Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

3 ưu tiên hàng đầu của CISO vào năm 2024

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 157

Khi năm mới bắt đầu, các CISO tập hợp với nhóm bảo mật và ban quản lý công ty của họ để vạch ra các ưu tiên hàng đầu cho năm 2024 và cách giải quyết những vấn đề này. Năm nay — với vô số luật mới về quyền riêng tư, các quy định của Ủy ban Chứng khoán và Giao dịch, các mối đe dọa trên mạng và các công nghệ mới hứa hẹn sẽ giải quyết những mối đe dọa đó — họ có thể đang mất ngủ khi cố gắng tối ưu hóa các mảnh Tetris tục ngữ của chiến lược an ninh mạng.

Trong tất cả các thách thức đang tranh giành sự chú ý của CISO, trách nhiệm cá nhân và pháp lý đối với các vi phạm dữ liệu mà SEC đặt ra cho CISO có thể là thách thức lớn nhất trong năm mới, Nicole Sundin, giám đốc sản phẩm của Axio cho biết. Cô lưu ý: “Với việc các CISO được đưa lên phòng họp để thảo luận về những rủi ro này, họ sẽ cần một hệ thống hồ sơ để bảo vệ bản thân và thể hiện nghĩa vụ quan tâm”.

Cô nói: “Hiện tại, các CISO có những cuộc trò chuyện này, đưa ra những lựa chọn khó khăn và hành động khi họ thấy cần thiết - nhưng những điều này có thể được ghi lại hoặc không được ghi lại”. “Bằng cách có một nguồn thông tin xác thực duy nhất hoặc một hệ thống hồ sơ, CISO có thể tự bảo vệ mình tốt hơn. Nếu không, chúng ta sẽ tiếp tục chứng kiến ​​những sự cố nổi bật trong đó một CISO không có [bản ghi các sự kiện và lý do chúng diễn ra] này sẽ thất bại.”

1. Tự bảo vệ mình trước trách nhiệm cá nhân

Sundin ví CISO với các giám đốc điều hành chăm sóc sức khỏe, những người lưu giữ hồ sơ chi tiết về mọi hành động họ thực hiện để tự bảo vệ mình trước những cáo buộc về hành vi sai trái. Xem xét rằng nhiều CISO không được bảo hiểm theo chính sách bảo hiểm của giám đốc và cán bộ công ty (D&O), họ sẽ phải chịu trách nhiệm cá nhân theo quy định mới của SEC nếu có vi phạm xảy ra. Điều đó bao gồm trách nhiệm cá nhân đối với cả vi phạm mất dữ liệu hoặc vi phạm quyền riêng tư mà không mất dữ liệu.

Sundin khuyến nghị CISO nên thực hiện các bước sau càng sớm càng tốt:

  • Tạo một bản ghi hệ thống. Nó có thể là một bản kế hoạch hoặc nhật ký trong đó mọi hành động liên quan đến một sự cố an ninh tiềm ẩn đều được ghi lại kèm theo mô tả chi tiết, theo trình tự thời gian về từng hành động được thực hiện và lý do tại sao chúng được thực hiện.

  • Tạo ra định nghĩa của công ty về “tính trọng yếu”, với ý kiến ​​đóng góp từ tổng cố vấn hoặc giám đốc rủi ro, để thiết lập các hướng dẫn rõ ràng về điều gì được coi là có ý nghĩa quan trọng về mặt pháp lý đối với các nhà đầu tư hoặc cổ đông và điều gì không.

  • Học cách nói chuyện với ban giám đốc và các nhà điều hành khác về mặt tài chính. Báo cho hội đồng quản trị biết chính xác những biện pháp kiểm soát an ninh nào được yêu cầu, chi phí của chúng và tổn thất tiềm ẩn đối với công ty nếu vi phạm xảy ra do không áp dụng các biện pháp kiểm soát an ninh.

CISO cũng phải là người tham gia tích cực khi đàm phán chính sách bảo hiểm mạng, Sundin nói. Thông thường, CISO cần ký vào những gì mà tổng cố vấn hoặc CFO cuối cùng sẽ đàm phán, nhưng nếu không có ý kiến ​​trực tiếp - với hồ sơ bằng văn bản về các khuyến nghị của họ - họ có thể phải chịu trách nhiệm pháp lý về việc bảo vệ một trường hợp loại trừ không được bảo hiểm.

2. Giám sát các mối đe dọa bảo mật mới nổi

David Anderson, phó chủ tịch trách nhiệm mạng tại Woodruff Sawyer, một công ty môi giới bảo hiểm quốc gia, dự đoán rằng các công ty bảo hiểm mạng sẽ tập trung vào các vi phạm quyền riêng tư vào năm 2024. Anderson cho biết các nhà bảo lãnh bảo hiểm mạng dự kiến ​​sẽ thắt chặt quy định về cách các tổ chức triển khai bảo mật trên dữ liệu riêng tư và tài khoản đặc quyền, bao gồm cả tài khoản dịch vụ, theo ông lưu ý, có xu hướng được hưởng quá nhiều đặc quyền và thường không thay đổi mật khẩu trong nhiều năm.

“Nếu bạn không tuân thủ các luật và quy chế về quyền riêng tư áp dụng cho doanh nghiệp của bạn, cho khu vực pháp lý của bạn, theo tiêu chuẩn hợp lý của bạn áp dụng, thì chúng tôi sẽ không đề cập đến thực tế là bạn đang chia sẻ dữ liệu theo cách không phù hợp. với chính sách quyền riêng tư của bạn hoặc không phù hợp với quy chế,” Anderson nói.

Trích dẫn việc thắt chặt luật riêng tư ở các bang như California và Washington, ông cho biết các công ty bảo hiểm mạng đang yêu cầu các tổ chức không chỉ có chính sách bảo mật toàn diện tại chỗ mà còn phải chứng minh rằng họ tuân thủ chính sách của mình. Nếu các tổ chức không bảo vệ dữ liệu được bảo vệ bởi chính sách quyền riêng tư của họ, họ có thể thấy mình không được bảo hiểm.

“Đó có thể là một rủi ro không thể bảo hiểm được,” ông nói. “Những tuyên bố đó cực kỳ tốn kém từ góc độ quốc phòng và dàn xếp.”

“Người bảo lãnh phát hành sẽ tìm kiếm nhiều thứ hơn là chỉ có hộp kiểm có hoặc không [trên đơn đăng ký bảo hiểm mạng]. Anderson cảnh báo, bạn sẽ phải chỉ ra nơi các biện pháp kiểm soát này được nhúng [và] nơi bạn đang buộc các nhà cung cấp của mình tuân thủ cùng một mức độ cẩn thận” như chính sách quyền riêng tư của tổ chức của bạn quy định.

3. Quản lý rủi ro của bên thứ ba

Mặc dù các mối đe dọa về quyền riêng tư sẽ là ưu tiên hàng đầu của ban giám đốc trong năm 2024 nhờ các quy định mới của SEC và các yêu cầu của các công ty bảo hiểm mạng, nhưng các mối đe dọa khác trong chuỗi cung ứng cũng vậy. Alastair Parr, phó chủ tịch cấp cao về sản phẩm và dịch vụ toàn cầu tại nhà cung cấp quản lý rủi ro bên thứ ba (TPRM) Prevalent, cho biết các tổ chức nên xây dựng chương trình mua sắm của mình bằng cách xác định các đối tác từ góc độ: Làm thế nào bên thứ ba này có thể mang lại lợi ích về khả năng phục hồi hoạt động cho chúng tôi?

Parr cho biết, những người có tầm nhìn xa trông rộng nhìn vào việc quản lý rủi ro của bên thứ ba (TPRM) và dữ liệu tổng hợp cũng như ý nghĩa của việc vi phạm dữ liệu dựa trên việc tuân thủ quy định mới nổi và mở rộng. Thay vì tập trung vào dữ liệu, ông đề xuất áp dụng cách tiếp cận toàn diện, gọi đó là khuôn khổ quản lý rủi ro nhà cung cấp đa chức năng.

Ông nói: “Ngay khi hội đồng quản trị bắt đầu nghĩ về nó như một chương trình đa chức năng, một chương trình toàn diện hơn - giống một vòng đời hơn - sẽ thay đổi những câu hỏi mà họ nên đặt ra”. “Họ lẽ ra nên hào hứng với việc tham gia mua sắm. Họ không nên sợ dữ liệu chỉ vì dữ liệu.”

Parr cho biết, đại đa số các công ty ngày nay đang gặp khó khăn với TPRM vì họ tập trung nhiều vào chi phí quản trị dữ liệu hơn là tuân thủ quy định, khả năng phục hồi hoạt động, tác động đến thương hiệu hoặc rủi ro danh tiếng liên quan đến vi phạm dữ liệu.

Nhìn về phía trước

Trong môi trường ngày càng có nhiều quy định, CISO hiện phải chịu trách nhiệm cá nhân về các vi phạm dữ liệu, bất kể chúng liên quan đến mất dữ liệu hay vi phạm quyền riêng tư. Để đáp lại, các nhà bảo hiểm mạng đang thắt chặt các quy tắc của họ về cách các tổ chức nên bảo vệ dữ liệu riêng tư và tài khoản đặc quyền. Và tất cả những điều này đang diễn ra với sự chú ý ngày càng tăng từ các cơ quan quản lý, công ty bảo hiểm và C-Suite đối với các mối đe dọa trong chuỗi cung ứng.

Để đáp ứng những thách thức này trong năm tới, CISO cần bảo vệ tổ chức và chính họ bằng cách tạo ra một hệ thống ghi lại các hành động và quyết định có liên quan, thiết lập và thực thi các chính sách bảo mật toàn diện và nhất quán, đồng thời đánh giá các đối tác bên thứ ba của họ về khả năng phục hồi hoạt động.

Bằng cách làm việc trong toàn tổ chức với các nhóm mua sắm, pháp lý và bảo mật, CISO có thể giảm thiểu tác động tiềm ẩn của các mối đe dọa chuỗi cung ứng và chi phí bảo hiểm đối với hoạt động kinh doanh của họ — đồng thời tự bảo vệ mình.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.