Fermer

janvier 20, 2023

Ce que nous pouvons apprendre du rapport ACC 2022 sur l’état de la cybersécurité

Ce que nous pouvons apprendre du rapport ACC 2022 sur l’état de la cybersécurité


Récemment, la Fondation de l’Association of Corporate Counsel (ACC), en collaboration avec Ernst & Young, LLP, a publié le Rapport sur l’état de la cybersécurité 2022, une perspective interne. Le rapport contenait plusieurs conclusions intéressantes concernant l’influence croissante des services juridiques des entreprises sur la stratégie de cybersécurité de leur organisation.

Examinons quelques-unes des conclusions du rapport et quatre recommandations pour que le service juridique des entreprises influence un rôle de leadership encore plus important dans votre stratégie de cybersécurité.

Principales conclusions

Le rapport, disponible sur le site Web de l’ACC ici (avec un document de deux pages sur les faits saillants disponible ici) représente 265 entreprises dans 17 secteurs et 24 pays, offrant une compréhension complète de la façon dont les services juridiques de différentes tailles s’engagent dans les questions de cybersécurité. Voici quelques-unes des découvertes les plus notables :

Chief Legal Officer (CLO) Influence sur la cybersécurité

  • La cybersécurité rend compte au CLO en 38 pour cent des départements interrogés (15 % directement et 23 % indirectement).
  • 84 pour cent des CLO ont désormais au moins certaines responsabilités liées à la cybersécurité (contre 76 % en 2020), qu’il s’agisse d’un poste de direction, de faire partie d’une équipe plus large ayant des responsabilités en matière de cybersécurité ou de faire partie d’une équipe de réponse aux incidents.

Responsabilité du juriste d’entreprise pour la cybersécurité

  • 22 pour cent des entreprises emploient désormais un juriste interne en charge de la cybersécurité, en hausse de 10 points depuis 2018.
  • Dans 48 pour cent des affaires, cet avocat est responsable de la coordination de la stratégie de cyberdroit dans l’ensemble de l’entreprise et dans 29 pour cent des dossiers, cet avocat est entièrement intégré à la cybersécurité/informatique et travaille directement avec les ressources techniques.
  • 56 pour cent de ces avocats occupent des postes de direction.

Principales préoccupations concernant les violations de données

  • Concernant les violations de données, les atteintes à la réputation (77 pour cent), responsabilité envers les personnes concernées (61 pour cent) et la continuité des activités (51 pour cent) sont les préoccupations les plus immédiates.

Quatre recommandations pour que le droit des entreprises influence la stratégie de cybersécurité

Bien que les statistiques ci-dessus reflètent l’influence croissante des services juridiques des entreprises sur la politique de cybersécurité, il existe des mesures que vous pouvez prendre (si vous ne l’avez pas déjà fait) pour fournir une influence et une gestion encore plus grandes du cyber-risque. Voici quatre recommandations au service juridique des entreprises pour influencer la stratégie de cybersécurité :

Tenir l’organisation au courant des lois et réglementations en matière de cybersécurité

Dans le paysage cybernétique en constante évolution d’aujourd’hui, des lois et réglementations nouvelles ou renforcées sont régulièrement promulguées. Le service juridique de l’entreprise est chargé de se tenir au courant de ces changements et de communiquer les exigences au reste de l’organisation. Voici deux exemples récents de lois adoptées qui traitent des obligations en matière de cybersécurité pour les organisations :

  • Loi sur la déclaration des incidents cybernétiques pour les infrastructures critiques (CIRCIA): CIRCIA a été signé par le président Biden le 15 mars 2022. Il crée deux obligations de déclaration critiques pour les propriétaires et les exploitants d’infrastructures critiques : (1) une obligation de signaler certains cyberincidents à la Cybersecurity and Infrastructure Security Agency (CISA) du département américain de la sécurité intérieure dans les 72 heures ; et (2) une obligation de signaler les paiements de ransomware dans les 24 heures. La CISA doit d’abord terminer les activités de réglementation obligatoires avant que les exigences de déclaration n’entrent en vigueur, mais les organisations doivent être proactives et le service juridique de l’entreprise peut aider au processus de mise en œuvre.
  • Loi sur la cyber-résilience: La Commission européenne a publié ce règlement sur les exigences de cybersécurité pour les produits contenant des éléments numériques, qui renforce les règles de cybersécurité pour garantir des produits matériels et logiciels plus sûrs.

Le service juridique d’entreprise peut jouer un rôle de premier plan dans la gestion des risques liés à la cybersécurité et aux données en pilotant le processus d’élaboration, de mise en œuvre et de mise à jour des politiques et des procédures pour répondre à l’évolution des exigences réglementaires.

Appliquez des flux de travail éprouvés à Cyber ​​Response

Le service juridique d’entreprise peut également jouer un rôle actif dans la réponse aux cyberincidents au sein de l’entreprise qui peuvent impliquer des violations d’informations personnellement identifiables (PII) pour vos clients.

Tout comme un litige implique un flux de travail eDiscovery qui identifie par la production d’ESI potentiellement réactifs, un flux de travail similaire peut être appliqué à la réponse aux incidents en termes d’identification des données personnelles qui ont été potentiellement exposées, d’examen des données et des documents pour identifier les clients auxquels l’exposition des données peut appliquer et informer le client. C’est un eDiscovery processus, et le service juridique de l’entreprise peut prendre l’initiative de coordonner ce flux de travail pour prendre en charge la réponse aux incidents pour l’organisation.

Jouez un rôle actif dans la gestion des risques liés aux tiers

Un domaine dans lequel le rapport de l’ACC a montré une grande marge d’amélioration était la gestion des risques liés aux tiers (TPRM). Seulement 31 pour cent ont déclaré que leur service juridique est « souvent » impliqué dans les programmes TPRM de leur entreprise.

Le service juridique de l’entreprise peut jouer un rôle plus actif ici en procédant à un examen approfondi des contrats des fournisseurs pour s’assurer que les fournisseurs et autres tiers respectent les normes de votre entreprise en matière de sécurité des données. Cela inclut les processus et les procédures pour protéger vos informations lorsqu’elles sont transférées au tiers et exiger dans les contrats que les tiers fournissent une notification rapide en cas de violation.

Adoptez une approche d’assurance de l’information pour la GRC

Les aspects juridiques, de risque, de sécurité et de confidentialité sont tous essentiels à une gouvernance efficace de l’information, et cela se reflète dans l’EDRM Modèle de référence de gouvernance de l’information. En raison de leur implication dans la gouvernance, la gestion des risques et la conformité (GRC), les équipes juridiques ont été placées dans un rôle de leadership pour assurer un programme qui gère et protège les données sensibles.

La protection des données commence par savoir où se trouvent les données sensibles au sein de votre organisation à protéger. Garantie des informations est la discipline de l’identification, de la conservation et de la collecte efficaces et défendables d’informations à partir de diverses sources de données de points de terminaison organisationnelles pour soutenir les principaux objectifs commerciaux de découverte. Le service juridique d’entreprise peut et doit être un chef de file dans ce processus, car il est le moteur du succès de la stratégie de cybersécurité de votre organisation (ainsi que d’autres avantages, notamment la rationalisation des processus tels que l’eDiscovery).

Conclusion

Le rapport ACC 2022 sur l’état de la cybersécurité illustre l’influence croissante des services juridiques des entreprises sur la stratégie de cybersécurité de leur organisation. Mais les services juridiques peuvent faire beaucoup plus pour exercer encore plus d’influence afin de réduire le cyber-risque. Si davantage de services juridiques d’entreprise répondent aux quatre recommandations décrites ci-dessus, ces statistiques seront encore meilleures l’année prochaine !

Pour en savoir plus sur OpenText™, consultez :

Solutions de découverte électronique OpenText

Assurance des informations OpenText EnCase

Service d’analyse et de rapport de réponse OpenText Beach

Le meilleur outil 2023 pour ta croissance Instagram !



Source link