3 年 CISO 的 2024 大优先事项

由柏拉图重新发布

关注： 0

新年伊始，CISO 与安全团队和企业管理层齐聚一堂，确定 2024 年的首要任务以及如何解决这些问题。今年，随着大量新的隐私法、证券交易委员会法规、网络威胁以及有望解决这些威胁的新技术的出现，他们可能会失眠，试图以最佳方式堆叠网络安全策略中众所周知的俄罗斯方块部分。

Axio 首席产品官 Nicole Sundin 表示，在争夺 CISO 注意力的所有挑战中，SEC 要求 CISO 承担的数据泄露个人和法律责任可能是新的一年中最具挑战性的。她指出：“随着首席信息安全官被提升到董事会讨论这些风险，他们将需要一个记录系统来保护自己并证明注意义务。”

“目前，首席信息安全官们进行这些对话，做出艰难的选择，并根据他们认为必要的情况采取行动——但这些可能会也可能不会被记录下来，”她说。 “通过拥有单一事实来源或记录系统，CISO 可以更好地保护自己。否则，我们将继续看到一些备受瞩目的事件，其中没有记录[事件记录以及事件发生原因]的 CISO 会失败。”

1. 保护自己免遭个人责任

Sundin 将 CISO 比作医疗保健高管，他们详细记录所采取的每项行动，以保护自己免受不当行为的指控。考虑到许多 CISO 不受公司董事和高级职员 (D&O) 保险政策的保障，他们将根据以下规定承担个人责任：美国证券交易委员会新规则如果发生违规。这包括导致数据丢失的违规行为或不导致数据丢失的隐私违规行为的个人责任。

Sundin 建议 CISO 尽快采取以下步骤：

创建系统记录。它可以是一本计划表或日记，其中记录了与潜在安全事件相关的每项操作，并按时间顺序详细描述了所采取的每项操作以及采取这些操作的原因。
根据总法律顾问或首席风险官的意见，制定“重要性”的企业定义，以制定明确的指导方针，明确哪些内容在法律上被认为对投资者或股东具有重大意义，哪些不具有重大意义。
学会与董事会交谈以及财务方面的其他高管。准确地告诉董事会需要哪些安全控制措施、其成本以及由于安全控制措施不到位而发生违规时给公司带来的潜在损失。

CISO 也必须积极参与谈判网络保险政策，桑丁说。通常情况下，首席信息安全官需要签署总法律顾问或首席财务官最终协商的内容，但如果没有直接输入（并附有其建议的书面记录），他们可能会承担保护不可保除外责任的法律责任。

2. 监控新出现的隐私威胁

全国保险经纪公司 Woodruff Sawyer 网络责任副总裁 David Anderson 预测，到 2024 年，网络保险公司将重点关注隐私泄露问题。安德森表示，网络保险承保人预计将加强监管关于组织如何实现私人数据和特权帐户（包括服务帐户）的安全性，他指出，服务帐户往往特权过高，并且通常多年没有更改密码。

“如果您不遵守适用于您的业务、您的司法管辖区以及您的合理标准所适用的隐私法律和法规，我们将不会涵盖您以不符合标准的方式共享数据的事实符合您的隐私政策或不符合法规，”安德森说。

引用紧缩政策隐私法他表示，在加利福尼亚州和华盛顿州等州，网络保险公司要求组织不仅制定全面的隐私政策，而且能够证明他们遵守政策。如果组织未能保护受隐私政策保护的数据，他们可能会发现自己没有受到保护。

“这可能是一种无法保险的风险，”他说。 “从防御和和解的角度来看，这些索赔的代价极其高昂。”

“承保人在网络保险申请中寻求的不仅仅是是或否复选框。安德森警告说，你必须展示这些控制措施嵌入的位置，以及你迫使供应商遵守与你的组织的隐私政策规定的同等程度的关注。

3. 管理第三方风险

由于新的 SEC 法规和网络保险公司的要求，隐私威胁将成为 2024 年董事会的首要任务，其他供应链威胁也将成为董事会的首要任务。第三方风险管理 (TPRM) 提供商 Prevalent 的全球产品和服务高级副总裁 Alastair Parr 表示，组织应该从以下角度确定合作伙伴来制定采购计划：该第三方如何为我们提供运营弹性优势？

帕尔表示，具有前瞻性思维的远见者会根据新兴和不断扩大的监管合规性，着眼于第三方风险管理 (TPRM) 和总体数据，以及数据泄露意味着什么。他建议不要关注数据本身，而是采取整体方法，将其称为跨职能供应商风险管理框架。

“一旦董事会开始将其视为跨职能、更全面的计划——更像是一个生命周期——就会改变他们应该提出的问题，”他说。 “他们应该对采购的参与感到兴奋。他们不应该为了数据而害怕数据。”

帕尔表示，如今绝大多数公司都在与 TPRM 作斗争，因为他们更关注数据治理的成本，而不是监管合规性、运营弹性、品牌影响或与数据泄露相关的声誉风险。