Door Eric Schmitt - Chief Global Information Security Officer en Brenda G. Corey - SVP Compliance & Regulatory
In een wereld die zich steeds meer bezighoudt met privacy en bescherming, moeten bedrijven hun risicobewustzijn afwegen tegen compliance te midden van snel veranderende regelgeving.
Vanuit het oogpunt van gegevensbescherming is er de afgelopen 24 maanden steeds meer nadruk komen te liggen op het feit dat gegevens alleen worden bewaard voor de periode dat ze nodig zijn of zoals wettelijk is vereist. Nu er in twee Amerikaanse staten(Californië CPRA, Virginia) wetten van kracht zijn op het gebied van transparantie en gegevensrechten en deze wetten in de loop van 2023 in nog eens drie Amerikaanse staten van kracht worden(Colorado, Connecticut, Utah), is het tijd voor bedrijven om hun infrastructuur te evalueren, gebieden waar kwaadwillenden misbruik van kunnen maken te isoleren en werknemers te informeren over de beste manieren om gevoelige gegevens te beschermen.
Bewaren van gegevens
Een belangrijk aandachtspunt is de volledige naleving van een schema voor het bewaren van bestanden. Het record retention schedule is van vitaal belang om ervoor te zorgen dat we gegevens alleen bewaren voor de periode die nodig is, om risico's te beperken door de opgeslagen gegevens te verminderen en om te voldoen aan nieuwe wetgeving. Bedrijven over de hele wereld zijn vandaag de dag bezig met deze reis en zijn hun bestaande beleid aan het herzien om naleving te garanderen. Het is belangrijk om ervoor te zorgen dat aan de bewaarplicht wordt voldaan voor meerdere belanghebbenden - wettelijk, klant en verzekeraar - en zowel in specifieke rechtsgebieden als wereldwijd.
Cyberweerbaarheid
Aan de technische kant van het bedrijf is het belangrijk dat cyberbeveiliging-, back-up- en rampherstelteams samenkomen en een meer verenigd programma bieden onder de noemer "cyberweerbaarheid". Dit niveau van samenwerking helpt ervoor te zorgen dat continuïteitsplannen, inclusief bedrijfs- en technologieplannen, rekening houden met hoe bescherming kan worden geïmplementeerd in het geval van een cyberbedreiging, zodat een organisatie snel kan reageren op opkomende bedreigingen. Bedrijven moeten er zeker van zijn dat hun continuïteitsprogramma ook cybergerelateerde zaken omvat.
Jacht op bedreigingen
Gewapend met de missie om "jezelf te breken voordat iemand anders dat doet", proberen cyberbeveiligingsteams de eigen cyberomgevingen van een organisatie op dezelfde manier aan te vallen als een slechte speler dat zou doen - een proces dat threat hunting wordt genoemd. Dit geeft zichtbaarheid om niet alleen de pijnpunten te vinden waar aanvallen kunnen plaatsvinden, maar ook om een snellere reactie op te bouwen zodat back-upgegevens kunnen worden beschermd om ervoor te zorgen dat niet alles verloren gaat in het geval van een bedreiging. Threat Hunting moet een aanvulling zijn op een robuust kwetsbaarheden- en penetratietestprogramma, geen vervanging. Er zijn twee grote voordelen van threat hunting: uw verdedigers leren aanvallen te herkennen door samen te werken met de threat hunters en het bedrijf kan helpen gebieden te identificeren waar aanvullende controles moeten worden toegepast.
Een verdedigingslinie opzetten
Je moet weten wat je hebt voordat je het kunt beschermen. Door het in kaart brengen van alle bedrijfsonderdelen en de soorten gegevens die daarlangs stromen - inclusief de leveranciers die deze informatie delen - kunt u een duidelijk beeld krijgen van hoe en waar gegevens zijn beveiligd. Met behulp van de "kroonjuweeloefeningen" van MITRE kunnen kwetsbaarheden rond te beschermen gegevens worden gemarkeerd, zodat de verdediging dienovereenkomstig kan worden gelaagd.
Opleiding van collega's is een ander niveau van optimale inspanningen op het gebied van gegevensprivacy en -bescherming. Als het gaat om cyberbeveiligingsrisico's, zijn uw mensen uw eerste en laatste verdedigingslinie. De vraag hoe medewerkers beter kunnen worden opgeleid om inkomende bedreigingen, zoals phishing e-mails, en andere kwaadaardige activiteiten positief te herkennen - en hoe dit gedrag positief te versterken - moet altijd bovenaan de agenda staan. Trainingen over phishing-e-mails moeten regelmatig worden gehouden voor de hele organisatie. Collega's in teams die voortdurend omgaan met gevoelige gegevens moeten mogelijk vaker worden beoordeeld om inbreuken op gegevens te voorkomen.
In de claimindustrie zorgen privacyfunctionarissen ervoor dat verzoeken om gegevensrechten snel en efficiënt worden afgehandeld voor individuele claimnemers. In overeenstemming met de privacywetgeving kan kunstmatige intelligentie worden ingezet om betere diensten te verlenen aan individuen, zoals in het geval van geautomatiseerde claimbeoordelingen.
Privacy door ontwerp
Gegevensprivacy en -beveiliging kunnen een onderscheidende factor zijn voor een bedrijf en zijn klanten als ze worden "ingebouwd" in de investerings- en operationele strategie. Als een bedrijf zijn nieuwe processen en programma's uitbouwt, inclusief de informatiestroom binnen het systeem, is het essentieel dat de teams aan de voorkant weten hoe ze privacy by design moeten aanpakken. Regelgevende instanties dringen steeds meer aan op het verkleinen van de voetafdruk van gegevens; bedrijven moeten de nodige zorgvuldigheid betrachten door diepgaande vragen te stellen over hun programma's voor gegevensbeveiliging en hun investering in informatie over bedreigingen afwegen.