2023 年 1 月 27 日
作者:Eric Schmitt(全球首席信息安全官)和 Brenda G. Corey(合规与监管高级副总裁
在日益关注隐私和保护的今天,企业必须在快速变化的法规中平衡风险意识和合规性。
从数据保护的角度来看,在过去的 24 个月中,人们越来越重视确保数据只在需要或法律要求的期限内保留。目前,透明度和数据权利法已在美国两个州(加利福尼亚州 CPRA 和弗吉尼亚州)生效,并将于 2023 年在美国另外三个州(科罗拉多州、康涅狄格州和犹他州)生效,因此现在正是公司评估其基础设施、隔离可能被坏人利用的领域并教育员工保护敏感数据的最佳实践的时候。
保留记录
一个重点领域是完全遵守记录保留时间表。记录保留计划对于确保我们只在需要的时间内保留数据、通过减少存储的数据来降低风险以及遵守新出现的法规至关重要。如今,世界各地的公司都在进行这项工作,并重新验证其现有政策,以确保合规。重要的是,要确保履行法定、客户和保险公司等多方利益相关者的记录保留义务,并在特定司法管辖区和全球范围内履行这些义务。
网络复原力
在技术业务方面,网络安全、备份和灾难恢复团队必须联合起来,在 "网络复原力 "的旗帜下提供更加统一的计划。这种程度的合作有助于确保包括业务和技术在内的连续性计划考虑到如何在发生网络威胁时实施保护,使企业能够快速应对新出现的威胁。公司应确保其连续性计划包括与网络相关的问题。
狩猎威胁
网络安全团队肩负着 "先人一步,攻破自己 "的使命,希望以坏人可能采用的方式攻击企业自身的网络环境--这一过程被称为 "威胁猎杀"。这样不仅可以发现可能发生攻击的痛点,还可以建立更快的响应,从而保护备份数据,确保在发生威胁时不会丢失所有数据。威胁猎取应该是对强大的漏洞和渗透测试计划的补充,而不是取而代之。威胁猎取有两大好处,一是防御人员在与威胁猎取者合作的过程中学会识别攻击,二是公司可以帮助识别可能需要采取额外控制措施的领域。
设置防线
在保护数据之前,你必须先了解你所拥有的数据。通过数据映射所有业务线和跨业务线流动的数据类型(包括哪些供应商共享这些信息),您可以清楚地了解数据安全的方式和位置。使用 MITRE "皇冠上的明珠演习 "可以突出需要保护的数据周围的漏洞,从而相应地分层进行防御。
同事教育是最佳数据隐私和保护工作的另一个层面。在网络安全风险方面,员工是第一道也是最后一道防线。如何更好地教育员工积极识别入境威胁(如网络钓鱼电子邮件)和其他恶意活动,以及如何积极强化这种行为,始终是我们要考虑的首要问题。应定期为整个组织开展网络钓鱼电子邮件培训活动。经常处理敏感数据的团队同事可能需要更频繁地进行评估,以防止数据泄露。
在理赔行业,隐私官的工作是确保个人理赔者的数据权利请求得到快速有效的处理。在与隐私法保持一致的情况下,可以利用人工智能为个人提供更好的服务,例如自动索赔审查。
设计隐私
当数据隐私和安全被 "嵌入 "到投资和运营战略中时,它就会成为公司及其客户的与众不同之处。当公司建立新的流程和程序,包括系统内的信息流时,前端团队必须知道如何通过设计来解决隐私问题。监管机构正在大力推动减少数据足迹;企业必须尽职尽责,对其数据安全计划提出深入的问题,并权衡其在威胁情报方面的投资。
