В списке проблем, связанных с высокими приоритетными проблемами CISO (сотрудников по информационной безопасности чина), конфиденциальность занимает все более заметное положение.
Конфиденциальность всегда была важна для компаний и других организаций, которые редактируют конфиденциальную информацию о клиентах и заинтересованных сторонах. Тем не менее, последние изменения в правилах защиты данных представляют собой большую ответственность за CISO, которые обязаны провести тщательные обзоры рисков и в то же время предоставлять результаты по запросу. Если вы не проводите никаких отзывов или правильных дефектов, вы можете привести к значительным штрафам и, в некоторых случаях, даже в тюрьме.
CISO должен использовать упреждающий подход для решения проблемы, в частности, быстрыми оценками безопасности данных, для выявления слабостей и рисков с высоким приоритетом, предназначенным для реализации третьих сторон для защиты данных, организации и их клиентов.
Вице -президент по безопасности в Neovera.
Государственные надзорные органы хотят отзывы о рисках — сейчас
Ряд штатов недавно увеличил использование для CISO и запрошенные подробные обзоры рисков, которые необходимо создать по запросу. Государственные правила, которые добавили новые требования, включают в себя Калифорнийское агентство по защите конфиденциальности (CPPA), Закон о защите данных о защите данных и безопасности (TDPSA), Законом о защите данных о потребителях Вирджинии (VCDPA), Законом о конфиденциальности Колорада (CPA) и Законом о New York Shield.
С этими новыми правилами CISO должны быть на одной и той же стороне, даже если не все использовать одну и ту же игровую книгу. Например, в то время как Вирджиния и Колорадо определяют четкие руководящие принципы для обзоров, правила в Калифорнии являются расплывчатыми и требуют оценок, не предлагая детали.
Ответственность за реализацию и документацию управления защитой данных и руководящих принципов лежит в первую очередь на плечи CISO, что должно обеспечить, чтобы организационные процедуры для управления информацией защищали данные о защите данных и соответствовали официальным требованиям. Реализация обзоров риска, которые выявляют слабости и показывают, что они решаются, является важным шагом в этом процессе. Еще больше, потому что вы должны быть готовы к созданию обзоров рисков, если регулирующие органы запрашивают их.
Как будто CISO нуждается в дополнительном стимуле, надзорные органы на уровне штата и федерального уровня применялись в соответствии с дорогостоящими нарушениями управления организацией, в частности CISO. Последствия включают высокие штрафы для организаций и в худшем случае сценариев даже в тюремных условиях для CISO.
Ответственность за защиту данных также распространяется на риски третьих сторонников. Организации не могут позволить себе полагаться исключительно на обещания от поставщиков третьих сторон, поскольку надзорные органы и прокуроры, как правило, могут обвинить организацию в нарушении, даже если эксплуатируемая уязвимость принадлежит поставщику. Организации должны внедрить основу для управления рисками третьих сторонников, которые включают в себя выполнение обязанностей по уходу за отношением к безопасности третьих лиц.
Быстрые оценки риска увеличивают как безопасность, так и соблюдение требований
Команды должны следовать нескольким лучшим практикам при проведении более быстрых отзывов.
Инструменты автоматического сканирования могут определить ряд уязвимостей, таких как: Оценка внутренних рисков может быть объединена с анализом частых внешних угроз. Затем группы безопасности могут определить приоритеты рисков на основе их уровня угрозы и создать план планирования.
Тесты на проникновение служат еще одним важным инструментом, с помощью которого группы безопасности могут быстро оценить и оценивать потенциальные угрозы для их инфраструктуры. Моделирование реальной атаки предназначено для того, чтобы показать, как многоуровневые элементы управления организацией работали вместе (или не работали), чтобы защитить себя от хакера. В результате компании лучше понимают свои пробелы в безопасности и безопасности, которые могут привлечь плохих актеров.
В сегодняшнем ландшафте угроз этот процесс должен выполняться эффективно с постоянным барабаном, поэтому быстрые рейтинги позволяют командам быстро идентифицировать, расставлять приоритеты и снижать наибольшие риски, когда они создают планы для дальнейшего ремонта. Это позволяет вам определить соответствующие шаги в любом случае, например,
После того, как предсказания были применены, команды должны проверить соответствующую систему, чтобы проверить, соответствуют ли исправления, а затем пройти более широкие тесты, чтобы гарантировать, что системы работают так, как ожидалось.
В качестве последнего шага компании должны реализовать хорошо подготовленного партнера в управляемых услугах, с которыми наблюдались их среды безопасности, и могут участвовать все восприимчивые уязвимости. За исключением офиса в отпуске? Киберпреступники без колебаний будут использовать свои слабости на ужин в День Благодарения. Поддержание обязательства по обеспечению безопасности требует самоотдачи в сегодняшнем развитии и турбулентном кибер -ландшафте, в котором поставщики управляемых услуг могут предложить поддержку.
Это хорошая практика для защиты от дорогих и вредных травм данных, но также важно соблюдать все более строгие правила защиты данных, чтобы регулярно выполнять быстрые оценки, как каждые шесть месяцев, чтобы защитить себя от дорогих и вредных нарушений данных. Документируя шаги, которые вы предприняли, а также те, которые вы хотите предпринять, CISO может позволить руководителям оценки риска искать надзорные органы.
Диплом
Безопасность — это бесконечный процесс, так как CISOS очень хорошо известен, но также и соблюдение. В зависимости от области, в которой они работают, компании могут противостоять ряду требований к соблюдению, которые часто меняются, как в случае недавних обновлений законов о защите данных штата. В общей сложности 20 штатов США (ранее) имеют законы о защите данных, и, хотя нет общих федеральных законов о защите данных, многие компании должны соблюдать международные законы, такие как общее регулирование защиты данных Европейского союза (GDPR), если они выполняют бизнес или контролируют субъекты в ЕС.
Проактивный подход безопасности, при котором автоматизация регулярных, повторяющихся обзоров быстрого обеспечения данных используется в рамках надежной структуры управления рисками, позволяет CISO улучшать защиту данных и в то же время идти в ногу с развивающимся ландшафтом соответствия.
Мы представили лучший онлайн -курс кибербезопасности.
Эта статья была произведена в рамках канала Expert Insights Techradarpro, в котором мы сегодня предлагаем лучшие и умные руководители в технологической индустрии. Взгляды, выраженные здесь, относятся к авторскому и не обязательно мнениям Techradarpro или Future PLC. Если вы заинтересованы в том, чтобы определить больше здесь:
