرائیویسی کی خلاف ورزیوں پر توجہ مرکوز کریں گے، ڈیوڈ اینڈرسن، Woodruff Sawyer، ایک قومی انشورنس بروکریج میں سائبر ذمہ داری کے نائب صدر کی پیش گوئی کرتے ہیں۔ اینڈرسن کا کہنا ہے کہ سائبر انشورنس انڈر رائٹرز سے توقع کی جاتی ہے۔ سخت ضابطے اس کے بارے میں کہ تنظیمیں کس طرح نجی ڈیٹا اور مراعات یافتہ اکاؤنٹس پر سیکیورٹی کو نافذ کرتی ہیں، بشمول سروس اکاؤنٹس، جنہیں وہ نوٹ کرتا ہے، زیادہ مراعات یافتہ ہوتے ہیں اور اکثر سالوں میں ان کے پاس ورڈ تبدیل نہیں ہوتے ہیں۔

"اگر آپ رازداری کے ان قوانین اور قوانین کی پابندی نہیں کر رہے ہیں جو آپ کے کاروبار پر لاگو ہوتے ہیں، آپ کے دائرہ اختیار پر، جس پر آپ کا معقول معیار لاگو ہوتا ہے، تو ہم اس حقیقت کا احاطہ نہیں کریں گے کہ آپ ڈیٹا کو اس طرح سے شیئر کر رہے ہیں جو کہ ہم آہنگ نہیں ہے۔ آپ کی رازداری کی پالیسی کے ساتھ یا قانون کے ساتھ منسلک نہیں ہے،" اینڈرسن کہتے ہیں۔

سختی کا حوالہ دیتے ہوئے رازداری کے قوانین کیلیفورنیا اور واشنگٹن جیسی ریاستوں میں، وہ کہتے ہیں کہ سائبر بیمہ کنندگان تنظیموں سے مطالبہ کر رہے ہیں کہ نہ صرف جامع رازداری کی پالیسیاں موجود ہوں، بلکہ یہ ظاہر کریں کہ وہ اپنی پالیسیوں پر عمل پیرا ہیں۔ اگر تنظیمیں اپنی رازداری کی پالیسی کے ذریعے محفوظ کردہ ڈیٹا کی حفاظت کرنے میں ناکام رہتی ہیں، تو وہ خود کو کوریج کے بغیر تلاش کر سکتی ہیں۔

"یہ ایک ناقابلِ بیمہ خطرہ ہو سکتا ہے،" وہ کہتے ہیں۔ "یہ دعوے دفاعی اور تصفیہ کے نقطہ نظر سے خوفناک حد تک مہنگے ہیں۔"

"انڈر رائٹر [سائبر انشورنس ایپلی کیشن پر] صرف ہاں یا نہیں کے چیک باکس سے زیادہ تلاش کرنے جا رہا ہے۔ آپ کو یہ دکھانا ہو گا کہ یہ کنٹرول کہاں سرایت کر رہے ہیں [اور] جہاں آپ اپنے دکانداروں کو اسی سطح کی دیکھ بھال پر عمل کرنے پر مجبور کر رہے ہیں" جیسا کہ آپ کی تنظیم کی رازداری کی پالیسیوں کا حکم ہے، اینڈرسن نے خبردار کیا۔

3. فریق ثالث کے خطرات کا نظم کریں۔

اگرچہ 2024 کے لیے بورڈ آف ڈائریکٹرز کی ترجیحات میں رازداری کے خطرات زیادہ ہوں گے جس کی بدولت SEC کے نئے ضوابط اور سائبر بیمہ کنندگان کی ضروریات ہیں، اسی طرح سپلائی چین کے دیگر خطرات بھی ہوں گے۔ الیسٹر پار، تھرڈ پارٹی رسک مینجمنٹ (TPRM) پرووائیڈر پر گلوبل پروڈکٹس اور سروسز کے سینئر نائب صدر کا کہنا ہے کہ تنظیموں کو اپنے پروکیورمنٹ پروگراموں کو اس نقطہ نظر سے شراکت داروں کی شناخت کر کے بنانا چاہیے: یہ تھرڈ پارٹی ہمارے لیے آپریشنل لچک کے فوائد کیسے پیش کر سکتی ہے؟

پارر نے کہا کہ آگے کی سوچ رکھنے والے افراد تھرڈ پارٹی رسک مینجمنٹ (TPRM) اور ڈیٹا کو مجموعی طور پر دیکھتے ہیں اور ابھرتی ہوئی اور توسیع پذیر ریگولیٹری تعمیل کی بنیاد پر ڈیٹا کی خلاف ورزیوں کا کیا مطلب ہے۔ خود ڈیٹا پر توجہ مرکوز کرنے کے بجائے، وہ اسے ایک کراس فنکشنل سپلائر رسک مینجمنٹ فریم ورک قرار دیتے ہوئے ایک جامع نقطہ نظر اختیار کرنے کا مشورہ دیتے ہیں۔

"جیسے ہی بورڈ اس کے بارے میں کراس فنکشنل کے طور پر سوچنا شروع کرتا ہے، ایک زیادہ جامع پروگرام - ایک لائف سائیکل کا زیادہ حصہ - جو ان سوالات کو تبدیل کرتا ہے جو انہیں پوچھنا چاہیے،" وہ کہتے ہیں۔ "انہیں خریداری میں شمولیت کے بارے میں پرجوش ہونا چاہئے۔ انہیں ڈیٹا کی خاطر ڈیٹا سے خوفزدہ نہیں ہونا چاہئے۔"

Parr کا کہنا ہے کہ آج کل کمپنیوں کی اکثریت TPRM کے ساتھ جدوجہد کر رہی ہے، کیونکہ وہ ریگولیٹری تعمیل، آپریشنل لچک، برانڈ کے اثرات، یا ڈیٹا کی خلاف ورزیوں سے وابستہ ساکھ کے خطرے کی بجائے ڈیٹا گورننس کی لاگت پر زیادہ توجہ مرکوز کرتی ہیں۔

مستقبل میں

بڑھتے ہوئے ضابطے کے ماحول میں، CISOs کو ڈیٹا کی خلاف ورزیوں کے لیے اب ذاتی طور پر ذمہ دار ٹھہرایا جاتا ہے، قطع نظر اس کے کہ ان میں ڈیٹا کا نقصان یا رازداری کی خلاف ورزیاں شامل ہوں۔ جواب میں، سائبر انشورنس انڈر رائٹرز اپنے قوانین کو سخت کر رہے ہیں کہ تنظیموں کو نجی ڈیٹا اور مراعات یافتہ اکاؤنٹس کی حفاظت کیسے کرنی چاہیے۔ اور یہ سب کچھ ریگولیٹرز، بیمہ کنندگان، اور C-suite کی طرف سے سپلائی چین کے خطرات کی طرف بڑھتی ہوئی توجہ کے ساتھ ہو رہا ہے۔

آنے والے سال میں ان چیلنجوں کا مقابلہ کرنے کے لیے، CISOs کو متعلقہ اقدامات اور فیصلوں کو دستاویز کرنے، جامع اور مستقل رازداری کی پالیسیاں قائم کرنے اور نافذ کرنے، اور آپریشنل لچک کے لحاظ سے اپنے تیسرے فریق کے شراکت داروں کا اندازہ لگانے کے لیے ایک نظام تشکیل دے کر اپنی تنظیم اور خود کو بچانے کی ضرورت ہے۔

پروکیورمنٹ، قانونی اور سیکیورٹی ٹیموں کے ساتھ پوری تنظیم میں کام کرنے سے، CISOs اپنے کاروبار پر سپلائی چین کے خطرات اور بیمہ کی لاگت کے ممکنہ اثرات کو کم کر سکتے ہیں — اور خود کو بھی کور کر سکتے ہیں۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا