Статті

Ключові аспекти в постійно мінливому ландшафті конфіденційності

06 апреля, 2022. 10:04 За матеріалами Oberig IT
Теги: #DLP, #США, #IAM, #GDPR, #Oberig_IT
В усьому світі з'являються суворі правила конфіденційності. Фахівці з безпеки, ризиків та конфіденційності усе частіше вважають,що забезпечення відповідності глобальним нормам конфіденційності є одним із їх головних завдань.

У поєднанні зі зростанням глобального розподілу робочої сили та вимогами працювати з дому, кібербезпека кожної організації зазнає надзвичайного тиску.

Враховуючи статистику, згідно з якою середня вартість порушення конфіденційності даних зросла на 10% за п'ятирічний період і склала $3,86 млн у 2020 році, дуже важливо, щоб ваша організація розуміла, що поставлено на карту, а потім поставила питання конфіденційності даних та кібербезпеки на порядок денний ради директорів.

Після недавнього вебінара на тему "Постійно мінливий ландшафт конфіденційності даних" запрошений доповідач та головний аналітик компанії Forrester Енца Іаннополло відповіла на деякі з актуальних питань, які ставили, коли мова йшла про створення фундаменту вашої стратегії безпеки даних.

Враховуючи всілякі законодавчі акти про відповідність, які вже діють або скоро будуть введені в дію, детальне розуміння їх усіх буде трудомістким або навіть неможливим завданням. Чи може розуміння і дотримання Загального регламенту Європейського Союзу із захисту даних (GDPR) стати відповідним об’єднуючим рішенням?

GDPR став поворотним подією у світі конфіденційності. Деякі з його ключових вимог, такі як, наприклад, права приватних осіб на недоторканність приватного життя або вимоги по повідомленню про порушення та підзвітності організацій, сформували законопроекти про недоторканність приватного життя, які були прийняті після нього, і ті, які обговорюються сьогодні.

Законодавство у Каліфорнії, Вірджинії, Бразилії, Таїланді, Китаї тощо – хороші приклади цієї тенденції. Конкретні вимоги мають свої унікальні деталі, але GDPR, як і раніше, є орієнтиром для організацій, які повинні дотримуватись безлічі нормативних актів. І, наприклад, якщо організація розробила передові методи виявлення та класифікації даних та побудувала динамічні потоки даних для відповідності GDPR, ці ініціативи значно полегшать завдання щодо виконання вимог відповідності іншим поточним та майбутнім нормативним актам у галузі конфіденційності.

Що, на вашу думку, наразі завдає більшої шкоди організації: ризик штрафів за недотримання вимог, репутаційний ризик чи приватні та колективні позови?

Складно сказати. Усе це має дуже серйозні наслідки для організацій. Відповідно до GDPR, штрафи за недотримання вимог можуть сягати 4% від глобального доходу компанії. Досі ми не бачили, що справлявся такий великий штраф, але це не означає, що цього не може статися. Європейські регулюючі органи, зокрема, забезпечують дотримання GDPR і на даний момент виписали більше700 штрафів та виконавчих проваджень на загальну суму понад 300 мільйонів євро.

І це без урахування значних інвестицій, які компаніям доводиться здійснювати, щоб відповідати вимогам регуляторів щодо забезпечення дотримання законодавства чи обов'язкових засобів правового захисту. Це може бути, наприклад, впровадження надійного програмного забезпечення для управління ідентифікацією та доступом (IAM), або впровадження технологій та процесів для запобігання витоку даних, або створення програм навчання та підвищення обізнаності працівників. Приватні та колективні позови стають дедалі більш поширеним засобом забезпечення дотримання нормативних вимог у США та Європі. І вони можуть бути дорогими: у червні 2017 року найбільша американська страхова компаніяAnthem Inc. погодилася на врегулювання позову на суму 115 мільйонів доларів після того, як внаслідок злому було скомпрометовано приватні дані 80 мільйонів клієнтів. Зовсім недавно British Airways врегулювала колективний позов у Великій Британії, що стосується сотень тисяч клієнтів, які постраждали від витоку даних у 2018 році. Врегулювання на нерозкриту суму відбулося після витоку особистих даних 420 000 клієнтів та співробітників, включаючи банківські реквізити, контактну інформацію та адреси. Проте найбільше компанії непокоїть репутаційні збитки. І цілком обґрунтовано.

Репутаційні збитки зазвичай виникають крім інших витрат, таких як, наприклад, штрафи, і його дуже складно оцінити кількісно. Він може вплинути на все: від репутації компанії та курсу акцій після витоку інформації до бажання ділових партнерів розпочати чи продовжити співпрацю з компанією, утримання співробітників та лояльності клієнтів. Негативні наслідки можуть виявлятися протягом тривалого часу. Наприклад, через шість місяців після зламу, що торкнувся телекомунікаційної компанії TalkTalk, компанія повідомила, що внаслідок злому її прибуток скоротився на 50%.

Яке поєднання технологій ви вважаєте за оптимальне для забезпечення надійного захисту даних?

Коли йдеться про конфіденційність та безпеку даних, є два фактори, які визначають, що потрібно для створення надійного підходу до захисту даних:

1. Кожна організація має певний рівень зрілості, і це впливає на набір технологій, на які слід звернути увагу організації.

2. Схильність до ризику, яку має кожна організація щодо конфіденційності та безпеки даних.

Особливо важливо добре розуміти, де знаходяться дані і що саме потребує їхнього захисту. Використання технологій, які можуть допомогти у вирішенні цього завдання, таких як виявлення та класифікація даних, є гарною відправною точкою. Встановлення та забезпечення дотримання прав доступу має вирішальне значення, і це може бути досягнуто за допомогою IAM. Особливо важливими є засоби контролю, що дозволяють користувачам застосовувати та відслідковувати політики - наприклад, шифрування та інші інструменти деідентифікації, управління ключами підприємства та запобігання втраті даних (DLP). Нарешті, технологія, що підтримує керування програмою та нагляд, особливо щодо ризиків, також має вирішальне значення.

Чи існує порядок, в якому ми повинні впроваджувати інструменти DLP та класифікації даних, чи це не має значення?

Ми схильні обговорювати класифікацію даних насамперед, а DLP – по-друге, але насправді використання цих інструментів часто відбувається одночасно. Я б сказала, що важливо розпочати класифікацію раніше, ніж запровадження DLP. Проте організаціям не потрібно чекати завершення застосування класифікації даних, перш ніж приступати до DLP. І вони не повинні це робити. Результати застосування DLP допомагають удосконалити класифікацію даних, і в результаті поліпшення класифікації DLP стає більш ефективною.

У чому перевага багаторівневої безпеки?

Фахівці з безпеки та конфіденційності звикають до управління декількома інструментами для забезпечення того ступеня захисту даних, який потрібний їх організаціям. Насправді, навіть якщо деякі можливості, наприклад, виявлення та класифікація даних, стають все більш доступними як вбудовані функції інших рішень, компанії в усьому світі продовжують інвестувати і впроваджувати окремі рішення. Наші дослідження показують, наприклад, що компанії продовжують інвестувати у шифрування електронної пошти, хмарних обчислень, баз даних та кінцевих точок. Для вирішення ключових завдань безпеки та конфіденційності компанії також збільшують інвестиції в DLP-інструменти, виявлення та класифікацію даних, управління правами та багато іншого.

Ці компанії бачать переваги багаторівневої безпеки. Ті, хто все ще сумнівається в цінності багаторівневої безпеки, повинні зрозуміти, чи задовольняє те, що у них є, їх потребам та сценаріям використання, чи їм краще використовувати більш багаторівневий підхід. Візьмемо для прикладу технології виявлення та класифікації даних. Щоб визначити цінність нашарування цих рішень на наявні, організація повинна розглянути додаткову автоматизацію та узгодженість, зменшення фрагментації та збільшення залежності від менш схильних до помилок підходів, що надаються цими рішеннями.

Компанії, які шукають комплексний підхід до забезпечення безпеки даних, повинні також розглянути питання про те, як ці рішення допоможуть їм вийти за рамки більш ізольованих підходів, які зазвичай пропонуються продуктами, що включають виявлення та класифікацію як одну з функцій, які часто обмежені рамками конкретних сховищ даних або джерел для виявлення та розрізнення за метою класифікації (ідентифікація та категоризація даних на відміну від маркування).

З питань організації індивідуальних демонстрацій партнерських тренінгів і пілотних проектів звертайтеся, будь ласка:

[email protected], +38 093 801 04 41. 

Джерело: https://cutt.ly/GD87eSe

Комментарии: