Siber güvenlik uyumluluğu, düzenleyici çerçevelerin hızla daha karmaşık kurallar, daha katı yaptırımlar ve uyumsuzluk durumunda daha sert cezalar getirmesiyle büyük bir değişim geçiriyor. Bunun örneklerini, şu anda milyonlarca işletmeyi etkileyen FTC Koruma Tedbirleri Kuralının geniş kapsamı, daha fazla işletmeye para cezası uygulayan HIPAA uygulamalarındaki son değişiklikler ve CMMC 2.0’ın daha sıkı kontrollerinin yakında gelmesi ile görüyoruz.
Bu daha tehlikeli düzenleme ortamında başarılı olabilmek için güvenlik ve BT ekiplerinin, düzenleyicilere etkili koruma sağlayan ve veri ihlallerini önleyen daha kapsamlı siber güvenlik stratejilerine uyması gerekiyor. Neyse ki işletmeler siber güvenlik uyumluluk sorumluluklarının karmaşıklığını tek bir basit teknikle aşabilirler. Her şey kendinize üç temel soruyu sormanıza bağlıdır:
- “Verilerim nerede?”
Verileri güvence altına almanın ilk adımı, onu nerede bulacağını bilmektir. Verilerin bulunduğu her cihazı, veri kaynağını, depolama konumunu ve aktarım noktasını katalogladıktan sonra, bu hedeflerin etrafında bir kale inşa eden bir siber güvenlik stratejisi tanımlayabilirsiniz. Veri haritalama ve sınıflandırma sürecini takip edin. Hangi verilerin hassas olduğunu ve düzenleyici korumalara tabi olduğunu tam olarak anlayabilmek için tüm veri varlıklarını ayrıntılandırın ve verileri sınıflandırın.
Örneğin, Kişisel Olarak Tanımlanabilir Bilgilere (PII) ve HIPAA kapsamındaki sağlık verilerine sahip tıbbi tesisler veya FINRA tarafından düzenlenen mali verilere sahip bir işletme, bu verilerin nasıl kullanılması ve güvenliğinin sağlanması gerektiği konusunda özel sorumluluklar taşıdığını belirtmelidir. En önemlisi, bir işletmenin tüm cihazlara ve ortamlara hassas verilerin orada bulunduğu varsayımıyla yaklaşması gerekir (veri eşlemesi yaptıktan sonra bile) çünkü pratikte bu çoğu zaman doğrudur ve bu tür kör noktaların yeterince güvenli hale getirilmemesi, veri kaybının yaygın bir reçetesidir. çiğneme.
Verilerinizin konumlarına ilişkin resmi tamamlamak için, oluşturulmasından silinmesine kadar işletmenizdeki veri akışını izlemek üzere bir veri akışı analizi gerçekleştirin. Bunu yapmak, veri iletiminin güvence altına alınması gereken kanalları belirleyecektir. Aktarılan tüm verilerin tamamen güvenliğini sağlamak için güvenilir dosya aktarım çözümlerinin ve şifreli iletişim protokollerinin mevcut olduğundan emin olun.
- “Verilerime kim erişebilir?”
Mevzuata uygunluk genellikle bir işletmenin yetkisiz erişimi önleyip önleyemeyeceğine bağlıdır. Cihaz ve sistem erişiminin güvenliğini sağlamak, dolayısıyla verileri ihlallere karşı ve işletmenizi düzenleyici işlemlere karşı güvence altına almak, koruma katmanları ve aktif güvenlik önlemleri aracılığıyla gerçekleştirilmelidir.
Rol tabanlı erişim kontrolünün (RBAC) uygulanması, işletmelerin kendi organizasyonları içindeki verilere kimlerin erişebileceğini yakından yönetmelerine olanak tanır. Bir işletme, her çalışanın yalnızca rolünü ve görevlerini yerine getirmek için ihtiyaç duyduğu verilere erişmesine izin vererek, iç tehditleri ve tek bir çalışanın cihazının veya kimlik bilgilerinin tehlikeye girmesi durumunda ortaya çıkan riskleri büyük ölçüde azaltır. Çok faktörlü kimlik doğrulamanın (MFA) eklenmesi, kimlik bilgilerinin tehlikeye girdiği kaçınılmaz senaryoda bile verileri koruyacaktır.
Anormal davranışları tespit etmek ve saldırıları azaltmak için otomatik ve manuel eylemler gerçekleştirmek için sürekli güvenlik izlemenin uygulanması, hızlı güvenlik yanıtları sağlamak için otomatik uyarılar kadar önemlidir. Erişim kontrollerinin etkinliğini doğrulamak ve saldırı girişimlerini tanımak için erişim denetimleri gerçekleştirmek bir diğer önemli uygulamadır. İşletmeler ayrıca, bir cihaz güvenlik ihlali belirtileri gösterdiğinde verileri erişilemez hale getiren otomatik korumalarla erişim kontrollerini güçlendirebilir. Bu, kullanıcının çok sayıda oturum açma girişiminde başarısız olması veya aygıtın erişimin onaylandığı coğrafi olarak korunan bir alandan çıkması durumunda aygıtın verilerinin kaldırılmasını veya karantinaya alınmasını içerebilir.
- “Verileri kullanılabilir ama gizli nasıl tutabilirim?”
İşletmeler, sağlam erişim kontrolünün ötesine geçerek, verilerin erişime sahip olması gerekenlerin erişimine açık kalmasını, ancak erişime sahip olmaması gerekenlerden gizli olarak korunmasını sağlamak için idari ve teknik koruma katmanları oluşturmalıdır.
Bu korumalar arasında, veri şifreleme, kullanımda olmayan veriler ve aktarım halindeki veriler için mutlak bir gerekliliktir. Güçlü şifreleme protokolleriyle uçtan uca şifreleme uygulayın ve hem iç hem de dış ağ tabanlı tehditleri önlemek için verilerinize erişebilen her cihazı sistem ve kullanıcı düzeyinde şifrelemeyle koruyun. Etkili şifrelemeyle, bir saldırgan verilere erişse bile verileri okuyamaz.
Verilerin kullanılabilir durumda kalmasını ve bir olay boyunca ve sonrasında iş sürekliliğini sürdürmenizi sağlamak için güçlü yedekleme ve felaket kurtarma yeteneklerine sahip olun. Bu işlevsellik, düzenli veri yedeklemelerini, saldırganların yedekleme verilerini hedef alması halinde bile verilerin güvende kalması için tesis dışı depolamayı (ki bunu sıklıkla yaparlar) ve ihtiyaç duyulduğunda en iyi kurtarma işlemini gerçekleştirebilmenizi sağlamak için düzenli testleri içermelidir.
Ayrıntılı bir olay müdahale planı, yüksek risk senaryosunda en iyi sonuca ulaşmak için bir başka kritik önlemdir. Bir veri ihlalini tespit etmeniz, hızlı bir şekilde yanıt vermeniz, kontrol altına almanız ve kurtarmanız gerektiğinde izlenecek adım adım prosedürü içeren bir plan yapın. Günün sonunda, güçlü bir plana sahip olmak işletmenin koşullarını ve bir saldırı sonrasında düzenleyicilerin yanında yer almasını anlamlı derecede iyileştirecektir.
Son olarak, çalışanların eğitimi veri gizliliğinin önemli bir yönüdür çünkü işletmelerin kendi çalışanlarının güvensiz davranışları hâlâ veri plajlarının başlıca nedenidir. Çalışanları kimlik avı planlarından kimlik bilgisi yönetimine ve güvenli internette gezinmeye kadar en son tehditler konusunda sürekli eğitmek ve test etmek, güvenlik ve uyumluluğun sürdürülmesi konusunda fayda sağlar.
Doğru soruları sorun, doğru cevapları alın
Yetersiz siber güvenlik ve mevzuata uyumsuzluğun sonuçları giderek ağırlaşırken, işletmelerin müşterilerini zarardan, kendilerini ise ağır cezalardan ve itibar zedelenmesinden korumak için kararlı adımlar atması gerekiyor. İşletmeler, hassas verilerin nerede bulunduğu, kimin erişimi olduğu ve verilerin nasıl gizli ve kullanılabilir tutulacağı hakkında doğru soruları sorarak doğru cevaba ulaşabilir ve kapsamlı ve uyumlu katmanlı güvenlik korumaları uygulayabilir.
Yazar Hakkında
Cam Roberson, Başkan Yardımcısı, Beachhead Solutions; PC ve cihaz şifrelemesini, güvenliğini ve CCMC 1 & 2, FTC Safeguards, HIPAA, ISO 27001, NIST yönergelerine ve daha fazlasına uyum için gerekli erişim kontrollerini sağlayan bulut tabanlı bir platform. Cam, kariyerine Apple Computer’da başladı ve burada bilgi işlem ve görüntüleme bölümlerinde birçok üst düzey ürün yönetimi görevi üstlendi.
Kam Roberson
408.496.6936 x6866 (doğrudan)
925.895. 5726 (mobil)
[email protected]