Khi năm mới bắt đầu, các CISO tập hợp với nhóm bảo mật và ban quản lý công ty của họ để vạch ra các ưu tiên hàng đầu cho năm 2024 và cách giải quyết những vấn đề này. Năm nay — với vô số luật mới về quyền riêng tư, các quy định của Ủy ban Chứng khoán và Giao dịch, các mối đe dọa trên mạng và các công nghệ mới hứa hẹn sẽ giải quyết những mối đe dọa đó — họ có thể đang mất ngủ khi cố gắng tối ưu hóa các mảnh Tetris tục ngữ của chiến lược an ninh mạng.
Trong tất cả các thách thức đang tranh giành sự chú ý của CISO, trách nhiệm cá nhân và pháp lý đối với các vi phạm dữ liệu mà SEC đặt ra cho CISO có thể là thách thức lớn nhất trong năm mới, Nicole Sundin, giám đốc sản phẩm của Axio cho biết. Cô lưu ý: “Với việc các CISO được đưa lên phòng họp để thảo luận về những rủi ro này, họ sẽ cần một hệ thống hồ sơ để bảo vệ bản thân và thể hiện nghĩa vụ quan tâm”.
Cô nói: “Hiện tại, các CISO có những cuộc trò chuyện này, đưa ra những lựa chọn khó khăn và hành động khi họ thấy cần thiết - nhưng những điều này có thể được ghi lại hoặc không được ghi lại”. “Bằng cách có một nguồn thông tin xác thực duy nhất hoặc một hệ thống hồ sơ, CISO có thể tự bảo vệ mình tốt hơn. Nếu không, chúng ta sẽ tiếp tục chứng kiến những sự cố nổi bật trong đó một CISO không có [bản ghi các sự kiện và lý do chúng diễn ra] này sẽ thất bại.”
1. Tự bảo vệ mình trước trách nhiệm cá nhân
Sundin ví CISO với các giám đốc điều hành chăm sóc sức khỏe, những người lưu giữ hồ sơ chi tiết về mọi hành động họ thực hiện để tự bảo vệ mình trước những cáo buộc về hành vi sai trái. Xem xét rằng nhiều CISO không được bảo hiểm theo chính sách bảo hiểm của giám đốc và cán bộ công ty (D&O), họ sẽ phải chịu trách nhiệm cá nhân theo quy định mới của SEC nếu có vi phạm xảy ra. Điều đó bao gồm trách nhiệm cá nhân đối với cả vi phạm mất dữ liệu hoặc vi phạm quyền riêng tư mà không mất dữ liệu.
Sundin khuyến nghị CISO nên thực hiện các bước sau càng sớm càng tốt:
-
Tạo một bản ghi hệ thống. Nó có thể là một bản kế hoạch hoặc nhật ký trong đó mọi hành động liên quan đến một sự cố an ninh tiềm ẩn đều được ghi lại kèm theo mô tả chi tiết, theo trình tự thời gian về từng hành động được thực hiện và lý do tại sao chúng được thực hiện.
-
Tạo ra định nghĩa của công ty về “tính trọng yếu”, với ý kiến đóng góp từ tổng cố vấn hoặc giám đốc rủi ro, để thiết lập các hướng dẫn rõ ràng về điều gì được coi là có ý nghĩa quan trọng về mặt pháp lý đối với các nhà đầu tư hoặc cổ đông và điều gì không.
-
Học cách nói chuyện với ban giám đốc và các nhà điều hành khác về mặt tài chính. Báo cho hội đồng quản trị biết chính xác những biện pháp kiểm soát an ninh nào được yêu cầu, chi phí của chúng và tổn thất tiềm ẩn đối với công ty nếu vi phạm xảy ra do không áp dụng các biện pháp kiểm soát an ninh.
CISO cũng phải là người tham gia tích cực khi đàm phán chính sách bảo hiểm mạng, Sundin nói. Thông thường, CISO cần ký vào những gì mà tổng cố vấn hoặc CFO cuối cùng sẽ đàm phán, nhưng nếu không có ý kiến trực tiếp - với hồ sơ bằng văn bản về các khuyến nghị của họ - họ có thể phải chịu trách nhiệm pháp lý về việc bảo vệ một trường hợp loại trừ không được bảo hiểm.
2. Giám sát các mối đe dọa bảo mật mới nổi
David Anderson, phó chủ tịch trách nhiệm mạng tại Woodruff Sawyer, một công ty môi giới bảo hiểm quốc gia, dự đoán rằng các công ty bảo hiểm mạng sẽ tập trung vào các vi phạm quyền riêng tư vào năm 2024. Anderson cho biết các nhà bảo lãnh bảo hiểm mạng dự kiến sẽ thắt chặt quy định về cách các tổ chức triển khai bảo mật trên dữ liệu riêng tư và tài khoản đặc quyền, bao gồm cả tài khoản dịch vụ, theo ông lưu ý, có xu hướng được hưởng quá nhiều đặc quyền và thường không thay đổi mật khẩu trong nhiều năm.
“Nếu bạn không tuân thủ các luật và quy chế về quyền riêng tư áp dụng cho doanh nghiệp của bạn, cho khu vực pháp lý của bạn, theo tiêu chuẩn hợp lý của bạn áp dụng, thì chúng tôi sẽ không đề cập đến thực tế là bạn đang chia sẻ dữ liệu theo cách không phù hợp. với chính sách quyền riêng tư của bạn hoặc không phù hợp với quy chế,” Anderson nói.
Trích dẫn việc thắt chặt luật riêng tư ở các bang như California và Washington, ông cho biết các công ty bảo hiểm mạng đang yêu cầu các tổ chức không chỉ có chính sách bảo mật toàn diện tại chỗ mà còn phải chứng minh rằng họ tuân thủ chính sách của mình. Nếu các tổ chức không bảo vệ dữ liệu được bảo vệ bởi chính sách quyền riêng tư của họ, họ có thể thấy mình không được bảo hiểm.
“Đó có thể là một rủi ro không thể bảo hiểm được,” ông nói. “Những tuyên bố đó cực kỳ tốn kém từ góc độ quốc phòng và dàn xếp.”
“Người bảo lãnh phát hành sẽ tìm kiếm nhiều thứ hơn là chỉ có hộp kiểm có hoặc không [trên đơn đăng ký bảo hiểm mạng]. Anderson cảnh báo, bạn sẽ phải chỉ ra nơi các biện pháp kiểm soát này được nhúng [và] nơi bạn đang buộc các nhà cung cấp của mình tuân thủ cùng một mức độ cẩn thận” như chính sách quyền riêng tư của tổ chức của bạn quy định.
3. Quản lý rủi ro của bên thứ ba
Mặc dù các mối đe dọa về quyền riêng tư sẽ là ưu tiên hàng đầu của ban giám đốc trong năm 2024 nhờ các quy định mới của SEC và các yêu cầu của các công ty bảo hiểm mạng, nhưng các mối đe dọa khác trong chuỗi cung ứng cũng vậy. Alastair Parr, phó chủ tịch cấp cao về sản phẩm và dịch vụ toàn cầu tại nhà cung cấp quản lý rủi ro bên thứ ba (TPRM) Prevalent, cho biết các tổ chức nên xây dựng chương trình mua sắm của mình bằng cách xác định các đối tác từ góc độ: Làm thế nào bên thứ ba này có thể mang lại lợi ích về khả năng phục hồi hoạt động cho chúng tôi?
Parr cho biết, những người có tầm nhìn xa trông rộng nhìn vào việc quản lý rủi ro của bên thứ ba (TPRM) và dữ liệu tổng hợp cũng như ý nghĩa của việc vi phạm dữ liệu dựa trên việc tuân thủ quy định mới nổi và mở rộng. Thay vì tập trung vào dữ liệu, ông đề xuất áp dụng cách tiếp cận toàn diện, gọi đó là khuôn khổ quản lý rủi ro nhà cung cấp đa chức năng.
Ông nói: “Ngay khi hội đồng quản trị bắt đầu nghĩ về nó như một chương trình đa chức năng, một chương trình toàn diện hơn - giống một vòng đời hơn - sẽ thay đổi những câu hỏi mà họ nên đặt ra”. “Họ lẽ ra nên hào hứng với việc tham gia mua sắm. Họ không nên sợ dữ liệu chỉ vì dữ liệu.”
Parr cho biết, đại đa số các công ty ngày nay đang gặp khó khăn với TPRM vì họ tập trung nhiều vào chi phí quản trị dữ liệu hơn là tuân thủ quy định, khả năng phục hồi hoạt động, tác động đến thương hiệu hoặc rủi ro danh tiếng liên quan đến vi phạm dữ liệu.
Nhìn về phía trước
Trong môi trường ngày càng có nhiều quy định, CISO hiện phải chịu trách nhiệm cá nhân về các vi phạm dữ liệu, bất kể chúng liên quan đến mất dữ liệu hay vi phạm quyền riêng tư. Để đáp lại, các nhà bảo hiểm mạng đang thắt chặt các quy tắc của họ về cách các tổ chức nên bảo vệ dữ liệu riêng tư và tài khoản đặc quyền. Và tất cả những điều này đang diễn ra với sự chú ý ngày càng tăng từ các cơ quan quản lý, công ty bảo hiểm và C-Suite đối với các mối đe dọa trong chuỗi cung ứng.
Để đáp ứng những thách thức này trong năm tới, CISO cần bảo vệ tổ chức và chính họ bằng cách tạo ra một hệ thống ghi lại các hành động và quyết định có liên quan, thiết lập và thực thi các chính sách bảo mật toàn diện và nhất quán, đồng thời đánh giá các đối tác bên thứ ba của họ về khả năng phục hồi hoạt động.
Bằng cách làm việc trong toàn tổ chức với các nhóm mua sắm, pháp lý và bảo mật, CISO có thể giảm thiểu tác động tiềm ẩn của các mối đe dọa chuỗi cung ứng và chi phí bảo hiểm đối với hoạt động kinh doanh của họ — đồng thời tự bảo vệ mình.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
- : có
- :là
- :không phải
- :Ở đâu
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- Có khả năng
- Giới thiệu
- về nó
- Trợ Lý Giám Đốc
- ngang qua
- Hành động
- Hoạt động
- hành động
- hoạt động
- địa chỉ
- tham gia
- tôn trọng
- chống lại
- tổng hợp
- căn chỉnh
- Tất cả
- Ngoài ra
- an
- và
- anderson
- áp dụng
- Các Ứng Dụng
- áp dụng
- phương pháp tiếp cận
- LÀ
- AS
- yêu cầu
- Đánh giá
- liên kết
- At
- sự chú ý
- dựa
- BE
- bởi vì
- trở nên
- được
- Lợi ích
- Hơn
- bảng
- ban giám đốc
- cả hai
- thương hiệu
- vi phạm
- vi phạm
- môi giới
- xây dựng
- kinh doanh
- nhưng
- by
- Bộ C
- california
- gọi
- CAN
- mà
- cfo
- chuỗi
- thách thức
- thách thức
- thay đổi
- Những thay đổi
- chánh
- giám đốc sản phẩm
- lựa chọn
- Vòng tròn
- CISO
- tuyên bố
- trong sáng
- đến
- hoa hồng
- Các công ty
- công ty
- tuân thủ
- toàn diện
- xem xét
- xem xét
- thích hợp
- tiếp tục
- điều khiển
- cuộc hội thoại
- Doanh nghiệp
- Phí Tổn
- Chi phí
- có thể
- tư vấn
- che
- bảo hiểm
- phủ
- Tạo
- Vượt qua
- Hiện nay
- không gian mạng
- An ninh mạng
- dữ liệu
- Vi phạm dữ liệu
- mất dữ liệu
- David
- quyết định
- Phòng thủ
- định nghĩa
- yêu cầu
- chứng minh
- Mô tả
- chi tiết
- ra lệnh
- khó khăn
- trực tiếp
- Giám đốc
- thảo luận
- tài liệu
- tài liệu
- doesn
- hai
- mỗi
- cao
- nhúng
- mới nổi
- thực thi
- Môi trường
- thành lập
- thành lập
- Ether (ETH)
- sự kiện
- Mỗi
- chính xác
- Sàn giao dịch
- Ủy ban trao đổi
- kích thích
- giám đốc điều hành
- mở rộng
- dự kiến
- đắt tiền
- thực tế
- FAIL
- Rơi
- tài chính
- Tìm kiếm
- Tập trung
- tập trung
- theo
- tiếp theo
- Trong
- buộc
- Khung
- từ
- chức năng
- thu thập
- Tổng Quát
- nhận được
- Toàn cầu
- đi
- quản trị
- hướng dẫn
- có
- Xảy ra
- Có
- có
- he
- chăm sóc sức khỏe
- Được tổ chức
- Cao
- tầm cỡ
- toàn diện
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- ICON
- xác định
- if
- Va chạm
- thực hiện
- in
- sự cố
- sự cố
- bao gồm
- Bao gồm
- tăng
- đầu vào
- bảo hiểm
- Công ty bảo hiểm
- Các nhà đầu tư
- liên quan
- sự tham gia
- các vấn đề
- IT
- chính nó
- jpg
- quyền hạn
- chỉ
- Giữ
- Luật
- Hợp pháp
- hợp pháp
- Cấp
- trách nhiệm
- vòng đời
- Xem
- mất
- sự mất
- Đa số
- làm cho
- quản lý
- quản lý
- nhiều
- vật chất
- Có thể..
- nghĩa là
- Gặp gỡ
- Might
- Giảm nhẹ
- Màn Hình
- chi tiết
- hầu hết
- nhiều
- phải
- quốc dân
- cần thiết
- Cần
- Mới
- Công nghệ mới
- năm mới
- Không
- Thông thường
- Chú ý
- tại
- of
- off
- cung cấp
- Nhân viên văn phòng
- cán bộ
- thường
- on
- có thể
- hoạt động
- khả năng phục hồi hoạt động
- or
- gọi món
- cơ quan
- tổ chức
- Nền tảng khác
- nếu không thì
- ra
- tham gia
- Đối tác
- bên
- Mật khẩu
- riêng
- Cá nhân
- quan điểm
- miếng
- Nơi
- đặt
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Chính sách
- điều luật
- có thể
- tiềm năng
- Dự đoán
- Chủ tịch
- thịnh hành
- riêng tư
- Vi phạm quyền riêng tư
- luật riêng tư
- Chính sách bảo mật
- Các mối đe dọa riêng tư
- riêng
- đặc quyền đặc lợi
- mua sắm
- Sản phẩm
- Sản phẩm
- Sản phẩm và dịch vụ
- chương trình
- Khóa Học
- hứa hẹn
- bảo vệ
- bảo vệ
- bảo vệ
- nhà cung cấp dịch vụ
- Câu hỏi
- hơn
- RE
- hợp lý
- lý do
- khuyến nghị
- đề nghị
- ghi
- ghi lại
- hồ sơ
- Bất kể
- Quy định
- quy định
- Điều phối
- nhà quản lý
- Tuân thủ quy định
- có liên quan
- cần phải
- Yêu cầu
- khả năng phục hồi
- phản ứng
- trách nhiệm
- Nguy cơ
- quản lý rủi ro
- rủi ro
- quy tắc
- s
- Nói
- sake
- tương tự
- nói
- sợ hãi
- phạm vi
- SEC
- Chứng khoán
- Ủy ban chứng khoán
- an ninh
- xem
- cao cấp
- dịch vụ
- DỊCH VỤ
- giải quyết
- cổ đông
- chia sẻ
- chị ấy
- nên
- hiển thị
- đăng ký
- có ý nghĩa
- duy nhất
- ngủ
- So
- động SOLVE
- Chẳng bao lâu
- nguồn
- nói
- ngăn xếp
- Tiêu chuẩn
- bắt đầu
- Bang
- Các bước
- Chiến lược
- Đấu tranh
- như vậy
- Gợi ý
- nhà cung cấp
- cung cấp
- chuỗi cung ứng
- hệ thống
- hệ thống hồ sơ
- T
- Hãy
- Lấy
- mất
- dùng
- đội
- Công nghệ
- nói
- có xu hướng
- về
- hơn
- cảm ơn
- việc này
- Sản phẩm
- cung cấp their dịch
- tự
- Kia là
- họ
- Suy nghĩ
- Thứ ba
- của bên thứ ba
- điều này
- năm nay
- những
- các mối đe dọa
- thắt chặt
- đến
- bây giờ
- quá
- hàng đầu
- Sự thật
- cố gắng
- Cuối cùng
- Dưới
- người bảo lãnh
- us
- Lớn
- nhà cung cấp
- phó
- Phó Chủ Tịch
- Vi phạm
- người nhìn xa trông rộng
- Cảnh báo
- Washington
- Đường..
- we
- là
- Điều gì
- Là gì
- khi nào
- liệu
- cái nào
- CHÚNG TÔI LÀ
- tại sao
- sẽ
- với
- không có
- đang làm việc
- sẽ
- viết
- năm
- năm
- Vâng
- bạn
- trên màn hình
- mình
- zephyrnet