Спазването на разпоредбите за сигурност и поверителност е от решаващо значение за способността на организацията да защитава своите данни. Но то не може да бъде просто упражнение с отметка, казва вицепрезидентът по сигурността и съответствието в Splashtop Джери Хсиех. Дадено решение трябва да бъде част от цялостна програма за съответствие.
Ако през последните години сигурността се превърна в основен приоритет за бизнес и ИТ лидерите, то спазването на нормативните изисквания не остава по-назад. Необходимостта от защита на данните и неприкосновеността на личния живот налага организациите да изпълняват изискванията, определени от редица мандати за съответствие, в зависимост от обработваните данни, вариращи от Общия регламент за защита на данните на Европейския съюз (GDPR) до Закона за преносимост и отчетност на здравното осигуряване (HIPAA) и Стандарта за сигурност на данните на индустрията за платежни карти (PCI DSS).
Но не е достатъчно да се спазват регулаторните мандати едно към едно, като се отбелязват полетата, които се отнасят до бизнеса или операциите на организацията. Движението на данни в облачни системи, развиващите се заплахи за киберсигурността и пълната гама от понякога припокриващи се мандати станаха твърде сложни. Централна точка в този пейзаж е нарастването на дистанционната работа, която изисква сигурен и надежден дистанционен достъп, за да се гарантира нейният успех и този на много други бизнес функции. Организациите трябва да възприемат подход, който да подкрепя цялата програма за съответствие на предприятието, изградена не само за да отговаря на настоящите изисквания, но и за да прави проактивни подобрения. Те също така трябва да са подготвени за неизбежните модификации на действащите и новите закони, които ще се появят.
Тъй като дистанционната работа продължава да се възприема от компаниите по целия свят, нуждата от сигурни и съвместими решения за дистанционен достъп стана първостепенна. Организациите, работещи в отрасли със строги изисквания и регулации, трябва да гарантират, че разполагат с контролни механизми за защита на личните данни и сигурността на системите – и тези контролни механизми трябва да обхващат пакета от облачни и ИТ решения, които организацията е внедрила, за да поддържа и защитава своята дистанционна и хибридна работна сила.
Нерядко обаче малките и средните предприятия са изправени пред предизвикателството на ограничените бюджети и недостига на човешки ресурси, необходими за създаването и управлението на пълномащабна програма за сигурност. Самооценката е често срещана първа стъпка в разработването на позиция за сигурност, независимо от размера на организацията. Това е ефективен начин за разбиране и приоритизиране на данните, което позволява на организациите да се справят със сигурността постепенно.
Въпреки това организацията не трябва да разчита прекомерно на самооценките, защото те могат да имат подводни камъни. Възлагането на оценка на контрола върху сигурността от трета страна ви позволява да уловите евентуални пропуски и да получите предложения за областите, които се нуждаят от подобрение, като например подобряване на сигурността, процесите, отзивчивостта и други елементи на успешната позиция по отношение на сигурността.
При избора на решение за отдалечен достъп компанията трябва внимателно да проучи сертификатите и изискванията, които доставчикът е изпълнил. Сертификатът, който трябва да се търси, е ISO/IEC 27001, публикуван съвместно от Международната организация по стандартизация и Международната електротехническа комисия, който се е превърнал в отличителен белег като световно признат еталон за системи за управление на информационната сигурност.
С изчерпателен набор от строги изисквания, той се придържа към най-високите съвременни стандарти за управление на риска, киберустойчивост и оперативно съвършенство, като същевременно е достатъчно гъвкав, за да поддържа решения за отдалечен достъп. Чрез включването на сертификата ISO в изискванията към доставчиците на дадена организация, тя може да бъде сигурна, че нейните доставчици на решения отговарят на строгите изисквания за обработка на данни и практики за сигурност.
Сертификацията по ISO 27001 обикновено е тригодишна, но този срок включва поредица от одити, предназначени да открият слабости и да препоръчат подобрения. За получаване на първоначалната сертификация се изисква силна основа за сигурност, но след това тя е по същество програма за непрекъснато усъвършенстване.
Изкуственият интелект, особено генеративните модели на изкуствен интелект като ChatGPT, напоследък привлича голямо внимание заради скоростта, мощта и иновациите, които внася в компютърната среда. Но ИИ повдига и въпроси. За специалистите в областта на сигурността голямото притеснение е, че един модел на ИИ, обработвайки толкова много информация толкова бързо, може да извърши нарушение на поверителността. Това би могло да доведе до нарушение на изискванията за съответствие със сигурността, дори ако става въпрос за нещо малко, като например имейл адрес.
Много организации се стремят да хостват свои собствени модели на ИИ, тъй като има предимства да се съхраняват на място. Но как се осъществява дистанционен достъп до системата? Традиционната VPN услуга не е достатъчно сигурна за отдалечен достъп до вътрешни приложения или данни. По-добрият подход е да се хоства приложението или платформата и да се използва сигурен отдалечен достъп, подкрепен от подход на нулево доверие за непрекъснато удостоверяване.
ИИ може да бъде от полза и за спазването на изискванията, тъй като може да помогне на организациите да идентифицират всички системи за данни, включително тези, които съдържат PII и друга чувствителна информация, в хибридни и многооблачни среди. Данните могат да бъдат класифицирани, за да съответстват на разпоредби като GDPR или Калифорнийския закон за защита на личните данни на потребителите (CCPA), така че да могат да бъдат бързо открити в случай например на искане за изтриване на лична информация по GDPR.
В днешния свят на все по-отдалечена работа е по-важно от всякога компаниите да отдават приоритет на сигурността и съответствието на отдалечения достъп като постоянна стратегия, изградена така, че да отговаря на текущите изисквания и да прави проактивни подобрения. Партньорството с доставчици на услуги от трети страни с необходимия експертен опит и сертификати може да предложи ефективни и рентабилни решения за улавяне на пропуски и получаване на предложения за подобрения. Освен това стабилната позиция за сигурност, която включва подход на нулево доверие към постоянното удостоверяване, може да защити по-добре данните, да управлява проактивно рисковете и да помогне на компаниите да се адаптират към променящите се обстоятелства и заплахи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.