Alors que la nouvelle année commence, les RSSI se réunissent avec leurs équipes de sécurité et la direction de l'entreprise pour définir les principales priorités pour 2024 et comment résoudre ces problèmes. Cette année – avec une multitude de nouvelles lois sur la protection de la vie privée, de réglementations de la Securities and Exchange Commission, de cybermenaces et de nouvelles technologies promettant de résoudre ces menaces – ils pourraient perdre le sommeil en essayant d'empiler de manière optimale les éléments proverbiaux de Tetris de la stratégie de cybersécurité.
De tous les défis qui retiennent l'attention du RSSI, la responsabilité personnelle et juridique des violations de données que la SEC a imposée aux RSSI pourrait être le plus difficile au cours de la nouvelle année, déclare Nicole Sundin, directrice des produits chez Axio. « Les RSSI étant désormais placés au sein des conseils d'administration pour discuter de ces risques, ils auront besoin d'un système d'enregistrement pour se protéger et faire preuve de leur devoir de diligence », note-t-elle.
« Actuellement, les RSSI ont ces conversations, font des choix difficiles et agissent comme ils l'estiment nécessaire, mais ceux-ci peuvent ou non être documentés », dit-elle. « En disposant d’une source unique de vérité ou d’un système d’enregistrement, les RSSI peuvent mieux se protéger. Sinon, nous continuerons à voir des incidents très médiatisés où un RSSI qui ne dispose pas de ce [enregistrement des événements et de la raison pour laquelle ils ont été organisés] prend la chute. »
1. Défendez-vous contre la responsabilité personnelle
Sundin compare les RSSI aux dirigeants du secteur de la santé, qui tiennent des registres détaillés de chaque action qu'ils entreprennent afin de se défendre contre les allégations de malversation. Étant donné que de nombreux RSSI ne sont pas couverts par les polices d'assurance des administrateurs et dirigeants d'entreprise (D&O), ils seraient personnellement responsables en vertu de nouvelles règles de la SEC en cas de violation. Cela inclut la responsabilité personnelle en cas de violation avec perte de données ou de violation de la vie privée sans perte de données.
Sundin recommande aux RSSI de prendre les mesures suivantes dès que possible :
-
Créez un enregistrement système. Il peut s'agir d'un planificateur ou d'un journal dans lequel chaque action relative à un incident de sécurité potentiel est enregistrée avec une description détaillée et chronologique de chaque action entreprise et des raisons pour lesquelles elles ont été entreprises.
-
Créez une définition d'entreprise du « matérialité », avec la contribution du conseiller juridique général ou du responsable des risques, afin d'établir des lignes directrices claires sur ce qui est légalement considéré comme ayant une importance significative pour les investisseurs ou les actionnaires et ce qui ne l'est pas.
-
Apprenez à parler au conseil d'administration et d'autres dirigeants en termes financiers. Dites au conseil d'administration exactement quels contrôles de sécurité sont requis, leur coût et la perte potentielle pour l'entreprise si une violation se produit en raison de l'absence de contrôles de sécurité en place.
Les RSSI doivent également être des participants actifs lorsque négocier des polices d'assurance cyber, dit Sundin. Normalement, les RSSI doivent approuver ce que l'avocat général ou le directeur financier négocie en fin de compte, mais sans avoir une contribution directe – avec un enregistrement écrit de leurs recommandations – ils pourraient devenir légalement responsables en protégeant une exclusion non assurable.
2. Surveiller les menaces émergentes concernant la confidentialité
Les cyber-assureurs se concentreront sur les atteintes à la vie privée en 2024, prédit David Anderson, vice-président de la cyber-responsabilité chez Woodruff Sawyer, une société nationale de courtage d'assurance. Anderson affirme que les souscripteurs de cyberassurance devraient durcir les réglementations sur la manière dont les organisations mettent en œuvre la sécurité des données privées et des comptes privilégiés, y compris les comptes de service, qui, note-t-il, ont tendance à être surprivilégiés et dont leurs mots de passe n'ont souvent pas été modifiés depuis des années.
"Si vous n'adhérez pas aux lois et statuts sur la confidentialité applicables à votre entreprise, à votre juridiction, auxquels s'appliquent vos normes raisonnables, nous n'allons pas couvrir le fait que vous partagez des données d'une manière qui n'est pas conforme aux normes raisonnables. avec votre politique de confidentialité ou n'est pas conforme à la loi », déclare Anderson.
Citant le resserrement lois sur la vie privée Dans des États comme la Californie et Washington, il affirme que les cyber-assureurs exigent que les organisations non seulement mettent en place des politiques de confidentialité complètes, mais soient également en mesure de démontrer qu'elles respectent leurs politiques. Si les organisations ne parviennent pas à protéger les données protégées par leur politique de confidentialité, elles pourraient se retrouver sans couverture.
«Cela pourrait être un risque non assurable», dit-il. « Ces réclamations sont horriblement coûteuses du point de vue de la défense et du règlement. »
« Le souscripteur va rechercher plus qu’une simple case à cocher oui ou non [sur une demande de cyberassurance]. Vous allez devoir montrer où ces contrôles sont intégrés [et] où vous obligez vos fournisseurs à adhérer au même niveau de soin », comme le dictent les politiques de confidentialité de votre organisation, prévient Anderson.
3. Gérer les risques liés aux tiers
Si les menaces à la vie privée figureront en bonne place parmi les priorités des conseils d’administration pour 2024 grâce aux nouvelles réglementations de la SEC et aux exigences des cyber-assureurs, d’autres menaces liées à la chaîne d’approvisionnement le seront également. Alastair Parr, vice-président senior des produits et services mondiaux chez Prevalent, fournisseur de gestion des risques tiers (TPRM), affirme que les organisations devraient élaborer leurs programmes d'approvisionnement en identifiant les partenaires du point de vue suivant : Comment ce tiers peut-il nous offrir des avantages en matière de résilience opérationnelle ?
Les visionnaires avant-gardistes examinent la gestion des risques liés aux tiers (TPRM) et les données dans leur ensemble et ce que signifient les violations de données en fonction de la conformité réglementaire émergente et croissante, a déclaré Parr. Plutôt que de se concentrer sur les données elles-mêmes, il suggère d’adopter une approche holistique, en la qualifiant de cadre interfonctionnel de gestion des risques liés aux fournisseurs.
«Dès que le conseil d'administration commence à considérer cela comme un programme interfonctionnel, un programme plus complet – qui s'apparente davantage à un cycle de vie – change les questions qu'il devrait se poser», dit-il. « Ils devraient être enthousiasmés par la participation aux achats. Ils ne devraient pas avoir peur des données pour le plaisir des données.
La grande majorité des entreprises sont aujourd'hui aux prises avec le TPRM, explique Parr, car elles se concentrent davantage sur le coût de la gouvernance des données que sur la conformité réglementaire, la résilience opérationnelle, l'impact de la marque ou le risque de réputation associé aux violations de données.
Regard vers l'avenir
Dans un environnement de réglementation accrue, les RSSI sont désormais tenus personnellement responsables des violations de données, qu'elles impliquent une perte de données ou une violation de la vie privée. En réponse, les assureurs de cyberassurance resserrent leurs règles sur la manière dont les organisations doivent protéger les données privées et les comptes privilégiés. Et tout cela se produit avec une attention accrue de la part des régulateurs, des assureurs et des hauts dirigeants envers les menaces liées à la chaîne d’approvisionnement.
Pour relever ces défis au cours de l'année à venir, les RSSI doivent protéger leur organisation et eux-mêmes en créant un système pour documenter les actions et décisions pertinentes, en établissant et en appliquant des politiques de confidentialité complètes et cohérentes et en évaluant leurs partenaires tiers en termes de résilience opérationnelle.
En travaillant au sein de l'organisation avec les équipes d'approvisionnement, juridiques et de sécurité, les RSSI peuvent atténuer l'impact potentiel des menaces liées à la chaîne d'approvisionnement et des coûts d'assurance sur leur entreprise, tout en se couvrant eux-mêmes.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
