Търсене
Close this search box.

Сигурността не е резултат, а стратегия

Спазването на разпоредбите за сигурност и поверителност е от решаващо значение за способността на организацията да защитава своите данни. Но то не може да бъде просто упражнение с отметка, казва вицепрезидентът по сигурността и съответствието в Splashtop Джери Хсиех. Дадено решение трябва да бъде част от цялостна програма за съответствие.

Ако през последните години сигурността се превърна в основен приоритет за бизнес и ИТ лидерите, то спазването на нормативните изисквания не остава по-назад. Необходимостта от защита на данните и неприкосновеността на личния живот налага организациите да изпълняват изискванията, определени от редица мандати за съответствие, в зависимост от обработваните данни, вариращи от Общия регламент за защита на данните на Европейския съюз (GDPR) до Закона за преносимост и отчетност на здравното осигуряване (HIPAA) и Стандарта за сигурност на данните на индустрията за платежни карти (PCI DSS).

Но не е достатъчно да се спазват регулаторните мандати едно към едно, като се отбелязват полетата, които се отнасят до бизнеса или операциите на организацията. Движението на данни в облачни системи, развиващите се заплахи за киберсигурността и пълната гама от понякога припокриващи се мандати станаха твърде сложни. Централна точка в този пейзаж е нарастването на дистанционната работа, която изисква сигурен и надежден дистанционен достъп, за да се гарантира нейният успех и този на много други бизнес функции. Организациите трябва да възприемат подход, който да подкрепя цялата програма за съответствие на предприятието, изградена не само за да отговаря на настоящите изисквания, но и за да прави проактивни подобрения. Те също така трябва да са подготвени за неизбежните модификации на действащите и новите закони, които ще се появят.

Предимства на оценката на сигурността от трета страна

Тъй като дистанционната работа продължава да се възприема от компаниите по целия свят, нуждата от сигурни и съвместими решения за дистанционен достъп стана първостепенна. Организациите, работещи в отрасли със строги изисквания и регулации, трябва да гарантират, че разполагат с контролни механизми за защита на личните данни и сигурността на системите – и тези контролни механизми трябва да обхващат пакета от облачни и ИТ решения, които организацията е внедрила, за да поддържа и защитава своята дистанционна и хибридна работна сила.

Нерядко обаче малките и средните предприятия са изправени пред предизвикателството на ограничените бюджети и недостига на човешки ресурси, необходими за създаването и управлението на пълномащабна програма за сигурност. Самооценката е често срещана първа стъпка в разработването на позиция за сигурност, независимо от размера на организацията. Това е ефективен начин за разбиране и приоритизиране на данните, което позволява на организациите да се справят със сигурността постепенно.

Въпреки това организацията не трябва да разчита прекомерно на самооценките, защото те могат да имат подводни камъни. Възлагането на оценка на контрола върху сигурността от трета страна ви позволява да уловите евентуални пропуски и да получите предложения за областите, които се нуждаят от подобрение, като например подобряване на сигурността, процесите, отзивчивостта и други елементи на успешната позиция по отношение на сигурността.

Стойността на сертификата ISO 27001

При избора на решение за отдалечен достъп компанията трябва внимателно да проучи сертификатите и изискванията, които доставчикът е изпълнил. Сертификатът, който трябва да се търси, е ISO/IEC 27001, публикуван съвместно от Международната организация по стандартизация и Международната електротехническа комисия, който се е превърнал в отличителен белег като световно признат еталон за системи за управление на информационната сигурност.

С изчерпателен набор от строги изисквания, той се придържа към най-високите съвременни стандарти за управление на риска, киберустойчивост и оперативно съвършенство, като същевременно е достатъчно гъвкав, за да поддържа решения за отдалечен достъп. Чрез включването на сертификата ISO в изискванията към доставчиците на дадена организация, тя може да бъде сигурна, че нейните доставчици на решения отговарят на строгите изисквания за обработка на данни и практики за сигурност.

Сертификацията по ISO 27001 обикновено е тригодишна, но този срок включва поредица от одити, предназначени да открият слабости и да препоръчат подобрения. За получаване на първоначалната сертификация се изисква силна основа за сигурност, но след това тя е по същество програма за непрекъснато усъвършенстване.

Отключване на сигурен достъп до AI

Изкуственият интелект, особено генеративните модели на изкуствен интелект като ChatGPT, напоследък привлича голямо внимание заради скоростта, мощта и иновациите, които внася в компютърната среда. Но ИИ повдига и въпроси. За специалистите в областта на сигурността голямото притеснение е, че един модел на ИИ, обработвайки толкова много информация толкова бързо, може да извърши нарушение на поверителността. Това би могло да доведе до нарушение на изискванията за съответствие със сигурността, дори ако става въпрос за нещо малко, като например имейл адрес.

Много организации се стремят да хостват свои собствени модели на ИИ, тъй като има предимства да се съхраняват на място. Но как се осъществява дистанционен достъп до системата? Традиционната VPN услуга не е достатъчно сигурна за отдалечен достъп до вътрешни приложения или данни. По-добрият подход е да се хоства приложението или платформата и да се използва сигурен отдалечен достъп, подкрепен от подход на нулево доверие за непрекъснато удостоверяване.

ИИ може да бъде от полза и за спазването на изискванията, тъй като може да помогне на организациите да идентифицират всички системи за данни, включително тези, които съдържат PII и друга чувствителна информация, в хибридни и многооблачни среди. Данните могат да бъдат класифицирани, за да съответстват на разпоредби като GDPR или Калифорнийския закон за защита на личните данни на потребителите (CCPA), така че да могат да бъдат бързо открити в случай например на искане за изтриване на лична информация по GDPR.

Повишаване на киберсигурността при работа от разстояние

В днешния свят на все по-отдалечена работа е по-важно от всякога компаниите да отдават приоритет на сигурността и съответствието на отдалечения достъп като постоянна стратегия, изградена така, че да отговаря на текущите изисквания и да прави проактивни подобрения. Партньорството с доставчици на услуги от трети страни с необходимия експертен опит и сертификати може да предложи ефективни и рентабилни решения за улавяне на пропуски и получаване на предложения за подобрения. Освен това стабилната позиция за сигурност, която включва подход на нулево доверие към постоянното удостоверяване, може да защити по-добре данните, да управлява проактивно рисковете и да помогне на компаниите да се адаптират към променящите се обстоятелства и заплахи.

Източник: antivirus.bg

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
10/04/2024

Защо е толкова важно да укр...

Доставчиците на управлявани услуги (MSP) са...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!