A medida que comienza el nuevo año, los CISO se reúnen con sus equipos de seguridad y la dirección corporativa para determinar las principales prioridades para 2024 y cómo abordar estas cuestiones. Este año, con una multitud de nuevas leyes de privacidad, regulaciones de la Comisión de Bolsa y Valores, amenazas cibernéticas y nuevas tecnologías que prometen resolver esas amenazas, es posible que estén perdiendo el sueño al tratar de apilar de manera óptima las proverbiales piezas del Tetris de la estrategia de seguridad cibernética.

De todos los desafíos que compiten por la atención del CISO, la responsabilidad personal y legal por las violaciones de datos que la SEC ha impuesto a los CISO podría ser el más desafiante en el nuevo año, dice Nicole Sundin, directora de productos de Axio. "Con los CISO ascendidos a la sala de juntas para discutir estos riesgos, necesitarán un sistema de registro para protegerse y demostrar su deber de diligencia", señala.

“Actualmente, los CISO mantienen estas conversaciones, toman decisiones difíciles y actúan como lo consideran necesario, pero pueden estar documentadas o no”, afirma. “Al tener una única fuente de información o un sistema de registro, los CISO pueden protegerse mejor. De lo contrario, seguiremos viendo incidentes de alto perfil en los que un CISO que no tenga este [registro de eventos y por qué se llevaron a cabo] asumirá la culpa”.

1. Defiéndete de la responsabilidad personal

Sundin compara a los CISO con los ejecutivos de atención médica, que mantienen registros detallados de cada acción que realizan para defenderse contra acusaciones de mala conducta. Teniendo en cuenta que muchos CISO no están cubiertos por pólizas de seguro para directores y funcionarios corporativos (D&O), serían personalmente responsables según nuevas reglas de la SEC en caso de que se produzca un incumplimiento. Eso incluye responsabilidad personal tanto por una violación con pérdida de datos como por una violación de la privacidad sin pérdida de datos.

Sundin recomienda que los CISO tomen las siguientes medidas lo antes posible:

Los CISO también deben ser participantes activos cuando negociar pólizas de seguro cibernético, dice Sundin. Normalmente, los CISO necesitan aprobar lo que el asesor general o el director financiero negocia en última instancia, pero sin tener aportes directos (con un registro escrito de sus recomendaciones) podrían convertirse en legalmente responsables de proteger una exclusión no asegurable.

2. Monitorear las amenazas emergentes a la privacidad

Las aseguradoras cibernéticas se centrarán en las violaciones de la privacidad en 2024, predice David Anderson, vicepresidente de responsabilidad cibernética de Woodruff Sawyer, una correduría de seguros nacional. Anderson dice que se espera que los suscriptores de seguros cibernéticos endurecer las regulaciones sobre cómo las organizaciones implementan la seguridad en datos privados y cuentas privilegiadas, incluidas las cuentas de servicio, que, según él, tienden a tener privilegios excesivos y, a menudo, no se les han cambiado las contraseñas en años.

"Si no cumple con las leyes y estatutos de privacidad que son aplicables a su negocio, a su jurisdicción, a la que se aplica su estándar razonable, no cubriremos el hecho de que esté compartiendo datos de una manera que no esté alineada con su política de privacidad o no está alineado con el estatuto”, dice Anderson.

Citando el endurecimiento leyes de privacidad En estados como California y Washington, dice, las aseguradoras cibernéticas exigen que las organizaciones no sólo cuenten con políticas de privacidad integrales, sino que también puedan demostrar que siguen sus políticas. Si las organizaciones no protegen los datos protegidos por su política de privacidad, podrían quedarse sin cobertura.

"Podría ser un riesgo no asegurable", afirma. "Esas reclamaciones son terriblemente costosas desde la perspectiva de la defensa y la resolución".

“El asegurador buscará algo más que una casilla de verificación de sí o no [en una solicitud de seguro cibernético]. Tendrá que mostrar dónde están integrados estos controles [y] dónde está obligando a sus proveedores a cumplir con el mismo nivel de cuidado” que dictan las políticas de privacidad de su organización, advierte Anderson.

3. Gestionar los riesgos de terceros

Si bien las amenazas a la privacidad ocuparán un lugar destacado en las prioridades de la junta directiva para 2024 gracias a las nuevas regulaciones de la SEC y los requisitos de las aseguradoras cibernéticas, también lo serán otras amenazas a la cadena de suministro. Alastair Parr, vicepresidente senior de productos y servicios globales del proveedor de gestión de riesgos de terceros (TPRM) Prevalent, dice que las organizaciones deben desarrollar sus programas de adquisiciones identificando socios desde la perspectiva de: ¿Cómo puede este tercero ofrecernos beneficios de resiliencia operativa?

Los visionarios con visión de futuro analizan la gestión de riesgos de terceros (TPRM) y los datos en conjunto y lo que significan las violaciones de datos en función del cumplimiento normativo emergente y en expansión, dijo Parr. En lugar de centrarse en los datos en sí, sugiere adoptar un enfoque holístico, llamándolo marco multifuncional de gestión de riesgos de proveedores.

“Tan pronto como la junta comienza a considerarlo como un programa multifuncional, más integral, más de un ciclo de vida, eso cambia las preguntas que deberían hacerse”, dice. “Deberían entusiasmarse con la participación en las adquisiciones. No deberían tener miedo de los datos por el simple hecho de tener datos”.

La gran mayoría de las empresas hoy en día están luchando con TPRM, dice Parr, porque se centran más en el costo de la gobernanza de datos que en el cumplimiento normativo, la resiliencia operativa, el impacto de la marca o el riesgo reputacional asociado con las filtraciones de datos.

Mirando hacia el futuro

En un entorno de mayor regulación, los CISO ahora son personalmente responsables de las violaciones de datos, independientemente de si implican pérdida de datos o violaciones de la privacidad. En respuesta, las aseguradoras cibernéticas están endureciendo sus reglas sobre cómo las organizaciones deben proteger los datos privados y las cuentas privilegiadas. Y todo esto está sucediendo con una mayor atención por parte de los reguladores, las aseguradoras y la alta dirección a las amenazas a la cadena de suministro.

Para enfrentar estos desafíos en el próximo año, los CISO deben proteger a su organización y a sí mismos mediante la creación de un sistema para documentar acciones y decisiones relevantes, estableciendo y haciendo cumplir políticas de privacidad integrales y consistentes, y evaluando a sus socios externos en términos de resiliencia operativa.

Al trabajar en toda la organización con equipos de adquisiciones, legales y de seguridad, los CISO pueden mitigar el impacto potencial de las amenazas a la cadena de suministro y los costos de seguros en sus negocios, y también cubrirse a sí mismos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-operations/top-3-priorities-for-cisos-in-2024