A medida que iniciamos el nuevo año, los CISO se reúnen con sus equipos de seguridad y ejecutivos de la empresa para considerar sus principales prioridades para 2024 y cómo abordarlas. Este año trae una serie de nuevas leyes de privacidad, regulaciones de la Comisión de Bolsa y Valores (SEC), amenazas cibernéticas y nuevas tecnologías que prometen resolver esas amenazas, por lo que es importante saber cómo apilar mejor las llamadas piezas de Tetris de su estrategia de ciberseguridad. Esto puede provocar que los CISO pasen noches sin dormir.
De todos los desafíos que exigen la atención de los CISO, Nicole Sundin, directora de productos de Axio, dijo que la responsabilidad personal y legal de la SEC por violaciones de datos para los CISO será el desafío más difícil en el nuevo año.
“A medida que los CISO entren en la sala de juntas para discutir estos riesgos, necesitarán un sistema de registro para protegerlos y cumplir con su deber de diligencia”, señala. “Hoy en día, los CISO mantienen estas conversaciones, toman decisiones difíciles y toman las medidas que consideran necesarias, pero esas acciones pueden o no estar documentadas. No existe una única fuente de verdad o un sistema de registro que pueda protegerse mejor”.
Sandin agregó que quienes no registren cómo ocurrieron los hechos y por qué sucedieron “serán responsabilizados”.
1. Protéjase de la responsabilidad personal
Sandin compara a los CISO con los ejecutivos de la industria de la salud. Los ejecutivos de la industria de la salud mantienen registros detallados de cada acción que toman para protegerse de acusaciones de irregularidades. Dado que muchos CISO no cuentan con un seguro para directores y funcionarios corporativos (D&O), los CISO serán personalmente responsables según las nuevas reglas de la SEC si se produce una infracción. Esto incluye responsabilidad personal tanto por infracciones que implican pérdida de datos como por violaciones de privacidad que no implican pérdida de datos.
Sundin recomienda que los CISO tomen las siguientes medidas lo antes posible:
Crear registros del sistema. Este se convierte en un planificador o diario que registra todas las acciones relacionadas con un posible incidente de seguridad en orden cronológico, con detalles de cada acción tomada y por qué se tomó.
Cree una definición corporativa de “materialidad”. Asegúrese de solicitar la opinión de su asesor general o director de riesgos para establecer directrices claras sobre lo que se considera legalmente importante para los inversores y accionistas y lo que no.
Aprenda a hablar con la junta directiva y otros ejecutivos desde una perspectiva financiera. Comunique a la junta directiva exactamente qué controles de seguridad se requieren, su costo y la pérdida potencial para la empresa si se produce una infracción porque los controles de seguridad no están implementados.
Sandin dice que los CISO deben participar activamente en la negociación de contratos de seguro cibernético. Por lo general, se requiere que el CISO apruebe lo que el asesor general o el director financiero negocia en última instancia, pero sin aportes directos y recomendaciones escritas, el CISO puede estar sujeto a protecciones legales por disposiciones de falta de cobertura y puede ser considerado responsable.
2. Monitorear las amenazas emergentes a la privacidad
David Anderson, vicepresidente de responsabilidad cibernética de la firma nacional de corretaje de seguros Woodruff Sawyer, predice que las aseguradoras cibernéticas se centrarán en las violaciones de la privacidad en 2024. Anderson dijo que se espera que los suscriptores de seguros cibernéticos endurezcan las regulaciones sobre cómo las organizaciones implementan la seguridad de los datos personales y las cuentas privilegiadas, incluidas las cuentas de servicio, que tienen exceso de privilegios. Señalan que existe una tendencia en la que las contraseñas a menudo no se cambian durante años.
“Si sus estándares razonables se aplican a su negocio, su jurisdicción y no cumplen con las leyes y regulaciones de privacidad aplicables, no usaremos sus datos de manera inconsistente con su política o leyes de privacidad. Estamos compartiendo”, dijo Anderson.
Citando como ejemplo leyes de privacidad más estrictas en estados como California y Washington, las aseguradoras cibernéticas están alentando a las organizaciones no solo a tener políticas de privacidad integrales, sino también a demostrar que las están siguiendo en los estados que las solicitan. Si una organización no protege los datos protegidos por su política de privacidad, puede perder la cobertura del seguro.
“Puede ser un riesgo no asegurable. Estos reclamos son prohibitivamente costosos desde el punto de vista de la defensa y el acuerdo”, dijo Anderson. “Las aseguradoras querrán algo más que una simple casilla de verificación de ‘sí’ o ‘no’. [on a cyber insurance application]Debes indicar dónde están integrados estos controles. [and] Mantendrá a sus proveedores con el mismo nivel de atención que la política de privacidad de su organización.
3. Gestionar los riesgos de terceros
Las nuevas regulaciones y requisitos de la SEC para las aseguradoras cibernéticas darán prioridad a las amenazas a la privacidad en 2024, mientras que otras amenazas a la cadena de suministro también ocuparán un lugar destacado. Alastair Parr, vicepresidente senior de productos y servicios globales del proveedor de gestión de riesgos de terceros (TPRM), Prevalent, dice que las organizaciones deberían preguntarse: “¿Cómo puede este tercero ofrecer beneficios de resiliencia operativa?”. un programa de adquisiciones.
Los visionarios con visión de futuro están adoptando una mirada holística al TPRM y los datos y considerando lo que podría significar una violación de datos en función del cumplimiento regulatorio emergente y en expansión, dice Parr. En lugar de centrarse en los datos en sí, sugiere adoptar un enfoque holístico, al que llama un marco multifuncional de gestión de riesgos de proveedores.
“Cuando las juntas directivas empiezan a pensar en esto como un programa multifuncional y más holístico, un ciclo de vida, las preguntas que deben plantearse cambian”, afirma. “Deberían estar entusiasmados con la participación en las adquisiciones. No deberían tener miedo de los datos en sí”.
Según Parr, la mayoría de las empresas actualmente luchan con el TPRM porque se centran en el costo de la gobernanza de datos en lugar del cumplimiento normativo, la resiliencia operativa, el impacto de la marca y el riesgo reputacional asociado con una violación de datos.
Perspectiva del futuro
En un entorno cada vez más regulado, los CISO ahora son personalmente responsables de las violaciones de datos, independientemente de la pérdida de datos o las violaciones de la privacidad. En respuesta, los suscriptores cibernéticos están endureciendo las reglas sobre cómo las organizaciones protegen los datos personales y las cuentas privilegiadas. Y todo esto sucede en medio de una mayor atención a las amenazas a la cadena de suministro por parte de reguladores, aseguradoras y ejecutivos.
Para abordar estos desafíos en el próximo año, los CISO deben crear sistemas para documentar acciones y decisiones relevantes, establecer y hacer cumplir políticas de privacidad integrales y consistentes, y desarrollar resiliencia operativa. Debe proteger a su organización y a usted mismo mediante la evaluación de sus socios externos.
Al colaborar con los equipos de adquisiciones, legales y de seguridad de toda la organización, los CISO no solo pueden mitigar el posible impacto comercial de las amenazas a la cadena de suministro y los costos de seguros, sino también protegerse.
Fuente: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024