Baş Bilgi Güvenliği Görevlileri (CISOS) ve Baş Güvenlik Görevlileri (STK’lar), sadece gelişen tehdit manzarasından değil, aynı zamanda giderek daha fazla veri ihlallerinden sorumlu tutmaya çalışan yasal bir ortamdan eşi görülmemiş baskılarla karşı karşıyadır. Kişisel hesap verebilirliğe doğru bu değişim, kuruluşlarının güvenlik duruşlarının sağlam ve sürekli sıkıcı veri koruma yasalarına uygun olmasını sağlamak için bu liderlere muazzam bir baskı oluştururken, hem kendilerini hem de kuruluşlarını genellikle sınırlı kaynaklara sahip ortamlarda koruma ihtiyaçlarını dengeliyor.
Kişisel sorumluluk manzarası
CISO’lar ve STK’lar, çok sayıda nedenden dolayı ihlallerden kişisel olarak sorumlu tutulmaktadır. Avrupa’daki Genel Veri Koruma Yönetmeliği (GDPR) ve ABD’deki çeşitli eyalet yasaları gibi daha katı veri koruma yasaları, genellikle bireyleri uymama nedeniyle cezalandıran hükümler içermektedir. Ayrıca son birkaç yılda, ABD Adalet Bakanlığı ve Menkul Kıymetler ve Borsa Komisyonu tarafından CISO’lar ve STK’ların güvenlik ihlallerinden suçlu olarak sorumlu tutulması için artan faiz gördük. Bireysel hesap verebilirliğe doğru yapılan bu değişim, kısmen kişisel sorumluluk olmadan, şirketlerin güvenlik için sorumluluklarını asla ciddiye almayacakları yönündeki ortak algısından kaynaklanmaktadır.
Aynı zamanda hissedarlar da hesap verebilirlik talep ediyor. Bir veri ihlali, hisse senedi değerinde bir düşüş, itibar zararı, marka hasarı ve diğer olumsuz sonuçlara yol açabilir ve hissedarların suçlanmasını istemeye neden olabilir. Cisos ve STK’lar, kuruluşlarının güvenlik duruşunun koruyucuları olarak mantıklı hedeflerdir. Halkın veri ihlalleri konusunda farkındalık da artmıştır, bu da tüketicilerin CISO’ları ve STK’ları sorumlu tutmaları için sivil mahkemelere giderek daha fazla başvurdukları bir ortama yol açmıştır.
Bu gelişmeler göz önüne alındığında, bazı kuruluşlar kişisel suçluluklarına bakılmaksızın, CISO’ları ve STK’ları veri ihlallerinden açıkça sorumlu kılan iş sözleşmelerine dahil edilmeye başlamıştır.
Yasal çıkarımlarda gezinme
Baskı arttıkça, CISO ve STK’ların işi, örgütlerini güvence altına almaktan kendilerini bu artan kişisel risklerden korumaya kadar hızla genişliyor. CISO’lar ve STK’lar artık veri ihlali risklerini azaltmak için değil, aynı zamanda bu rolü yerine getirmede gereken özeni belirlemek için veri güvenliği için endüstri en iyi uygulamalarını takip etmelidir.
CISO’lar ve STK’lar artık siber güvenliğin yararına alınan kapsamlı kararları ve eylemleri korumalıdır, çünkü bu belgeler bir ihmal iddiasının savunmasında güçlü kanıtlar olabilir. Ayrıca, CISO’lar ve STK’lar artık sözleşmeye dayalı taahhütlerini anlamalı, istihdam anlaşmaları imzalamadan önce hukuk müşavirine danışmalı ve kendilerini kişisel sorumluluğun potansiyel yasal ve finansal sonuçlarından korumak için sigorta edinmeyi düşünmelidir.
Eğrinin önünde kalmak
Tüm bunlar, CISO’ların ve STK’ların kuruluşlarında mevcut en son siber güvenlik önlemlerini uygulayarak ve kararlarını yapmadıklarında haklı çıkarmaya hazırlanarak eğrinin önünde kalmasının zorunlu olduğu anlamına gelir.
CISO’ların ve STK’ların artık göz ardı edemeyeceği bir alan API güvenliğidir. Salt Security araştırmasına göre, geçen yıl, veri ihlallerinin% 34’ü API güvenlik açıklarından kaynaklandı ve kuruluşların% 92’si API ile ilgili bir güvenlik olayı yaşadı. Ve API’lerin yapay zekadaki ilerlemelerle patlamaya hazırlanmasıyla, API’lerin ortaya koyduğu tehdidin sadece artması bekleniyor. Kuruluşlarını ve kendilerini korumak için CISOS, API güvenliğini siber güvenlik stratejilerinin temel bir bileşeni olarak önceliklendirmelidir. CISO’lar, API’leri ve diğer ortaya çıkan tehdit vektörlerini korumak için önlemler uygulayarak, bir ihlalin gerçekleşmesi durumunda sadece bir ihlal olasılığını azaltmakla kalmayıp, aynı zamanda yasal savunmalarını da güçlendiren güvenliğe bir taahhüt gösterebilir.
En İyi Uygulamalar
Bir ihlalden sonra kişisel yasal yankılar riskini en aza indirmek için, CISO’lar ve STK’lar:
- En son siber güvenlik tehditleri ve düzenlemeleri hakkında bilgilendirilin.
- Düzenli risk değerlendirmeleri yapın ve belirlenen riskleri ele alma sürecine sahip olun.
- Dokümanlığı göstermek için karar verme süreçlerini belgeleyin.
- Gerekli kaynakları savunmak ve herhangi bir retini belgelemek.
- Siber güvenlik risklerine uyum sağlamak için liderlik ekibi ve yönetim kurulu ile işbirliği yapın.
- İş sözleşmelerini iyice anlayın ve imzalamadan önce hukuk müşavirine danışın.
- Kişisel sorumluluk sigortası almayı düşünün.
Çözüm
Siber güvenlik manzarası gelişmeye devam ettikçe, CISO’lar ve STK’lar rollerinin taleplerini karşılamak için uyum sağlamalıdır. En iyi uygulamalara öncelik vererek, kararları belgeleyerek ve yasal sonuçları anlayarak, CISO’lar ve STK’lar sadece kuruluşlarını değil, aynı zamanda bu zorlu ortamda kendilerini daha iyi koruyabilir.
Yazar hakkında
Amanda Fitzsimmons, API koruma platformu kuruluşları keşif, duruş yönetimi ve çalışma zamanı tehdit koruması yoluyla API’lerini güvence altına alan Salt Security’nin yasal başkanıdır. Amanda, veri gizliliği, siber güvenlik ve yasal uyumluluk konularında uzmanlaşmış 15 yıldan fazla deneyime sahiptir. Salt Security zamanından önce Amanda, çok sayıda müşteriye yakın tarihteki en önemli veri ihlallerinden bazılarında tavsiyelerde bulundu.