Loader

Ключевые соображения в постоянно меняющемся ландшафте конфиденциальности данных

Во всем мире появляются строгие правила конфиденциальности. Специалисты по безопасности, рискам и конфиденциальности все чаще считают, что обеспечение соответствия глобальным нормам конфиденциальности является одной из их главных задач.

В сочетании с ростом глобального распределенния рабочей силы и требованиями работать из дома, кибербезопасность каждой организации испытывает чрезвычайное давление.

Учитывая статистику, согласно которой средняя стоимость нарушения конфиденциальности данных выросла на 10% за пятилетний период и составила $3,86 млн в 2020 году, крайне важно, чтобы ваша организация понимала, что поставлено на карту, а затем поставила вопросы конфиденциальности данных и кибербезопасности на повестку дня совета директоров.

После нашего недавнего вебинара на тему «Постоянно меняющийся ландшафт конфиденциальности данных» приглашенный докладчик и главный аналитик компании Forrester Энца Ианнополло ответила на некоторые из актуальных вопросов, которые мы задавали, когда речь шла о создании фундамента вашей стратегии безопасности данных.

Учитывая всевозможные законодательные акты о соответствии, которые уже действуют или скоро будут введены в действие, детальное понимание их всех будет трудоемкой или даже невозможной задачей. Может ли понимание и соблюдение Общего регламента Европейского союза по защите данных (GDPR) послужить подходящим зонтичным решением?

GDPR стал поворотным событием в мире конфиденциальности. Некоторые из его ключевых требований, такие как, например, права частных лиц на неприкосновенность частной жизни или требования по уведомлению о нарушениях и подотчетности организаций, сформировали законопроекты о неприкосновенности частной жизни, которые были приняты после него, и те, которые обсуждаются сегодня.

Законодательство в Калифорнии, Вирджинии, Бразилии, Таиланде, Китае и т. д. — хорошие примеры этой тенденции. Конкретные требования имеют свои уникальные детали, но GDPR по-прежнему является ориентиром для организаций, которые должны соблюдать множество нормативных актов. И, например, если организация разработала передовые методы обнаружения и классификации данных и построила динамические потоки данных для соответствия GDPR, эти инициативы значительно облегчат задачу по выполнению требований соответствия другим текущим и предстоящим нормативным актам в области конфиденциальности.

Что, по вашему мнению, в наши дни наносит больший ущерб организации: риск штрафов за несоблюдение требований, репутационный риск или частные или коллективные иски?

Сложно сказать. Все это имеет очень серьезные последствия для организаций. В соответствии с GDPR, штрафы за несоблюдение требований могут достигать 4% от глобального дохода компании. До сих пор мы не видели, чтобы взимался такой крупный штраф, но это не значит, что этого не может произойти. Европейские регулирующие органы, в частности, обеспечивают соблюдение GDPR и на данный момент выписали более 700 штрафов и исполнительных производств на общую сумму более 300 миллионов евро.

И это без учета значительных инвестиций, которые компаниям приходится осуществлять, чтобы соответствовать требованиям регуляторов по обеспечению соблюдения законодательства или обязательным средствам правовой защиты. Это может быть, например, внедрение надежного программного обеспечения для управления идентификацией и доступом (IAM), или внедрение технологий и процессов для предотвращения утечки данных, или создание программ обучения и повышения осведомленности сотрудников. Частные и коллективные иски становятся все более распространенным средством обеспечения соблюдения нормативных требований не только в США, но и в Европе. И они могут быть дорогостоящими: в июне 2017 года крупнейшая американская страховая компания Anthem Inc. согласилась на урегулирование спора на сумму 115 миллионов долларов после того, как в результате взлома были скомпрометированы частные данные 80 миллионов клиентов. Совсем недавно British Airways урегулировала коллективный иск в Великобритании, касающийся сотен тысяч клиентов, пострадавших от утечки данных в 2018 году. Урегулирование на нераскрытую сумму произошло после утечки личных данных 420 000 клиентов и сотрудников, включая банковские реквизиты, контактную информацию и адреса. Однако больше всего компании беспокоит репутационный ущерб. И вполне обоснованно.

Репутационный ущерб обычно возникает помимо других затрат, таких как, например, штрафы, и его крайне сложно оценить количественно. Он может повлиять на все: от репутации компании и курса акций после утечки информации до желания деловых партнеров начать или продолжить сотрудничество с компанией, удержания сотрудников и лояльности клиентов. Негативные последствия могут проявляться и в течение длительного периода времени. Например, через шесть месяцев после взлома, затронувшего телекоммуникационную компанию TalkTalk, компания сообщила, что в результате взлома ее прибыль сократилась на 50%.

Какое сочетание технологий вы считаете оптимальным для обеспечения надежной защиты данных?

Когда речь идет о конфиденциальности и безопасности данных, есть два фактора, которые определяют, что требуется для создания надежного подхода к защите данных:

1. Каждая организация имеет определенный уровень зрелости, и это влияет на набор технологий, на которые организации следует обратить внимание.

2. Склонность к риску, которую имеет каждая организация в отношении конфиденциальности и безопасности данных.

Особенно важно хорошо понимать, где находятся данные и что именно требует их защиты. Использование технологий, которые могут помочь в решении этой задачи, таких как обнаружение и классификация данных, является хорошей отправной точкой. Установление и обеспечение соблюдения прав доступа имеет решающее значение, и это может быть достигнуто с помощью IAM. Также особенно важны средства контроля, позволяющие пользователям применять и отслеживать политики — например, шифрование и другие инструменты деидентификации, управление ключами предприятия и предотвращение потери данных (DLP). Наконец, технология, поддерживающая управление программой и надзор, особенно в отношении рисков, также имеет решающее значение.

Существует ли порядок, в котором мы должны внедрять инструменты DLP и классификации данных, или это не имеет значения?

Мы склонны обсуждать классификацию данных в первую очередь, а DLP — во вторую, но в действительности внедрение этих инструментов часто происходит одновременно. Я бы сказала, что важно начать классификацию раньше, чем внедрение DLP. Однако организациям не нужно ждать завершения внедрения классификации данных, прежде чем приступать к DLP. И они не должны этого делать. Результаты внедрения DLP помогают усовершенствовать классификацию данных, и в результате улучшения классификации DLP становится более эффективной.

В чем преимущество многоуровневой безопасности?

Специалисты по безопасности и конфиденциальности привыкают к управлению несколькими инструментами для обеспечения той степени защиты данных, которая требуется их организациям. На самом деле, даже если некоторые возможности, например, обнаружение и классификация данных, становятся все более доступными в качестве встроенных функций других решений, компании во всем мире продолжают инвестировать и внедрять отдельные решения. Наши исследования показывают, например, что компании продолжают инвестировать в шифрование электронной почты, облачных вычислений, баз данных и конечных точек; для решения ключевых задач безопасности и конфиденциальности компании также увеличивают инвестиции в DLP-инструменты, обнаружение и классификацию данных, управление правами и многое другое.

Эти компании видят преимущества многоуровневой безопасности. Те, кто все еще сомневается в ценности многоуровневой безопасности, должны понять, удовлетворяет ли то, что у них есть, их потребностям и сценариям использования, или им лучше использовать более многоуровневый подход. Возьмем для примера технологии обнаружения и классификации данных. Чтобы определить ценность наслоения этих решений поверх имеющихся, организация должна рассмотреть дополнительную автоматизацию и согласованность, уменьшение фрагментации и увеличение зависимости от менее подверженных ошибкам подходов, предоставляемых этими решениями.

Компании, которые ищут комплексный подход к обеспечению безопасности данных, должны также рассмотреть вопрос о том, как эти решения помогут им выйти за рамки более изолированных подходов, которые обычно предлагаются продуктами, включающими обнаружение и классификацию в качестве одной из функций, часто ограниченных рамками конкретных хранилищ данных или источников для обнаружения, и различающихся по цели классификации (идентификация и категоризация данных в отличие от маркировки).

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Boldon James и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина, Грузия, Армения info.ua@oberig-it.com, +38 093 801 04 41.
Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.
Узбекистан, Кыргызстан, Таджикистан, Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.
Молдова, Румынияinfo.md@oberig-it.com, +373 686 76535.
Азербайджанinfo.az@oberig-it.com, +994 50 6826105.

Источник: https://bit.ly/3rKavLC