Önümüzdeki aylarda, veri koruma yasaları gelişmeye ve güçlenmeye devam ederek kuruluşların veri koruma politikalarını iyileştirmelerini ve müşterilerin bilgilerini nasıl koruduklarını göstermelerini gerektirecektir. Değişen zorunlulukların bir parçası olarak siber güvenlik çerçeveleri, müşteri verilerini saklama düzenlemelerini de iyileştirecek.
Veri gizliliği düzenlemelerinde devam eden değişiklikleri anlamak, baş bilgi güvenliği görevlileri (CISO’lar) ve ekipleri için yeterince zorlayıcıdır. Gerekli değişiklikleri meydana geldikçe uygulamak yalnızca karmaşıklık ve kafa karışıklığı yaratır. Bu makale, tüketici gizliliği düzenlemelerinde yapılan değişiklikleri araştırıyor ve şirketlerin uyumluluk çabalarını kolaylaştırabilecekleri yolları açıklıyor.
Bu yıl, ABD Savunma Bakanlığı’nın federal tedarik zincirinde çalışan ve kontrollü sınıflandırılmamış bilgileri (CUI) işleyen tüm yükleniciler için ulusal siber güvenlik standardını geliştirmesi ve Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) programı gerekliliklerini zorunlu kılması bekleniyor. Bu yetki pek çok işletmeyi doğrudan etkilemese de, karar kesinlikle federal tedarik zinciriyle dolaylı iş yapan diğer kuruluşları ve özel pazardakileri etkileyerek işletmeler için çok önemli olan değişen veri koruma yasalarına uymalarını gerektirecek. günlük operasyonlar.
Buna ek olarak, ülkenin daha sıkı tüketici gizliliği yasalarından biri olan Kaliforniya Tüketici Gizliliği Yasası (CCPA), kişisel verilerini değiştirmek veya pazarlama ve üçüncü taraf iletişimlerini devre dışı bırakmak isteyen bireyler için gelişmiş haklar getirecektir. son üçüncü taraf veri ihlalleri. Bu nedenle işletmeler, sistemlerini ve bunlarda depolanan kritik verileri korumak ve bu süreçlerin iyi anlaşılmasını ve uygulanmasını sağlamak için daha katı politikalar ve süreçler oluşturmalıdır.
Veri korumayla ilgili kuralcı siber düzenlemeler, işletmeler için bir varlık olabilir. Kullanıcı verilerini korumaya ve şirketi saldırılardan korumaya odaklandıkları için marka itibarlarını güçlendirmeye yardımcı olurlar. Ancak, artan düzenleme zaten kısıtlı olan güvenlik, risk ve BT kaynaklarını daha fazla vurguladığı ve öğrenme eğrisini dikleştirdiği için, bu değişikliklerin olumsuz yönleri genellikle sundukları faydaları gölgeleyebilir.
Proaktif ve Reaktif Önlemler: Hangi Yaklaşım Daha Etkili?
Siber güvenlik zorunluluklarına ve uyumluluk yönergelerine eşlik eden çerçeveler de rafine edildiğinden, artık çoğu işletme, topladıkları veri türüne ve bunların nasıl kullanıldığına bağlı olarak sorumluluklarını belirleyen proaktif, riske dayalı bir yaklaşıma geçmeyi teşvik ediyor (ve bazen zorunlu kılıyor). Aynı zamanda, birçok veri merkezli siber güvenlik çerçevesi, uyumluluk için gerekli kaynakları ve zamanı azaltırken sistem riskinin doğru bir şekilde ölçülmesini sağlamak için sektörü proaktif önceliklendirmeye ve risk sıralaması boşluk analizine doğru itiyor. Veri gizliliği endişeleri ile ilgili siber güvenlik çerçevesi düzenlemelerinin bu çatışması, güvenlik ve uyumluluk duruşlarını güçlendirmeye çalışan şirketler için çok büyük.
Kapsamlı, bağlamsal ve tarihsel tehdit istihbaratına dayalı proaktif risk önceliklendirmesi, kurum üzerinde aktif kontrolle birleştiğinde CISO’ların karşılaştığı uyum sorunlarının birçoğunu hafifletebilir. Bunu başarmak için, CISO’lara ve ekiplerine aşağıdaki adımları atmalarını öneriyorum:
1. Kuruluşunuzun verileri nasıl kullandığını anlayın. Şirketlerin topladığı artan veri hacmi, günlük operasyonlar için hangi verilerin gerekli olduğunu ve bu verilerin nasıl kullanıldığını ortaya çıkaran, varlıklarla uyumlu bağlamsal siber istihbarata daha fazla ihtiyaç duyuyor. Anlamayı kolaylaştıran teknoloji çözümleri mevcuttur, ancak doğru bir anlayışa sahip olmak bir denetim yaklaşımı gerektirir. CISO’lar ve diğer liderler, standart günlük operasyonlar için hangi verilerin gerekli olduğunu anlamak için şirketin BAU (olağan iş) süreçlerini dikkate almalı ve tanımlamalıdır. Bunu yaparak şirketler, belirli veri türlerini neyi ve nasıl kullanacakları konusunda sağlam bir politika belirleyebilir.
2. Kapsamlı bir risk değerlendirmesi yapın. Tam ölçekli bir siber güvenlik risk değerlendirmesi, verileri koruyan temel güvenlik kontrollerinin etkinliğine karşı hem kuruluş içindeki hem de tedarik zinciri genelindeki riskleri tartar. Son yıllarda yüksek profilli yazılım tedarik zinciri güvenlik açıkları göz önüne alındığında bu adım kritiktir. Kötü şöhretli SolarWinds ihlali gibi olaylar ve buna benzer pek çok olay, bir kuruluşun sistemlerini, ağlarını ve verilerini güvence altına almak için üçüncü taraf risklerine yakından dikkat etmenin öneminin kanıtıdır.
3. Siber riskleri ölçün. Tipik kurumsal risk değerlendirmeleri, riskleri genel “yüksek”, “orta” veya “düşük” derecelendirmelerle önceliklendirir ve bu riskin bir saldırıya dönüşme olasılığına ve bunun sonucunda ortaya çıkan etkiye işaret eder. Ancak, bir şirketin riskini ölçmek için daha fazlasına ihtiyaç vardır. Örneğin, şirketin çevrimiçi olarak nerede varlığı var? Güvenlik açıkları ne kadar yaygın? Hangi varlıklar risk altında? Ayrıca, bir saldırı meydana geldiğinde kuruluş işlerini her zamanki gibi sürdürme konusunda ne kadar dirençlidir? Bir saldırı kuruluşa ne kadara mal olur?
Kaliteli bir tehdit istihbaratı çözümü, bir kuruluşun güvenlik açıklarının ölçümünü belirleyip zenginleştirir ve kuruluşların hangi boşlukların ele alınması gerektiğine güvenli bir şekilde öncelik vermesine yardımcı olur. [Note: The author’s company is one of many that offer threat intelligence services.] Bu tür tehdit istihbaratı, güvenlik ekiplerinin hangi iş sektörlerinin daha fazla risk altında olduğunu ve kuruluşun duruşunu ve siber suçluların kendi işletmeleri de dahil olmak üzere belirli bir işletmeyi veya yazılımı hedef alıp almadıklarını anlamalarına yardımcı olabilir. Bir perakendecinin satış noktası sistemleri gibi, bir işletmenin veya tedarikçilerinin herhangi bir alanı hedef olabilir. Tehdit istihbaratı, örneğin, bu kritik sistemleri hedef alma planları hakkında Dark Web forumlarında yüzlerce gönderiyi açığa çıkarabilir ve satıcıyı, güvenliği artırması ve saldırganların etkin bir saldırı başlamadan çok önce iş sistemlerine veya müşteri verilerine erişmesini engellemesi konusunda uyarabilir.
4. Ölçülebilir, tüketilebilir bir güvenlik farkındalığı politikası tanımlayın. Bir güvenlik farkındalığı programının etkinliğini ölçmek, çalışanların, iş ortaklarının, üçüncü taraf tedarikçilerin ve diğerlerinin şirketin güvenlik politikalarını tam olarak anlayıp uygulamadıklarını bilmeyi gerektirir. Siber olayları ve bunların nasıl ele alındığını takip etmek, şirketin bu politikaları ön saflardaki insanlara ne kadar iyi ilettiğini, eğittiğini ve uyguladığını ortaya çıkarabilir; bu, bir şirketin en büyük güvenlik açığıdır. Ek olarak, sağlam bir güvenlik farkındalığı politikası, herhangi bir resmi anlaşmanın parçası olarak açıkça ifade edilmesi gereken kuruluş ve tedarikçilerinin işbirliğini gerektirir.
Şirketlerin tükettiği ve işlediği veri miktarı artmaya devam ettikçe ve kötü niyetli kişiler bu verilere erişmenin daha karmaşık yollarını buldukça, veri gizliliği düzenlemelerini sıkılaştırmak son derece mantıklıdır. Yine de, sürekli değişen uyumluluk gereksinimlerini sürekli olarak karşılamanın ek yükü, aşırı gergin ekipler için neredeyse imkansız görünebilir.
Bu adımları izleyerek ve proaktif istihbarat ve analizleri hayata geçirerek, şirketler ve onların çalışanları, ortakları ve müşterileri öne çıkıyor ve bu hem iş hem de toplum için iyi.