Aan het begin van het nieuwe jaar komen CISO's samen met hun beveiligingsteams en bedrijfsmanagement bijeen om de topprioriteiten voor 2024 te bepalen en te bepalen hoe deze problemen kunnen worden aangepakt. Dit jaar – met een veelheid aan nieuwe privacywetten, regelgeving van de Securities and Exchange Commission, cyberdreigingen en nieuwe technologieën die beloven deze bedreigingen op te lossen – zouden ze hun slaap kunnen verliezen bij het optimaal stapelen van de spreekwoordelijke Tetris-stukken van de cyberbeveiligingsstrategie.
Van alle uitdagingen die om de aandacht van de CISO strijden, zou de persoonlijke en juridische verantwoordelijkheid voor datalekken die de SEC op de CISO's heeft gelegd dit nieuwe jaar wel eens de grootste uitdaging kunnen zijn, zegt Nicole Sundin, Chief Product Officer bij Axio. “Nu CISO’s naar de bestuurskamer worden verheven om deze risico’s te bespreken, zullen ze een systeem van registratie nodig hebben om zichzelf te beschermen en de zorgplicht aan te tonen”, merkt ze op.
“Momenteel voeren CISO’s deze gesprekken, maken ze moeilijke keuzes en handelen ze zoals zij dat nodig achten – maar deze kunnen wel of niet worden gedocumenteerd”, zegt ze. “Door te beschikken over één enkele bron van waarheid of een registratiesysteem kunnen CISO’s zichzelf beter beschermen. Anders zullen we spraakmakende incidenten blijven zien waarbij een CISO die niet beschikt over dit [overzicht van de gebeurtenissen en waarom deze zijn genomen] de schuld op zich neemt.”
1. Verdedig uzelf tegen persoonlijke aansprakelijkheid
Sundin vergelijkt CISO's met leidinggevenden in de gezondheidszorg, die gedetailleerde gegevens bijhouden van elke actie die zij ondernemen om zichzelf te verdedigen tegen claims van misdrijf. Gezien het feit dat veel CISO's niet gedekt zijn door de bedrijfsverzekeringen voor directeuren en functionarissen (D&O), zouden zij persoonlijk aansprakelijk zijn onder nieuwe SEC-regels mocht er zich een inbreuk voordoen. Dat omvat persoonlijke aansprakelijkheid voor zowel een inbreuk met gegevensverlies als een inbreuk op de privacy zonder gegevensverlies.
Sundin raadt CISO's aan om zo snel mogelijk de volgende stappen te ondernemen:
-
Maak een systeemrecord. Het kan een planner of dagboek zijn waarin elke actie met betrekking tot een potentieel veiligheidsincident wordt vastgelegd met een gedetailleerde, chronologische beschrijving van elke ondernomen actie en de redenen waarom deze zijn ondernomen.
-
Creëer een bedrijfsdefinitie voor ‘materialiteit’, met inbreng van de general counsel of de chief risk officer, om duidelijke richtlijnen vast te stellen voor wat juridisch als materieel significant wordt beschouwd voor investeerders of aandeelhouders en wat niet.
-
Leer spreken met de raad van bestuur en andere leidinggevenden op financieel gebied. Vertel het bestuur precies welke beveiligingscontroles nodig zijn, wat de kosten zijn en wat het potentiële verlies voor het bedrijf is als er een inbreuk plaatsvindt omdat de beveiligingscontroles niet zijn uitgevoerd.
CISO's moeten ook actieve deelnemers zijn onderhandelen over cyberverzekeringen, zegt Sundin. Normaal gesproken moeten CISO's ondertekenen waar de general counsel of de CFO uiteindelijk over onderhandelt, maar zonder directe inbreng (met een schriftelijk verslag van hun aanbevelingen) kunnen ze juridisch aansprakelijk worden gesteld om een niet-verzekerbare uitsluiting te beschermen.
2. Houd toezicht op nieuwe privacybedreigingen
Cyberverzekeraars zullen zich in 2024 richten op privacyschendingen, voorspelt David Anderson, vice-president cyberaansprakelijkheid bij Woodruff Sawyer, een nationale verzekeringsmakelaar. Anderson zegt dat van cyberverzekeringsverzekeraars dat wel wordt verwacht regels verscherpen over hoe organisaties beveiliging implementeren op privégegevens en geprivilegieerde accounts, inclusief serviceaccounts, waarvan hij opmerkt dat ze over het algemeen overprivilegeerd zijn en dat hun wachtwoorden vaak al jaren niet zijn gewijzigd.
“Als u zich niet houdt aan de privacywetten en -statuten die van toepassing zijn op uw bedrijf, op uw rechtsgebied, waarop uw redelijke norm van toepassing is, gaan we niet in op het feit dat u gegevens deelt op een manier die niet in overeenstemming is met uw privacybeleid of is niet in overeenstemming met de wet”, zegt Anderson.
Onder verwijzing naar de aanscherping privacywetten in staten als Californië en Washington eisen cyberverzekeraars volgens hem dat organisaties niet alleen een alomvattend privacybeleid hebben, maar ook kunnen aantonen dat zij hun beleid naleven. Als organisaties er niet in slagen de gegevens te beschermen die door hun privacybeleid worden beschermd, kunnen ze zonder deze dekking komen te zitten.
“Het kan een onverzekerbaar risico zijn”, zegt hij. “Deze claims zijn verschrikkelijk duur vanuit het perspectief van verdediging en schikking.”
“De verzekeraar gaat op zoek naar meer dan alleen een ja of nee-vinkje [op een cyberverzekeringsaanvraag]. U zult moeten laten zien waar deze controles zijn ingebed [en] waar u uw leveranciers dwingt zich aan hetzelfde zorgniveau te houden” als het privacybeleid van uw organisatie voorschrijft, waarschuwt Anderson.
3. Beheer risico's van derden
Hoewel privacybedreigingen voor 2024 hoog op de prioriteitenlijst van de directie zullen staan dankzij de nieuwe SEC-regelgeving en de eisen van cyberverzekeraars, zullen andere bedreigingen in de toeleveringsketen dat ook zijn. Alastair Parr, senior vice-president van wereldwijde producten en diensten bij Prevalent, leverancier van risicobeheer (TPRM), zegt dat organisaties hun inkoopprogramma's moeten opbouwen door partners te identificeren vanuit het perspectief van: Hoe kan deze derde partij ons operationele veerkrachtvoordelen bieden?
Vooruitstrevende visionairs kijken naar risicobeheer van derden (TPRM) en gegevens in het algemeen en wat datalekken betekenen op basis van de opkomende en groeiende naleving van de regelgeving, aldus Parr. In plaats van zich te concentreren op de gegevens zelf, stelt hij voor een holistische benadering te hanteren, waarbij hij dit een crossfunctioneel raamwerk voor leveranciersrisicobeheer noemt.
“Zodra het bestuur het gaat beschouwen als een cross-functioneel programma, een uitgebreider programma – meer een levenscyclus – dat de vragen verandert die ze zouden moeten stellen”, zegt hij. “Ze zouden enthousiast moeten worden over de betrokkenheid bij inkoop. Ze moeten niet bang zijn voor data omwille van de data.”
De overgrote meerderheid van de bedrijven worstelt tegenwoordig met TPRM, zegt Parr, omdat ze zich meer richten op de kosten van databeheer dan op naleving van de regelgeving, operationele veerkracht, merkimpact of het reputatierisico dat gepaard gaat met datalekken.
Vooruitkijkend
In het klimaat van toenemende regelgeving worden CISO's nu persoonlijk aansprakelijk gehouden voor datalekken, ongeacht of het om dataverlies of privacyschendingen gaat. Als reactie hierop scherpen verzekeraars van cyberverzekeringen hun regels aan over hoe organisaties privégegevens en geprivilegieerde accounts moeten beschermen. En dit alles gebeurt met de toegenomen aandacht van toezichthouders, verzekeraars en het topmanagement voor bedreigingen in de toeleveringsketen.
Om deze uitdagingen het komende jaar het hoofd te bieden, moeten CISO's hun organisatie en zichzelf beschermen door een systeem te creëren om relevante acties en beslissingen te documenteren, een alomvattend en consistent privacybeleid op te stellen en af te dwingen, en hun externe partners te beoordelen op het gebied van operationele veerkracht.
Door in de hele organisatie samen te werken met inkoop-, juridische en beveiligingsteams kunnen CISO's de potentiële impact van supply chain-bedreigingen en verzekeringskosten op hun bedrijf beperken – en zichzelf ook indekken.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024
