新年伊始,CISO 与安全团队和企业管理层齐聚一堂,确定 2024 年的首要任务以及如何解决这些问题。今年,随着大量新的隐私法、证券交易委员会法规、网络威胁以及有望解决这些威胁的新技术的出现,他们可能会失眠,试图以最佳方式堆叠网络安全策略中众所周知的俄罗斯方块部分。
Axio 首席产品官 Nicole Sundin 表示,在争夺 CISO 注意力的所有挑战中,SEC 要求 CISO 承担的数据泄露个人和法律责任可能是新的一年中最具挑战性的。她指出:“随着首席信息安全官被提升到董事会讨论这些风险,他们将需要一个记录系统来保护自己并证明注意义务。”
“目前,首席信息安全官们进行这些对话,做出艰难的选择,并根据他们认为必要的情况采取行动——但这些可能会也可能不会被记录下来,”她说。 “通过拥有单一事实来源或记录系统,CISO 可以更好地保护自己。否则,我们将继续看到一些备受瞩目的事件,其中没有记录[事件记录以及事件发生原因]的 CISO 会失败。”
1. 保护自己免遭个人责任
Sundin 将 CISO 比作医疗保健高管,他们详细记录所采取的每项行动,以保护自己免受不当行为的指控。考虑到许多 CISO 不受公司董事和高级职员 (D&O) 保险政策的保障,他们将根据以下规定承担个人责任: 美国证券交易委员会新规则 如果发生违规。这包括导致数据丢失的违规行为或不导致数据丢失的隐私违规行为的个人责任。
Sundin 建议 CISO 尽快采取以下步骤:
-
创建系统记录。它可以是一本计划表或日记,其中记录了与潜在安全事件相关的每项操作,并按时间顺序详细描述了所采取的每项操作以及采取这些操作的原因。
-
根据总法律顾问或首席风险官的意见,制定“重要性”的企业定义,以制定明确的指导方针,明确哪些内容在法律上被认为对投资者或股东具有重大意义,哪些不具有重大意义。
-
学会与董事会交谈 以及财务方面的其他高管。准确地告诉董事会需要哪些安全控制措施、其成本以及由于安全控制措施不到位而发生违规时给公司带来的潜在损失。
CISO 也必须积极参与 谈判网络保险政策,桑丁说。通常情况下,首席信息安全官需要签署总法律顾问或首席财务官最终协商的内容,但如果没有直接输入(并附有其建议的书面记录),他们可能会承担保护不可保除外责任的法律责任。
2. 监控新出现的隐私威胁
全国保险经纪公司 Woodruff Sawyer 网络责任副总裁 David Anderson 预测,到 2024 年,网络保险公司将重点关注隐私泄露问题。安德森表示,网络保险承保人预计将 加强监管 关于组织如何实现私人数据和特权帐户(包括服务帐户)的安全性,他指出,服务帐户往往特权过高,并且通常多年没有更改密码。
“如果您不遵守适用于您的业务、您的司法管辖区以及您的合理标准所适用的隐私法律和法规,我们将不会涵盖您以不符合标准的方式共享数据的事实符合您的隐私政策或不符合法规,”安德森说。
引用紧缩政策 隐私法 他表示,在加利福尼亚州和华盛顿州等州,网络保险公司要求组织不仅制定全面的隐私政策,而且能够证明他们遵守政策。如果组织未能保护受隐私政策保护的数据,他们可能会发现自己没有受到保护。
“这可能是一种无法保险的风险,”他说。 “从防御和和解的角度来看,这些索赔的代价极其高昂。”
“承保人在网络保险申请中寻求的不仅仅是是或否复选框。安德森警告说,你必须展示这些控制措施嵌入的位置,以及你迫使供应商遵守与你的组织的隐私政策规定的同等程度的关注。
3. 管理第三方风险
由于新的 SEC 法规和网络保险公司的要求,隐私威胁将成为 2024 年董事会的首要任务,其他供应链威胁也将成为董事会的首要任务。第三方风险管理 (TPRM) 提供商 Prevalent 的全球产品和服务高级副总裁 Alastair Parr 表示,组织应该从以下角度确定合作伙伴来制定采购计划:该第三方如何为我们提供运营弹性优势?
帕尔表示,具有前瞻性思维的远见者会根据新兴和不断扩大的监管合规性,着眼于第三方风险管理 (TPRM) 和总体数据,以及数据泄露意味着什么。他建议不要关注数据本身,而是采取整体方法,将其称为跨职能供应商风险管理框架。
“一旦董事会开始将其视为跨职能、更全面的计划——更像是一个生命周期——就会改变他们应该提出的问题,”他说。 “他们应该对采购的参与感到兴奋。他们不应该为了数据而害怕数据。”
帕尔表示,如今绝大多数公司都在与 TPRM 作斗争,因为他们更关注数据治理的成本,而不是监管合规性、运营弹性、品牌影响或与数据泄露相关的声誉风险。
展望未来
在监管加强的环境下,首席信息安全官现在要对数据泄露承担个人责任,无论是否涉及数据丢失或隐私侵犯。作为回应,网络保险承保人正在收紧有关组织应如何保护私人数据和特权帐户的规则。所有这一切都是随着监管机构、保险公司和高管层对供应链威胁的日益关注而发生的。
为了应对来年的这些挑战,CISO 需要通过创建一个记录相关行动和决策的系统、建立和执行全面且一致的隐私政策以及评估第三方合作伙伴的运营弹性来保护其组织和自身。
通过与整个组织的采购、法律和安全团队合作,CISO 可以减轻供应链威胁和保险成本对其业务的潜在影响,并为自己提供保障。
- :具有
- :是
- :不是
- :在哪里
- 10
- 11
- 2024
- 7
- 8
- 9
- a
- Able
- 关于
- 关于它
- 账户
- 横过
- 法案
- 操作
- 行动
- 要积极。
- 地址
- 坚持
- 坚持
- 驳
- 骨料
- 对齐的
- 所有类型
- 还
- an
- 和
- 安德森
- 相应
- 应用领域
- 适用
- 的途径
- 保健
- AS
- 问
- 评估
- 相关
- At
- 关注我们
- 基于
- BE
- 因为
- 成为
- 作为
- 好处
- 更好
- 板
- 董事会
- 都
- 品牌
- 违反
- 违规
- 经纪
- 建立
- 商业
- 但是
- by
- C-套房
- 加州
- 调用
- CAN
- 关心
- CFO
- 链
- 挑战
- 挑战
- 变
- 更改
- 首席
- 首席产品官
- 选择
- 圆
- CISO
- 索赔
- 清除
- 未来
- 佣金
- 公司
- 公司
- 符合
- 全面
- 考虑
- 考虑
- 一贯
- 继续
- 控制
- 对话
- 公司
- 价格
- 成本
- 可以
- 法律顾问
- 外壳
- 覆盖
- 覆盖
- 创造
- USB和Thunderbolt Cross
- 目前
- 网络
- 网络安全
- data
- 数据泄露
- 数据丢失
- David
- 决定
- 国防
- 定义
- 严格
- 演示
- 描述
- 详细
- 听写
- 难
- 直接
- 团队介绍
- 讨论
- 文件
- 记录
- 不会
- 两
- 每
- 提高的
- 嵌入式
- 新兴经济体的新市场。
- 强制执行
- 环境
- 建立
- 建立
- 醚(ETH)
- 事件
- 所有的
- 究竟
- 交换
- 交易委员会
- 兴奋
- 管理人员
- 扩大
- 预期
- 昂贵
- 事实
- 失败
- 秋季
- 金融
- 找到最适合您的地方
- 专注焦点
- 聚焦
- 遵循
- 以下
- 针对
- 强迫
- 骨架
- 止
- 实用
- 收集
- 其他咨询
- 越来越
- 全球
- 去
- 治理
- 方针
- 民政事务总署
- 事件
- 有
- 有
- he
- 医疗保健
- 保持
- 高
- 高调
- 整体
- 创新中心
- How To
- HTTPS
- ICON
- 确定
- if
- 影响力故事
- 实施
- in
- 事件
- 事故
- 包括
- 包含
- 增加
- 输入
- 保险
- 保险公司
- 投资者
- 涉及
- 参与
- 问题
- IT
- 本身
- JPG
- 管辖权
- 只是
- 保持
- 法律
- 法律咨询
- 法律上
- Level
- 责任
- 生命周期
- 看
- 失去
- 离
- 多数
- 使
- 管理
- 颠覆性技术
- 许多
- 重大
- 可能..
- 意味着
- 满足
- 可能
- 减轻
- 显示器
- 更多
- 最先进的
- 多数
- 必须
- National
- 必要
- 需求
- 全新
- 新技术
- 新年
- 没有
- 通常
- 现在
- of
- 折扣
- 提供
- 官
- 人员
- 经常
- on
- 仅由
- 操作
- 运营弹性
- or
- 秩序
- 组织
- 组织
- 其他名称
- 除此以外
- 输出
- 与会者
- 伙伴
- 党
- 密码
- 个人
- 亲自
- 透视
- 件
- 地方
- 放置
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 政策
- 可能
- 潜力
- 预测
- 总统
- 流行
- 隐私
- 隐私违规
- 隐私法
- 私隐政策
- 隐私威胁
- 私立
- 特权
- 采购
- 产品
- 热销产品
- 产品与服务
- 曲目
- 训练课程
- 有希望
- 保护
- 保护
- 保护
- 提供者
- 有疑问吗?
- 宁
- RE
- 合理
- 原因
- 建议
- 建议
- 记录
- 记录
- 记录
- 而不管
- 税法法规
- 法规
- 稳压器
- 监管
- 法规符合
- 相应
- 必须
- 岗位要求
- 弹性
- 响应
- 责任
- 风险
- 变更管理
- 风险
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- s
- 说
- 清酒
- 同
- 说
- 害怕
- 范围
- 证券交易委员会
- 证券
- 美国证券交易委员会
- 保安
- 看到
- 前辈
- 服务
- 特色服务
- 沉降
- 股东
- 共享
- 她
- 应该
- 显示
- 签署
- 显著
- 单
- 睡觉
- So
- 解决
- 不久
- 来源
- 说话
- 堆
- 标准
- 启动
- 州
- 步骤
- 策略
- 奋斗的
- 这样
- 提示
- 供应商
- 供应
- 供应链
- 系统
- 记录系统
- T
- 采取
- 拍摄
- 需要
- 服用
- 队
- 技术
- 展示
- 易于
- 条款
- 比
- 谢谢
- 这
- 其
- 他们自己
- 博曼
- 他们
- 思维
- 第三
- 第三方
- Free Introduction
- 今年
- 那些
- 威胁
- 紧缩
- 至
- 今晚
- 也有
- 最佳
- 真相
- 试图
- 最终
- 下
- 承销商
- us
- 广阔
- 厂商
- 副
- 副总裁
- 违反
- 有远见的人
- 警告
- 华盛顿
- 方法..
- we
- 为
- 什么是
- 什么是
- ,尤其是
- 是否
- 这
- WHO
- 为什么
- 将
- 也完全不需要
- 加工
- 将
- 书面
- 年
- 年
- 含
- 您
- 您一站式解决方案
- 你自己
- 和风网