CISO 角：深入探讨 SecOps、保险和 CISO 的角色演变

欢迎来到 CISO Corner，这是专门为安全运营读者和安全领导者量身定制的每周文章摘要。每周，我们都会提供从我们的新闻部门、The Edge、DR Tech、DR Global 和我们的评论部分收集的文章。我们致力于为您提供多样化的观点，以支持各种类型和规模的组织的领导者实施网络安全策略的工作。

在这个问题上：

尽管期望值飙升，首席信息安全官仍在争夺高管地位

作者：Jai Vijayan，暗读特约作家

IANS 的一项调查显示，首席信息安全官 (CISO) 对数据泄露承担越来越多的法律和监管责任，但很少有人得到他们所需的认可或支持。

越来越多的首席信息安全官被要求承担通常被视为最高管理层角色的职责，但在许多组织中却没有被视为或对待。

IANS 的一项调查发现，由于新的法规以及对安全漏洞问责的要求不断提高，公共和私营部门组织对 CISO 角色的期望发生了巨大变化，整整 75% 的 CISO 正在寻求换工作。

但是，虽然超过 63% 的 CISO 担任副总裁或总监级别的职位，但只有 20% 的 CISO 担任首席高管级别，尽管他们的头衔是“首席”。对于收入超过 1 亿美元的组织来说，这个数字甚至更小，为 15%。

为什么大多数 CISO 缺乏工作满意度： 尽管期望值飙升，首席信息安全官仍在争夺高管地位

相关新闻： CISO 角色经历重大演变

随着攻击的增加，网络保险保费也将上涨

作者：罗伯特·莱莫斯 (Robert Lemos)，暗读特约作家

保险公司在 2021 年底将保费翻了一番，以抵消勒索软件索赔造成的损失。随着攻击再次增加，组织可以预见新一轮的攻击增加。

尽管勒索软件和隐私相关的索赔已经较上年猛增，但 6 年第三季度的保费成本较 2023 年同期下降了 2022%。

受疫情和勒索软件增长的推动，2020 年以来网络保险索赔激增，导致保单定价大幅上涨。但网络保险行业只会变得越来越大，根据惠誉评级的数据，直接承保保费价值到 5.1 年将增长至 2023 亿美元，同比增长 62%。

展望未来，参与者将增多，保单将变得不那么全面（因此保险公司面临风险），竞争也会更加激烈——所有这些都会导致承保价格走软。即便如此，一些人预测未来 12-18 个月保费成本将会上升。

了解会发生什么： 随着攻击的增加，网络保险保费也将上涨

相关新闻： 战争还是做生意的成本？网络保险公司制定排除条款

DR Global：缺少八项基本要素的网络安全标志

Adaptive Shield 高级技术研究员 Arye Zacks 的评论

澳大利亚的基本八个成熟度模型仍然没有解决保护当今云和 SaaS 环境所需的关键因素。

澳大利亚政府针对企业的主要网络安全风险管理框架“EssentialEightEightEight”（八项基本框架）成立于 2010 年，虽然每年都会更新，但未能跟上数字化转型的步伐进行现代化： SaaS 应用程序 占企业使用的所有软件的 70%，但文档中没有出现“SaaS”一词。

具体来说，它缺少四个关键的以云为中心的安全指令：配置管理、身份安全、第三方应用程序集成管理和资源控制。本文深入探讨了这些遗漏以及现代企业需要将哪些内容纳入其网络安全框架。

在这里阅读更多： 错过八个基本要素的网络安全标志

相关新闻： 现在是保护云原生应用程序的时候了

您的网络安全预算是马的屁股

CYE 现场 CISO 兼副总裁 Ira Winkler 的评论

历史预算限制是否限制了您的网络安全计划？不要让旧锯子阻碍你。是时候重新审视您的预算了，并首先考虑革命性的未来需求。

当前的安全预算不可避免地基于上一年的预算，上一年的预算又基于之前的预算，又基于之前的预算，等等。因此，当前的预算可能基本上是基于十多年前的预算——就像现代客运列车一样 可能欠债 大小相当于拉罗马战车的马。

以下是如何打破这个限制循环： 您的网络安全预算是马的屁股

相关新闻： Chertoff 集团附属公司完成 Trustwave 收购

保护 AI/ML 工具安全的第一步是找到它们

作者：Fahmida Y. Rashid，《暗读》专题总编辑

安全团队在考虑软件供应链时需要开始考虑这些工具。毕竟，他们无法保护他们不知道自己拥有的东西。

越来越多的应用程序融入了人工智能 (AI) 功能和工具，可以更轻松地使用机器学习 (ML) 模型，这给组织带来了新的软件供应链难题，组织的安全团队现在必须评估和管理以下问题带来的风险：这些人工智能组件。

此外，当员工将这些工具带入组织时，安全团队通常不会收到通知，并且缺乏可见性意味着他们无法管理这些工具或保护正在使用的数据。

以下是如何找到潜伏在正在使用的工具和应用程序中的人工智能/机器学习——甚至是影子工具和应用程序。

在这里阅读更多： 保护 AI/ML 工具安全的第一步是找到它们

相关新闻： 人工智能为防御者提供企业防御优势

3 年 CISO 的 2024 大优先事项

作者：史蒂芬·劳顿 (Stephen Lawton)，暗读特约作家

不断变化的监管和执法环境意味着聪明的 CISO 今年可能需要改变他们的工作方式。

随着 CISO 与安全团队和企业管理层齐聚一堂，确定 2024 年的首要任务，SEC 要求 CISO 承担的数据泄露个人和法律责任可能是新的一年中最具挑战性的。

反过来，网络保险的变化也会影响网络风险管理。当谈到 2024 年的隐私泄露问题时，网络保险承保人预计将加强对组织如何对私人数据和特权帐户（包括服务帐户）实施安全的监管，这些帐户往往特权过高，并且通常多年没有更改密码。

了解具有前瞻性思维的远见者如何应对违规风险（以及新兴的供应链威胁）： 3 年 CISO 的 2024 大优先事项

相关新闻： vCISO 模型适合您的组织吗？

CISA 的水务部门指南将事件响应置于首要位置和中心位置

作者：罗伯特·莱莫斯 (Robert Lemos)，暗读特约作家

随着网络攻击者越来越多地针对供水商和废水处理设施，美国联邦政府希望帮助限制破坏性攻击的影响。

在民族国家组织和网络犯罪分子针对服务不足的关键基础设施发起大量攻击后，供水和污水处理公司上周收到了美国网络安全和基础设施安全局 (CISA) 提供的关于改进网络攻击响应的新指南。

然而，该文件发布之际，水和废水处理部门 (WWS) 的网络安全工作却受到以下因素的阻碍： 资源限制。鉴于该行业面临的独特挑战，CISA 的 27 页指南为水务领域提供了关于如何创建有效的事件响应手册的详细建议。

以下是主要内容： CISA 的水务部门指南将事件响应置于首要位置和中心位置

相关新闻： APT 移开：网络犯罪分子现在也瞄准关键基础设施

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cybersecurity-operations/ciso-corner-deep-dive-secops-insurance-evolving-role