Vállalati igazgatóságok: ne becsülje alá szerepüket az adatbiztonsági felügyeletben| mobilit.hu

Vállalati igazgatóságok: ne becsülje alá szerepüket az adatbiztonsági felügyeletben

A globális világjárvány közepette működő vállalkozások számára nincs olyan, hogy „üzlet a szokásos módon”. A távmunkában dolgozó amerikaiak aránya jelentősen megnőtt, és a jelentések szerint mára eléri az amerikai munkaerő 33%-át. Ezzel a szeizmikus eltolódással együtt megnövekedett az adatok biztonságát fenyegető veszély, az egyik elemzés szerint csak 2020 első felében több mint 36 milliárd online adat került nyilvánosságra. Azok a fogyasztók, akiknek életét érintette a személyazonosság-lopás, odafigyelnek arra, hogyan reagálnak a vállalatok. De vajon a tipikus vállalati igazgatóság odafigyel az adatbiztonságra, amit megérdemel?

A fogyasztókat terhelő jelentős költségek mellett az adatszivárgások, a hálózati behatolások és az újonnan megjelenő kiberfenyegetések jelentős pénzügyi költségeket, hírnevet érintő ütéseket és jogi felelősséget vethetnek fel a cég számára. Az FTC továbbra is kifogásolja a vállalatok adatbiztonsági gyakorlataikkal kapcsolatos állítólagos megtévesztő vagy tisztességtelen magatartását. Néhány újabb példa a SkyMed International, a Taplock és a Zoommal kötött megállapodások közé tartozik. Folyamatban van továbbá bizonyos, az iparágra vonatkozó adatvédelmi szabályok felülvizsgálata, beleértve az egészségügyi megsértésekre vonatkozó értesítési szabályt és a Gramm-Leach-Bliley biztonsági szabályt.

Ebben az összefüggésben elengedhetetlen, hogy a vállalati igazgatóságok mindent megtegyenek a fogyasztói és munkavállalói adatok biztonságának megőrzése érdekében. A jó hír az, hogy egy friss tanulmány szerint a megkérdezett igazgatók 60%-a azt mondta, hogy a következő évben tervezi javítani kiberbiztonsági felügyeleti szerepkörén. Hogyan nézne ki ez egy tipikus vállalatnál? Az FTC munkatársai öt józan ész ajánlást fogalmaznak meg a lelkiismeretes igazgatók számára.

Tegye prioritássá az adatbiztonságot.

A közhiedelemmel ellentétben az adatbiztonság nem az informatikai részlegnél, hanem az igazgatóságnál kezdődik. Az adatbiztonságot prioritásként kezelõ vállalati testület megadhatja az alaphangot az egész szervezetben a biztonsági kultúra kialakításával, szigorú biztonsági elvárások felállításával, valamint a belsõ silók lebontásával a technikai és stratégiai együttmûködés megkönnyítése érdekében. Bár nem létezik egy mindenkire érvényes képlet, íme néhány stratégia, amelyet egyes vállalatok bevezettek, hogy a biztonságot prioritássá tegyék.

• Alakítson ki egy csapatot az érdekelt felekből a szervezetéből. Annak ellenére, hogy egy 2018-as tanulmány szerint a vezérigazgatók 89%-a informatikai funkciónak tekinti a kiberbiztonságot, a tapasztalatok azt mutatják, hogy a kiberkockázat-kezelés az „egész üzlet” kérdése. Egy erős adatbiztonsági programba be kell vonni a vállalat üzleti, jogi és technológiai részlegeinek érdekelt feleit – magas szintű vezetőket és üzemeltetési szakértőket egyaránt. Természetesen sok bizottságban benne van a Chief Information Officer és Chief Information Security Officer, de más társaságok elősegítik a gyakorlati szinergiát azáltal, hogy olyan vezetőket is bevonnak, akik más szemszögből hozzák a kérdéseket – például a vezérigazgatót, a pénzügyi igazgatót vagy a főtanácsost. A hangok széles és változatos skálája átfogó információkat nyújthat a testület számára a kiberkockázatokról és -megoldásokról.
• Igazgatósági szintű felügyelet létrehozása. Egyes vállalati testületek kiberkockázat-felügyeleti feladataikat audit bizottságra ruházzák. Másoknál különálló kiberbiztonsági bizottság működik az igazgatósági szinten. Függetlenül attól, hogy egy szervezet hogyan strukturálja fel a kiberkockázat-felügyeleti feladatait, a kulcsfontosságú pont az, hogy a kiberkockázatnak prioritást kell élveznie az igazgatótanácsban. A testületi szintű felügyelet segít annak biztosításában, hogy a kiberbiztonsági fenyegetések, védelem és válaszok a felső szintű figyelmet kapják, és megkapják a munka megfelelő elvégzéséhez szükséges erőforrásokat.
• tartson rendszeres biztonsági eligazítást. Ha a biztonságról van szó, az igazgatótanács tagjainak tájékozottnak kell lenniük, de a kutatások azt mutatják, hogy sokan közülük nincsenek kapcsolatban a biztonsággal. Egy 2012-es felmérés szerint a vállalati igazgatóságok kevesebb mint 40%-a kap rendszeresen jelentést az adatvédelmi és biztonsági kockázatokról, 26%-a pedig ritkán vagy soha nem. Egy másik tanulmány szerint a testületek mindössze 12%-a kap gyakran tájékoztatást a számítógépes fenyegetésekről. A hat évvel később, 2018-ban az állami vállalatok körében végzett felmérés nem utalt nagy előrelépésre. Az igazgatótanácsi tagok mindössze 37%-a nyilatkozott úgy, hogy „bizakodott” vagy „nagyon magabiztos” abban, hogy cége megfelelően védett a kibertámadásokkal szemben. Természetesen a kiberbiztonság nem egyszeri javaslat. Ez egy dinamikus folyamat, amely megköveteli az igazgatósági tagok tájékoztatását, bevonását és frissítését. A rendszeres eligazítások felkészítik az igazgatóságot felügyeleti kötelezettségeik teljesítésére, eligazodnak a biztonsági környezetben, és rangsorolják a vállalatot fenyegető veszélyeket.

Ismerje meg a vállalata előtt álló kiberbiztonsági kockázatokat és kihívásokat.

Egy erős adatbiztonsági program felülről kezdődik. Bár nem biztos, hogy az igazgatóság feladata a napi biztonsági műveletek irányítása, az ő feladatuk a prioritások meghatározása és a szükséges erőforrások elkülönítése a hatékony biztonság érdekében. Az igazgatótanács tagjainak párbeszéd útján kell előrelépniük. Bizonyítaniuk kell a vállalatuk előtt álló adatbiztonsági kihívások kifinomult megértését, és úgy kell eljárniuk, hogy az egész szervezet számára megfelelő környezetet teremtsen.

Ne keverje össze a jogi megfelelést a biztonsággal.

2019-ben az FTC meghallgatássorozatot tartott a fogyasztóvédelemről és a 21. századi technológiáról. Gyakori téma volt, hogy a megfelelés nem feltétlenül jelent jó biztonságot. A kiberbiztonsági fenyegetések folyamatosan és gyorsan fejlődnek. Az erős adatbiztonsági program soha nem korlátozódhat a megfelelőségi kötelezettségek és követelmények teljesítésére szolgáló „jelölje be a négyzetet” megközelítésre. Ehelyett az igazgatóságoknak gondoskodniuk kell arról, hogy biztonsági programjaik a vállalatuk egyedi igényeihez, prioritásaihoz, technológiájához és adataihoz igazodjanak. Az igazgatóságoknak nehéz kérdéseket kell feltenniük arról, hogy irányelveik és eljárásaik hatékonyan kezelik-e vállalatuk biztonsági kockázatait, és hogy a tényleges biztonsági gyakorlatok hatékonyan kezelik-e az őket fenyegető veszélyeket. Ez a korlátozás nélküli beszélgetés olyan alapvető kérdéseket tartalmazhat, mint például:

• Milyen típusú adatokat tárolunk és miért? És hol tartjuk?
• Megfelelőek-e irányelveink és eljárásaink adataink védelméhez?
• A tényleges biztonsági gyakorlatunk összhangban van irányelveinkkel és nyilvános nyilatkozatainkkal?
• Biztonsági befektetéseink és kiadásaink arányosak-e biztonsági kockázatainkkal és fenyegetéseinkkel?

Ez több, mint a megelőzés.

Egy erős adatbiztonsági program biztosítja, hogy a vállalat megfelelő óvintézkedéseket tegyen hálózata és a fogyasztók személyes adatainak védelme érdekében a behatolókkal szemben. Azonban egyetlen adatbiztonsági program sem tökéletes, és egyetlen program sem tudja garantálni, hogy egy vállalat védve lesz egy támadástól vagy adatszivárgástól. Ha mást nem is, a közelmúltbeli jogsértések bebizonyították egy erős adatbiztonsági program fontosságát És Robusztus incidensreagálási terv. A biztonsági incidensekre való reagálás során gyakran az idő a lényeg. Minden perc, amit az alkalmazottak a kulcsfontosságú vezetők megjelölésével töltenek, és figyelmüket a történtekre összpontosítják, elveszik az adatvesztés megelőzésének és a megfelelő válaszlépésnek a fontos feladataitól. Ezzel szemben egy hatékony biztonsági program biztosítja, hogy adott esetben a biztonsági incidens gyorsan a megfelelő szintre emelhető. Ezen túlmenően, ha szervezeti rugalmasságot épít be a biztonsági programba, segíthet a vállalatnak fenntartani a működését, miközben reagál egy biztonsági incidensre.

tanulni a hibákból.

Ha cégét adatszivárgás okozta szerencsétlenség, használja ki a lehetőséget, hogy tanuljon az incidensből, és javítsa programját. A vállalatok gyakran rendszeres független, harmadik féltől származó értékeléseket igényelnek, hogy megállapítsák azt a kiindulási pontot, amelyhez képest mérhető a jövőbeli előrehaladás, és – biztonsági incidens esetén – annak megállapítása érdekében, hogy miként történt a jogsértés. Természetesen ugyanolyan értékes (és lényegesen kevésbé fájdalmas) lehet más cégek hibáiból tanulni. Természetesen nincs hiány adatszivárgásból, és sok potenciálisan versenytársakat vagy más feleket von be hasonló üzleti területeken. Az igazgatóságoknak meg kell ragadniuk a lehetőséget, hogy megértsék az ágazatukkal kapcsolatos kiberbiztonsági kockázatokat, és tanuljanak saját vállalatuk hibáiból, valamint mások hibáiból.

Az FTC Business Center adatbiztonsági erőforrásokkal rendelkezik bármilyen méretű és bármely szektorban működő vállalat számára.

Megjelenési Dátum: 2021-04-28 14:29:21

Forráslink: www.ftc.gov