Yeni yıl başlarken CISO’lar, 2024 için en önemli öncelikleri ve bu sorunların nasıl ele alınacağını belirlemek üzere güvenlik ekipleri ve kurumsal yönetimle bir araya geliyor. Bu yıl – çok sayıda yeni gizlilik yasası, Menkul Kıymetler ve Borsa Komisyonu düzenlemeleri, siber tehditler ve bu tehditleri çözmeyi vaat eden yeni teknolojiler ile – siber güvenlik stratejisinin meşhur Tetris parçalarını en iyi şekilde istiflemeye çalışırken uykularını kaybediyor olabilirler.
Axio’nun baş ürün sorumlusu Nicole Sundin, CISO’nun dikkatini çekmek için yarışan tüm zorluklar arasında, SEC’in CISO’lara yüklediği veri ihlalleriyle ilgili kişisel ve yasal sorumluluğun, yeni yılda en zorlu olanı olabileceğini söylüyor. “CISO’ların bu riskleri tartışmak üzere yönetim kuruluna yükseltilmesiyle, kendilerini korumak ve özen yükümlülüğünü göstermek için bir kayıt sistemine ihtiyaçları olacak” diye belirtiyor.
“Şu anda CISO’lar bu konuşmaları yapıyor, zor seçimler yapıyor ve gerekli gördükleri şekilde hareket ediyorlar; ancak bunlar belgelenmiş olabilir veya olmayabilir” diyor. “CISO’lar, tek bir gerçek bilgi kaynağına veya kayıt sistemine sahip olarak kendilerini daha iyi koruyabilirler. Aksi takdirde, bu bilgiye sahip olmayan bir CISO’nun bu duruma müdahale edebileceği yüksek profilli olaylar görmeye devam edeceğiz. [record of events and why they were taken] yerinde düşmeyi alır.”
1. Kişisel Sorumluluğa Karşı Kendinizi Koruyun
Sundin, CISO’ları, suiistimal iddialarına karşı kendilerini savunmak için yaptıkları her eylemin ayrıntılı kayıtlarını tutan sağlık yöneticilerine benzetiyor. Pek çok CISO’nun kurumsal direktörler ve memurlar (D&O) sigorta poliçeleri kapsamına girmediği göz önüne alındığında, bu sigorta kapsamında şahsen sorumlu olacaklardır. yeni SEC kuralları bir ihlal meydana gelirse. Bu, hem veri kaybıyla sonuçlanan bir ihlale hem de veri kaybı olmadan gerçekleşen bir gizlilik ihlaline ilişkin kişisel sorumluluğu içerir.
Sundin, CISO’ların mümkün olan en kısa sürede aşağıdaki adımları atmasını tavsiye ediyor:
Bir sistem kaydı oluşturun. Potansiyel bir güvenlik olayıyla ilgili her eylemin, gerçekleştirilen her eylemin ayrıntılı, kronolojik bir açıklaması ve bunların neden yapıldığıyla birlikte kaydedildiği bir planlayıcı veya günlük olabilir.
Yatırımcılar veya hissedarlar için neyin yasal olarak maddi olarak önemli olduğu ve neyin önemsiz olduğu konusunda net yönergeler oluşturmak için baş hukuk müşaviri veya baş risk yetkilisinin katkılarıyla “önemlilik” için kurumsal bir tanım oluşturun.
Yönetim kuruluyla konuşmayı öğrenin ve mali açıdan diğer yöneticiler. Yönetim kuruluna tam olarak hangi güvenlik kontrollerinin gerekli olduğunu, bunların maliyetini ve güvenlik kontrollerinin mevcut olmaması nedeniyle bir ihlal meydana gelmesi durumunda şirketin olası zararlarını anlatın.
CISO’lar ayrıca aşağıdaki durumlarda aktif katılımcılar olmalıdır: Siber sigorta poliçelerinin müzakere edilmesiSundin diyor. Normalde CISO’ların, baş hukuk müşaviri veya CFO’nun nihai olarak müzakere ettiği şeyi imzalaması gerekir, ancak tavsiyelerinin yazılı bir kaydıyla birlikte doğrudan girdi olmadan, sigortalanamayan bir hariç tutmayı korumaktan yasal olarak sorumlu hale gelebilirler.
2. Ortaya Çıkan Gizlilik Tehditlerini Takip Edin
Ulusal sigorta komisyonculuğu Woodruff Sawyer’ın siber sorumluluktan sorumlu başkan yardımcısı David Anderson, siber sigortacıların 2024 yılında gizlilik ihlallerine odaklanacağını öngörüyor. Anderson, siber sigorta sigortacılarının düzenlemeleri sertleştirmek Kuruluşların, hizmet hesapları da dahil olmak üzere özel veriler ve ayrıcalıklı hesaplar üzerinde güvenliği nasıl uyguladıkları hakkında, kendisinin belirttiği gibi, aşırı ayrıcalıklı olma eğilimindedir ve parolaları yıllardır değiştirilmemiştir.
“İşiniz için geçerli olan ve kendi yargı alanınız için geçerli olan ve makul standartlarınızın geçerli olduğu gizlilik yasalarına ve tüzüklerine bağlı kalmıyorsanız, verileri uyumlu olmayan bir şekilde paylaştığınız gerçeğini kapsamayacağız. Anderson, “Bu, gizlilik politikanıza aykırı veya yasalara uygun değil” diyor.
Sıkılaştırmayı gerekçe göstererek gizlilik yasaları Kaliforniya ve Washington gibi eyaletlerde siber sigortacıların kuruluşların yalnızca kapsamlı gizlilik politikalarına sahip olmalarını değil, aynı zamanda bu politikalara uyduklarını gösterebilmelerini de talep ettiklerini söylüyor. Kuruluşlar, gizlilik politikalarıyla korunan verileri korumayı başaramazlarsa kendilerini kapsam dışında bulabilirler.
“Bu sigortalanamaz bir risk olabilir” diyor. “Bu iddialar savunma ve çözüm açısından korkunç derecede pahalı.”
“Sigortacı sadece evet veya hayır onay kutusundan daha fazlasını arayacak [on a cyber insurance application]. Bu kontrollerin nereye yerleştirildiğini göstermeniz gerekecek [and] Anderson, kuruluşunuzun gizlilik politikalarının gerektirdiği şekilde satıcılarınızı da aynı düzeyde bakıma uymaya zorladığınız konusunda uyarıyor.
3. Üçüncü Taraf Risklerini Yönetin
Yeni SEC düzenlemeleri ve siber sigorta şirketlerinin gereklilikleri sayesinde gizlilik tehditleri, yönetim kurulunun 2024 öncelikleri arasında üst sıralarda yer alacak olsa da diğer tedarik zinciri tehditleri de öyle olacak. Üçüncü taraf risk yönetimi (TPRM) sağlayıcısı Prevalent’in küresel ürün ve hizmetlerden sorumlu kıdemli başkan yardımcısı Alastair Parr, kuruluşların satın alma programlarını ortaklarını şu perspektiften tanımlayarak oluşturmaları gerektiğini söylüyor: Bu üçüncü taraf bize operasyonel esneklik faydalarını nasıl sağlayabilir?
Parr, ileriyi düşünen vizyonerlerin üçüncü taraf risk yönetimine (TPRM) ve toplu olarak verilere baktığını ve ortaya çıkan ve genişleyen mevzuat uyumluluğuna bağlı olarak veri ihlallerinin ne anlama geldiğini incelediğini söyledi. Verilerin kendisine odaklanmak yerine, bütünsel bir yaklaşım benimsemeyi ve bunu işlevler arası tedarikçi risk yönetimi çerçevesi olarak adlandırmayı öneriyor.
“Yönetim kurulu bunu çapraz işlevsellik olarak düşünmeye başlar başlamaz, sormaları gereken soruları değiştiren daha kapsamlı, daha fazla yaşam döngüsüne sahip bir program” diyor. “Satın alma katılımı konusunda heyecanlanıyor olmalılar. Veri uğruna verilerden korkmamalılar.”
Parr, günümüzde şirketlerin büyük çoğunluğunun TPRM ile mücadele ettiğini, çünkü mevzuat uyumluluğu, operasyonel esneklik, marka etkisi veya veri ihlalleriyle ilişkili itibar riskinden ziyade veri yönetiminin maliyetine odaklandıklarını söylüyor.
İleriye bakmak
Artan düzenleme ortamında, CISO’lar artık veri kaybı veya gizlilik ihlalleri içerip içermediğine bakılmaksızın veri ihlallerinden kişisel olarak sorumlu tutuluyor. Buna yanıt olarak siber sigorta sigortacıları, kuruluşların özel verileri ve ayrıcalıklı hesapları nasıl koruması gerektiğine ilişkin kurallarını sıkılaştırıyor. Ve tüm bunlar düzenleyicilerin, sigortacıların ve üst düzey yöneticilerin tedarik zinciri tehditlerine artan ilgisiyle gerçekleşiyor.
Önümüzdeki yıl bu zorlukların üstesinden gelmek için CISO’ların, ilgili eylemleri ve kararları belgeleyecek bir sistem oluşturarak, kapsamlı ve tutarlı gizlilik politikaları oluşturup uygulayarak ve üçüncü taraf ortaklarını operasyonel dayanıklılık açısından değerlendirerek kuruluşlarını ve kendilerini korumaları gerekiyor.
CISO’lar, kuruluş çapında satın alma, hukuk ve güvenlik ekipleriyle birlikte çalışarak, tedarik zinciri tehditlerinin ve sigorta maliyetlerinin işletmeleri üzerindeki potansiyel etkisini azaltabilir ve kendilerini de koruyabilirler.
