Von Eric Schmitt - Chief Global Information Security Officer und Brenda G. Corey - SVP Compliance & Regulatory
In einer Welt, die sich zunehmend mit dem Schutz der Privatsphäre befasst, müssen Unternehmen ihr Risikobewusstsein mit der Einhaltung der sich schnell ändernden Vorschriften in Einklang bringen.
Aus Sicht des Datenschutzes wurde in den letzten 24 Monaten verstärkt darauf geachtet, dass Daten nur so lange aufbewahrt werden, wie sie benötigt werden bzw. wie es das Gesetz vorschreibt. Da in zwei US-Bundesstaaten(Kalifornien, Virginia) bereits Transparenz- und Datenschutzgesetze in Kraft sind und in drei weiteren US-Bundesstaaten(Colorado, Connecticut, Utah) im Laufe des Jahres 2023 in Kraft treten werden, ist es für Unternehmen nun an der Zeit, ihre Infrastruktur zu überprüfen, Bereiche zu isolieren, die von bösartigen Akteuren ausgenutzt werden könnten, und ihre Mitarbeiter über bewährte Verfahren zum Schutz sensibler Daten zu informieren.
Aufbewahrung von Unterlagen
Ein wichtiger Bereich ist die vollständige Einhaltung eines Zeitplans für die Aufbewahrung von Unterlagen. Der Zeitplan für die Aufbewahrung von Unterlagen ist von entscheidender Bedeutung, um sicherzustellen, dass Daten nur für den erforderlichen Zeitraum aufbewahrt werden, um das Risiko durch die Verringerung der gespeicherten Daten zu verringern und um die neuen Rechtsvorschriften einzuhalten. Unternehmen auf der ganzen Welt befinden sich heute auf diesem Weg und überprüfen ihre bestehenden Richtlinien, um die Einhaltung der Vorschriften zu gewährleisten. Es muss sichergestellt werden, dass die Aufbewahrungspflichten für mehrere Beteiligte - Gesetzgeber, Kunden und Versicherungsträger - sowohl in bestimmten Rechtsordnungen als auch auf globaler Ebene erfüllt werden.
Cyber-Resilienz
Auf der technischen Seite des Unternehmens ist es wichtig, dass die Teams für Cybersicherheit, Datensicherung und Notfallwiederherstellung zusammenkommen und ein einheitliches Programm unter dem Begriff "Cyber-Resilienz" anbieten. Diese partnerschaftliche Zusammenarbeit trägt dazu bei, dass Kontinuitätspläne, einschließlich Geschäfts- und Technologieplänen, die Umsetzung von Schutzmaßnahmen im Falle einer Cyberbedrohung berücksichtigen, so dass ein Unternehmen schnell auf neue Bedrohungen reagieren kann. Unternehmen sollten darauf achten, dass ihr Kontinuitätsprogramm auch cyberbezogene Aspekte berücksichtigt.
Jagd auf Bedrohungen
Ausgerüstet mit der Mission, "sich selbst zu brechen, bevor es jemand anderes tut", versuchen Cybersicherheitsteams, die eigenen Cyberumgebungen eines Unternehmens auf die gleiche Weise anzugreifen, wie es ein böser Akteur tun würde - ein Prozess, der als "Threat Hunting" bezeichnet wird. Dies ermöglicht nicht nur die Erkennung von Angriffspunkten, sondern auch eine schnellere Reaktion, so dass Sicherungsdaten geschützt werden können, damit im Falle einer Bedrohung nicht alles verloren geht. Threat Hunting sollte ein robustes Programm für Schwachstellen- und Penetrationstests ergänzen, nicht ersetzen. Die Bedrohungsjagd hat zwei große Vorteile: benefits - Ihre Verteidiger lernen, Angriffe zu erkennen, wenn sie mit den Bedrohungsjägern zusammenarbeiten, und das Unternehmen kann helfen, Bereiche zu identifizieren, in denen zusätzliche Kontrollen erforderlich sind.
Aufbau einer Verteidigungslinie
Man muss erst wissen, was man hat, bevor man es schützen kann. Durch die Erfassung aller Geschäftsbereiche und der Arten von Daten, die über sie fließen - einschließlich der Anbieter, die diese Informationen gemeinsam nutzen - können Sie sich ein klares Bild davon machen, wie und wo die Daten geschützt sind. Die MITRE-"Kronjuwelen-Übungen" ermöglichen es, Schwachstellen rund um die zu schützenden Daten aufzuzeigen, so dass die Verteidigungsmaßnahmen entsprechend angepasst werden können.
Die Schulung der Mitarbeiter ist ein weiterer Baustein für einen optimalen Schutz der Daten und der Privatsphäre. Wenn es um Cybersicherheitsrisiken geht, sind Ihre Mitarbeiter Ihre erste und letzte Verteidigungslinie. Die Frage, wie Mitarbeiter besser geschult werden können, um eingehende Bedrohungen wie Phishing-E-Mails und andere bösartige Aktivitäten zu erkennen, und wie dieses Verhalten positiv verstärkt werden kann, sollte immer im Vordergrund stehen. Phishing-E-Mail-Schulungen sollten regelmäßig für das gesamte Unternehmen durchgeführt werden. Mitarbeiter in Teams, die ständig mit sensiblen Daten zu tun haben, benötigen möglicherweise häufigere Bewertungen zur Vermeidung von Datenschutzverletzungen.
In der Schadenregulierungsbranche sorgen die Datenschutzbeauftragten dafür, dass Anfragen zu Datenrechten für einzelne Antragsteller schnell und effizient bearbeitet werden. Im Einklang mit den Datenschutzgesetzen kann künstliche Intelligenz eingesetzt werden, um dem Einzelnen bessere Dienstleistungen zu bieten, wie z. B. bei der automatischen Prüfung von Ansprüchen.
Datenschutz durch Design
Datenschutz und -sicherheit können ein Unterscheidungsmerkmal für ein Unternehmen und seine Kunden sein, wenn sie in die Investitions- und Betriebsstrategie integriert sind. Wenn ein Unternehmen seine neuen Prozesse und Programme, einschließlich des Informationsflusses innerhalb des Systems, entwickelt, ist es wichtig, dass die Teams an der Front wissen, wie man den Datenschutz durch Design angeht. Unternehmen müssen ihre Datensicherheitsprogramme gründlich hinterfragen und ihre Investitionen in Bedrohungsanalysen abwägen, um ihre Sorgfaltspflicht zu erfüllen.