新年が始まると、CISO はセキュリティ チームや企業経営陣と集まり、2024 年の最優先事項とこれらの問題への対処方法を検討します。今年は、多数の新しいプライバシー法、証券取引委員会の規制、サイバー脅威、そしてそれらの脅威の解決を約束する新技術が登場するため、彼らはサイバーセキュリティ戦略のことわざのテトリスの部分を最適に積み重ねようとして睡眠不足になるかもしれません。

CISO の注意を引くために争っているすべての課題の中で、SEC が CISO に課したデータ侵害に対する個人的および法的責任が、新年に最も困難となる可能性があると Axio の最高製品責任者である Nicole Sundin 氏は述べています。 「CISOはこれらのリスクについて議論するために役員室に昇格するため、CISOは自らを守り、注意義務を示すための記録システムが必要になるでしょう」と彼女は指摘する。

「現在、CISO はこのような会話をし、難しい選択をし、必要と判断したとおりに行動しています。しかし、これらは文書化される場合もあれば、文書化されない場合もあります」と彼女は言います。 「単一の真実の情報源や記録システムを持つことで、CISO は自分自身をよりよく守ることができます。そうしないと、この[出来事の記録とその記録が取られた理由]を整備していないCISOが失脚するという注目を集める事件が今後も続くことになるだろう。」

1. 個人的責任から身を守る

スンディン氏は、CISO を医療幹部に例えます。CISO は、不正行為の申し立てから身を守るために、あらゆる行動を詳細に記録します。多くの CISO が企業取締役および役員 (D&O) 保険契約の対象になっていないことを考慮すると、CISO は以下に基づいて個人的に責任を負うことになります。 新しいSEC規則 違反が発生した場合。これには、データ損失を伴う侵害、またはデータ損失を伴わないプライバシー侵害の両方に対する個人責任が含まれます。

Sundin 氏は、CISO ができるだけ早く次の手順を実行することを推奨します。

CISO も次のような場合に積極的に参加する必要があります。 サイバー保険契約の交渉とスンディンは言う。通常、CISO は法務顧問または CFO が最終的に交渉する内容に同意する必要がありますが、直接の意見がなければ、つまり推奨事項の書面による記録がなければ、保険対象外の除外を保護する法的責任を負う可能性があります。

2. 新たなプライバシー脅威を監視する

全国保険仲介会社ウッドラフ・ソーヤーのサイバー責任担当バイスプレジデント、デビッド・アンダーソン氏は、サイバー保険会社は2024年にプライバシー侵害に注力するだろうと予測する。アンダーソン氏は、サイバー保険の引受会社には次のようなことが期待されていると述べています。 規制を強化する 組織が個人データとサービス アカウントを含む特権アカウントにセキュリティを実装する方法について研究し、特権が過剰になる傾向があり、パスワードが何年も変更されていないことが多いと同氏は述べています。

「お客様が、お客様のビジネスや司法管轄区に適用され、合理的な基準が適用されるプライバシー法や法令を遵守していない場合、私たちは、お客様が整合性のない方法でデータを共有しているという事実を取り上げません。プライバシー ポリシーに準拠していないか、法令に準拠していません」とアンダーソン氏は言います。

締め付けを引用すると プライバシー法 同氏によると、カリフォルニア州やワシントン州などでは、サイバー保険会社が組織に包括的なプライバシーポリシーを整備するだけでなく、ポリシーに従っていることを証明できるよう求められているという。組織がプライバシー ポリシーで保護されているデータを保護できなかった場合、補償対象外になる可能性があります。

「それは保険がきかないリスクかもしれない」と彼は言う。 「これらの請求は、弁護と和解の観点から見ると恐ろしく高額です。」

「引受会社は、（サイバー保険の申し込みに関して）単に「はい」か「いいえ」のチェックボックス以上のものを探すことになります。これらのコントロールがどこに埋め込まれているかを示す必要があり、[そして] 組織のプライバシー ポリシーで規定されているのと同じレベルの注意をベンダーに遵守させるようどこに強制しているかを示す必要があると、アンダーソン氏は警告します。

3. サードパーティのリスクを管理する

新しい SEC 規制とサイバー保険会社の要件のおかげで、プライバシーの脅威は 2024 年の取締役会の優先事項として高くなりますが、他のサプライチェーンの脅威も同様です。サードパーティ リスク管理 (TPRM) プロバイダーである Prevalent のグローバル製品およびサービス担当シニア バイス プレジデントである Alastair Parr 氏は、組織は次の観点からパートナーを特定することで調達プログラムを構築する必要があると述べています。

先進的な先見の明を持つ人々は、サードパーティ リスク管理 (TPRM) とデータを総合的に検討し、新たに出現し拡大する規制順守に基づいてデータ侵害が何を意味するのかを検討しているとパー氏は述べています。データそのものに焦点を当てるのではなく、部門横断的なサプライヤーリスク管理フレームワークと呼んで、全体的なアプローチを取ることを彼は提案しています。

「取締役会がそれを部門横断的な、より包括的なプログラム、つまりライフサイクルとして考え始めるとすぐに、取締役会が尋ねるべき質問が変わります」と彼は言います。 「彼らは調達への関与に興奮しているはずです。データのためのデータを恐れるべきではありません。」

パー氏によると、今日の大多数の企業は、規制遵守、業務の回復力、ブランドへの影響、データ侵害に伴う風評リスクよりも、データガバナンスのコストに重点を置いているため、TPRMに苦戦しているという。

今後

規制が強化される環境において、CISO は現在、データ損失やプライバシー侵害に関係なく、データ侵害に対して個人的な責任を負わされています。これに応えて、サイバー保険引受会社は、組織が個人データと特権アカウントをどのように保護すべきかに関する規則を強化しています。そしてこれらすべては、サプライチェーンの脅威に対する規制当局、保険会社、経営幹部の注目が高まっている中で起こっています。

来年、これらの課題に対処するために、CISO は、関連する行動や意思決定を文書化するシステムを構築し、包括的で一貫したプライバシー ポリシーを確立して施行し、運用上の回復力の観点からサードパーティ パートナーを評価することで、組織と自分自身を守る必要があります。

CISO は、調達、法務、セキュリティの各チームと組織全体で連携することで、サプライ チェーンの脅威や保険コストがビジネスに及ぼす潜在的な影響を軽減し、自分自身をカバーすることができます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024