0
0
Nos próximos meses, as leis de proteção de dados continuarão a evoluir e se fortalecer, exigindo que as organizações refinem suas políticas de proteção de dados e demonstrem como protegem as informações dos clientes. Como parte dos mandatos em mudança, as estruturas de segurança cibernética também refinarão os regulamentos de retenção de dados do cliente.
Compreender as mudanças em andamento nos regulamentos de privacidade de dados é desafiador o suficiente para os diretores de segurança da informação (CISOs) e suas equipes. A implementação das mudanças necessárias à medida que elas ocorrem apenas adiciona complexidade e confusão. Este artigo explora as mudanças nas regulamentações de privacidade do consumidor e descreve maneiras pelas quais as empresas podem simplificar seus esforços de conformidade.
Este ano, espera-se que o Departamento de Defesa dos EUA aprimore seu padrão nacional de segurança cibernética para todos os contratados que trabalham com a cadeia de suprimentos federal e lidam com informações não classificadas controladas (CUI) e exija os requisitos do programa de Certificação de modelo de maturidade em segurança cibernética (CMMC) . Embora este mandato não afete diretamente muitas empresas, a decisão certamente afetará outras organizações que conduzem negócios indiretos com a cadeia de suprimentos federal, bem como aquelas no mercado privado, exigindo que elas atendam às mudanças nas leis de proteção de dados que são essenciais para as empresas. operações diárias.
Além disso, a Lei de Privacidade do Consumidor da Califórnia (CCPA) , uma das leis de privacidade do consumidor mais rígidas do país, introduzirá direitos aprimorados para indivíduos que desejam alterar seus dados pessoais ou optar por não receber marketing e comunicações de terceiros – uma consideração importante devido aos muitos recentes violações de dados de terceiros. As empresas devem, portanto, estabelecer políticas e processos mais rigorosos para proteger seus sistemas e os dados críticos armazenados neles e garantir que esses processos sejam bem compreendidos e aplicados.
Regulamentações cibernéticas prescritivas sobre proteção de dados podem ser um trunfo para as empresas. Eles ajudam a fortalecer a reputação de sua marca, dado seu foco em proteger os dados do usuário e manter a empresa protegida contra ataques. Mas como o aumento da regulamentação enfatiza ainda mais a segurança, o risco e os recursos de TI já limitados e aumenta a curva de aprendizado, os aspectos negativos dessas mudanças geralmente podem ofuscar os benefícios que elas oferecem.
Medidas proativas versus medidas reativas: qual abordagem é mais eficaz?
À medida que as estruturas que acompanham os mandatos de segurança cibernética e as diretrizes de conformidade também são refinadas, muitos agora incentivam (e às vezes exigem) que as empresas façam a transição para uma abordagem proativa baseada em riscos que estabelece sua responsabilidade com base no tipo de dados que coletam e como são usados. Ao mesmo tempo, muitas estruturas de segurança cibernética centradas em dados estão levando o setor à priorização proativa e à análise de lacunas de classificação de risco para permitir uma medida precisa do risco do sistema, reduzindo os recursos necessários e o tempo para conformidade. Essa colisão de preocupações com a privacidade de dados e os regulamentos de estrutura de segurança cibernética associados são opressores para as empresas que tentam fortalecer sua postura de segurança e conformidade.
A priorização proativa de riscos com base em inteligência de ameaças abrangente, contextual e histórica, juntamente com o controle ativo sobre a empresa, pode aliviar muitas das dores de cabeça de compliance enfrentadas pelos CISOs. Para conseguir isso, recomendo que os CISOs e suas equipes sigam os seguintes passos:
1. Entenda como sua empresa está usando os dados. O crescente volume de dados que as empresas coletam traz uma maior necessidade de inteligência cibernética contextual alinhada aos ativos que revela quais dados são necessários para as operações do dia a dia e como esses dados são usados. Soluções de tecnologia estão disponíveis para facilitar a compreensão, mas obter uma compreensão precisa requer uma abordagem de auditoria. Os CISOs e outros líderes devem considerar e definir os processos BAU (business as usual) da empresa para entender quais dados são necessários para as operações diárias padrão. Ao fazer isso, as empresas podem definir uma política sólida sobre o que e como usam determinados tipos de dados.
2. Realize uma avaliação de risco completa. Uma avaliação de risco de segurança cibernética em grande escala pesa os riscos dentro da organização e em toda a cadeia de suprimentos em relação à eficácia dos principais controles de segurança que protegem os dados. Esta etapa é crítica devido às vulnerabilidades da cadeia de suprimentos de software de alto perfil nos últimos anos. Incidentes como a notória violação da SolarWinds e muitos outros como ela fornecem evidências da importância de prestar muita atenção aos riscos de terceiros para proteger os sistemas, redes e dados de uma organização.
3. Quantifique os riscos cibernéticos. As avaliações típicas de riscos corporativos priorizam os riscos com classificações genéricas de “alto”, “médio” ou “baixo”, apontando para a probabilidade desse risco se tornar um ataque e o impacto resultante. No entanto, é necessário mais para quantificar o risco de uma empresa. Por exemplo, onde a empresa tem presença online? Quão difundidas são suas vulnerabilidades? Quais ativos estão em risco? Além disso, quão resiliente é a organização em manter os negócios como de costume se ocorrer um ataque? Quanto custaria um ataque à empresa?
Uma solução de inteligência de ameaças de qualidade identifica e enriquece a medição das vulnerabilidades de uma empresa e ajuda as entidades a priorizar com segurança quais lacunas devem ser abordadas. [Observação: a empresa do autor é uma das muitas que oferecem serviços de inteligência de ameaças.] Essa inteligência de ameaças pode ajudar as equipes de segurança a entender quais setores de negócios estão mais em risco e a postura da organização, e se os cibercriminosos estão visando um determinado negócio ou software, incluindo seus ter. Qualquer área de uma empresa ou seus fornecedores podem ser um alvo, como os sistemas de ponto de venda de um varejista. A inteligência de ameaças pode revelar centenas de postagens em fóruns da Dark Web sobre planos para atingir esses sistemas críticos, por exemplo,
4. Defina uma política de conscientização de segurança mensurável e consumível. Medir a eficácia de um programa de conscientização de segurança requer saber se funcionários, parceiros de negócios, fornecedores terceirizados e outros entendem e seguem totalmente as políticas de segurança da empresa. Acompanhar os incidentes cibernéticos e como eles são tratados pode revelar o quão bem a empresa se comunica, treina e aplica essas políticas para as pessoas na linha de frente, a maior vulnerabilidade de uma empresa. Além disso, uma política robusta de conscientização de segurança requer a cooperação da organização e de seus fornecedores, o que deve ser claramente articulado como parte de qualquer contrato formalizado.
À medida que a quantidade de dados que as empresas consomem e processam continua a crescer e os agentes mal-intencionados encontram maneiras mais sofisticadas de acessar esses dados, tornar mais rígidas as regulamentações de privacidade de dados faz todo o sentido. No entanto, o fardo adicional de atender continuamente aos requisitos de conformidade em constante mudança pode parecer quase impossível para equipes sobrecarregadas.
Seguindo essas etapas e implementando inteligência e análise proativas, as empresas e seus funcionários, parceiros e clientes saem na frente — o que é bom para os negócios e bom para a sociedade.
FONTE: DARK READING