Af Eric Schmitt - chef for global informationssikkerhed og Brenda G. Corey - SVP compliance & regulatory
I en verden, der i stigende grad er optaget af privatlivets fred og beskyttelse, skal virksomheder afbalancere deres risikobevidsthed med overholdelse af hurtigt skiftende regler.
Fra et databeskyttelsessynspunkt har der i løbet af de sidste 24 måneder været øget fokus på at sikre, at data kun opbevares i den periode, hvor der er brug for dem, eller som loven kræver. Med love om gennemsigtighed og datarettigheder, der nu er aktive i to amerikanske stater(California CPRA, Virginia) og træder i kraft i yderligere tre amerikanske stater i løbet af 2023(Colorado, Connecticut , Utah), er det nu tid for virksomheder til at vurdere deres infrastruktur, isolere områder, der potentielt kan udnyttes af dårlige aktører, og uddanne medarbejdere i bedste praksis til beskyttelse af følsomme data.
Opbevaring af optegnelser
Et stort fokusområde er fuld overholdelse af en journalopbevaringsplan. Opbevaringsplanen er afgørende for at sikre, at vi kun opbevarer data i den nødvendige periode, at vi reducerer risikoen ved at mindske de lagrede data, og at vi overholder ny lovgivning. Virksomheder over hele verden er på denne rejse i dag og genovervejer deres eksisterende politikker for at sikre overholdelse. Det er vigtigt at sikre, at forpligtelserne til opbevaring af data opfyldes for flere interessenter - lovpligtige, kunder og forsikringsselskaber - og i specifikke jurisdiktioner såvel som på globalt plan.
Cyber-modstandsdygtighed
På den tekniske side af virksomheden er det vigtigt, at cybersikkerheds-, backup- og disaster recovery-teams går sammen og leverer et mere samlet program under banneret "cyberresiliens". Dette partnerskab er med til at sikre, at kontinuitetsplaner, herunder forretnings- og teknologiplaner, tager højde for, hvordan man implementerer beskyttelse i tilfælde af en cybertrussel, så en organisation hurtigt kan reagere på nye trusler. Virksomheder bør sikre sig, at deres kontinuitetsprogram omfatter cyberrelaterede spørgsmål.
Jagt på trusler
Bevæbnet med missionen om at "ødelægge dig selv, før nogen andre gør det", forsøger cybersikkerhedsteams at angribe organisationens egne cybermiljøer på samme måde som en dårlig aktør - en proces, der kaldes threat hunting. Det giver synlighed, så man ikke kun kan se de ømme punkter, hvor angreb kan forekomme, men også kan reagere hurtigere, så backup-data kan beskyttes, så ikke alt går tabt i tilfælde af en trussel. Trusselsjagt bør supplere et robust sårbarheds- og penetrationstestprogram, ikke erstatte det. Der er to store fordele ved threat hunting - dine forsvarere lærer at identificere angreb, når de arbejder med threat hunters, og virksomheden kan hjælpe med at identificere områder, hvor der kan være behov for yderligere kontrolforanstaltninger.
Etablering af en forsvarslinje
Man skal vide, hvad man har, før man kan beskytte det. Ved at kortlægge alle forretningsområder og de typer data, der flyder på tværs af dem - herunder hvilke leverandører, der deler disse oplysninger - kan du få et klart billede af, hvordan og hvor data er sikret. Ved at bruge MITRE's "kronjuveløvelser" kan man fremhæve sårbarheder omkring data, der skal beskyttes, så forsvaret kan opbygges i overensstemmelse hermed.
Uddannelse af kolleger er et andet led i en optimal indsats for databeskyttelse. Når det handler om cybersikkerhedsrisiko, er dine medarbejdere din første og sidste forsvarslinje. Spørgsmålet om, hvordan medarbejderne kan blive bedre uddannet til at identificere indgående trusler som phishing-mails og andre ondsindede aktiviteter - og hvordan man kan styrke denne adfærd positivt - bør altid være øverst på dagsordenen. Træningsøvelser i phishing-mails bør udføres regelmæssigt for hele organisationen. Kolleger i teams, der konstant håndterer følsomme data, kan have brug for hyppigere vurderinger for at forebygge databrud.
I erstatningsbranchen arbejder databeskyttelsesrådgivere for at sikre, at anmodninger om datarettigheder behandles hurtigt og effektivt for de enkelte ansøgere. I harmoni med lovgivningen om beskyttelse af personlige oplysninger kan kunstig intelligens udnyttes til at levere bedre tjenester til enkeltpersoner, f.eks. i tilfælde af automatiserede anmeldelser.
Privacy by design
Databeskyttelse og -sikkerhed kan være en differentiator for en virksomhed og dens kunder, når det er "bagt ind" i investerings- og driftsstrategien. Når en virksomhed opbygger sine nye processer og programmer, herunder informationsflowet i systemet, er det vigtigt, at teams i frontend ved, hvordan de skal tackle privacy by design. Regulerende myndigheder lægger større vægt på at reducere datas fodaftryk; virksomheder skal udvise rettidig omhu ved at stille grundige spørgsmål om deres datasikkerhedsprogrammer og afveje deres investeringer i trusselsinformation.
Tags: Brands, Krav, Compliance, cyber, Cyber resiliens, cybersikkerhed, cybertrusler, cybersikkerhed, Data, Data privacy, Data Privacy Day, Datasikkerhed, love, Bevarelse af brands, Privacy, Privacy by design, privacy love, Regulatory, resiliens, Resiliens, Sikkerhed