Datto. Οι καλύτερες συμβουλές για κανονιστική συμμόρφωση

Γνωρίζατε ότι τα ανθρώπινα λάθη ευθύνονται για το 95% του συνόλου των παραβιάσεων κυβερνοασφαλείας;

Οι κυβερνοεπιθέσεις μπορούν να επηρεάσουν οποιαδήποτε εταιρεία, ανεξαρτήτως μεγέθους. Για να εξαπολύσουν αυτές τις επιθέσεις και να αποκτήσουν πρόσβαση στα συστήματα υπολογιστών ενός οργανισμού, οι hackers χρησιμοποιούν όλο και πιο περίπλοκες μεθόδους. Ανάλογα με την τοποθεσία σας, μπορεί να σας ζητηθεί να ακολουθήσετε συγκεκριμένους κανονισμούς κυβερνοασφάλειας για να αποδείξετε ότι προστατεύονται τα βασικά περιουσιακά σας στοιχεία.

Αν δεν το κάνετε, ενδέχεται να αντιμετωπίσετε υψηλά πρόστιμα και να μπείτε σε νομικές περιπέτειες αν τα δεδομένα σας εκτεθούν ως αποτέλεσμα κάποιας παραβίασης των συστημάτων σας. Ως αποτέλεσμα, υπάρχει μεγάλη πίεση για συμμόρφωση με όλους αυτούς τους αυστηρούς νόμους και τους κανονισμούς που υπάρχουν για την ασφάλεια στον κυβερνοχώρο.

Τι σημαίνει συμμόρφωση με το κανονιστικό πλαίσιο που διέπει την κυβερνοασφάλεια;

Η συμμόρφωση με τους κανονισμούς για την κυβερνοασφάλεια συνεπάγεται την τήρηση πολλών μέτρων για τη διασφάλιση της προσβασιμότητας, του απορρήτου και της ακεραιότητας των δεδομένων.

Τα πρότυπα κυβερνοασφάλειας ποικίλλουν ανάλογα με την βιομηχανία και τον κλάδο, αλλά συχνά απαιτούν τη χρήση μιας ποικιλίας οργανωτικών διαδικασιών και τεχνολογιών για την προστασία των δεδομένων.

Τα CIS, NIST Cybersecurity Framework και ISO 27001 είναι μόνο μερικά από τα πλαίσια ασφαλείας και πηγές ελέγχων.

Σημαντικοί κυβερνητικοί κανονισμοί για την ασφάλεια στον κυβερνοχώρο

Για την ομαλή λειτουργία της, η επιχείρησή σας θα πρέπει να συμμορφώνεται με τη νομοθεσία και τα εκάστοτε κανονιστικά και ρυθμιστικά πλαίσια. Ορισμένοι σημαντικοί κανονισμοί συμμόρφωσης όσο αναφορά την κυβερνητική και τραπεζική ασφάλεια στον κυβερνοχώρο είναι οι:

HIPAA

Το HIPAA είναι το αρκτικόλεξο του νόμου περί φορητότητας και ευθύνης στην ασφάλιση υγείας. Η νομοθεσία που ψηφίστηκε το 1996 περιλαμβάνει περιορισμούς για τη διασφάλιση της προσβασιμότητας, του απορρήτου και της ακεραιότητας των Προσωπικών Πληροφοριών Υγείας (PHI).

Ο νόμος HIPAA περιλαμβάνει κανονισμούς για την κυβερνοασφάλεια στην υγειονομική περίθαλψη, οι οποίοι ισχύουν για τους παρόχους υγειονομικής περίθαλψης, τα προγράμματα υγείας καθώς και όσους διαχειρίζονται Προσωπικές Πληροφορίες Υγείας (PHI). Αν δεν είστε βέβαιοι ότι η νομοθεσία HIPAA ισχύει και για εσάς, συνιστούμε να μιλήσετε με έναν δικηγόρο με εμπειρία στη συμμόρφωση με τους κανονισμούς.

GDPR

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι ένα σύνολο πολιτικών που αφορούν το απόρρητο των προσωπικών δεδομένων που εισήγαγε η Ευρωπαϊκή Ένωση το 2018 με στόχο να συντονίσει όλους τους νόμους περί απορρήτου δεδομένων σε ολόκληρη την Ευρώπη.

Όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης, ο Ευρωπαϊκός Οικονομικός Χώρος (ΕΟΧ) και οι διαβιβάσεις προσωπικών δεδομένων πέραν της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Οικονομικού Χώρου καλύπτονται από τον GDPR. Αυτό σημαίνει ότι οι υποχρεώσεις GDPR ισχύουν για κάθε εταιρεία που συλλέγει δεδομένα ή στοχεύει στο κοινό στην Ευρωπαϊκή Ένωση ανεξάρτητα από την τοποθεσία της.

Ο κύριος στόχος του GDPR είναι να παρέχει σε κάθε άτομο περισσότερο έλεγχο πάνω στα δεδομένα του, ενώ ταυτόχρονα ενοποιεί τη νομοθεσία σε όλες τις χώρες της Ευρωπαϊκής Ένωσης για να διευκολύνει το ρυθμιστικό περιβάλλον για τις πολυεθνικές επιχειρήσεις. Ο GDPR καθορίζει το πλαίσιο για την προστασία των προσωπικών δεδομένων, την ελαχιστοποίηση των δεδομένων και την ασφάλεια.

FERPA

Ο νόμος για τα οικογενειακά εκπαιδευτικά δικαιώματα και το απόρρητο ή FERPA, είναι ένας ομοσπονδιακός νόμος που προστατεύει το απόρρητο των δεδομένων των μαθητών και φοιτητών που σπουδάζουν ή φοιτούν σε εκπαιδευτικά ιδρύματα. Όλα τα ιδρύματα που λαμβάνουν χρηματοδότηση από το Υπουργείο Παιδείας των ΗΠΑ υπόκεινται στη συγκεκριμένη νομοθεσία.

Η νομοθεσία FERPA παρέχει σε γονείς, μαθητές άνω των 18 ετών και σε σπουδαστές κολεγίων, φοιτητές πανεπιστημίων η εμπορικών σχολών συγκεκριμένα δικαιώματα και εγγυήσεις σχετικά με τα αρχεία που αφορούν την εκπαίδευση τους.

CCPA

Ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA) είναι ένας πολιτειακός νόμος που θεσπίστηκε για να ενισχύσει τα δικαιώματα απορρήτου και την προστασία των καταναλωτών των κατοίκων της πολιτείας της Καλιφόρνια. Με έναρξη ισχύος το 2020, ήταν ο πρώτος νόμος στις Ηνωμένες Πολιτείες που παρείχε ένα ολοκληρωμένο νομικό πλαίσιο περί του απορρήτου των δεδομένων, παρόμοιο με αυτό του GDPR στην Ευρωπαϊκή Ένωση.

Ο νόμος CCPA ισχύει για οποιαδήποτε εταιρεία με έδρα την Καλιφόρνια δηλώνει τουλάχιστον $25 εκατομμύρια σε ετήσια έσοδα, που αποκομίζει περισσότερο από το 50% των εσόδων της από τη συλλογή δεδομένων χρηστών ή συλλέγει δεδομένα από περισσότερους από 50.000 χρήστες. Επίσης περιλαμβάνει κάθε εταιρεία που συλλέγει ή πουλά προσωπικές πληροφορίες χρηστών ή πελατών στην Καλιφόρνια, ανεξάρτητα από την τοποθεσία.

Αν και αυτοί οι τέσσερις παραπάνω είναι μερικοί από τους πιο γνωστούς κανονισμούς, υπάρχουν πολλοί περισσότεροι, επομένως είναι πάντα σημαντικό να ελέγχετε τους τοπικούς κανονισμούς με έναν νομικό επαγγελματία.

4 συμβουλές για συμμόρφωση με το κανονιστικό πλαίσιο που διέπει την κυβερνοασφάλεια

Η συμμόρφωση με το κανονιστικό πλαίσιο που διέπει την κυβερνοασφάλεια αποτελεί βασικό μέρος οποιασδήποτε επιχείρησης. Για να συμβαδίσετε με τους σχετικούς νόμους και τους κανονισμούς που αφορούν την κυβερνοασφάλεια, και για να είστε σε συμμόρφωση, ακολουθούν ορισμένα βασικά βήματα.

1.Προσδιορίστε ποιες απαιτήσεις ενδέχεται να ισχύουν

Για να ξεκινήσετε να εργάζεστε για τη συμμόρφωση με το κανονιστικό πλαίσιο για την ασφάλεια στον κυβερνοχώρο, πρέπει πρώτα να καθορίσετε ποιους κανονισμούς ή νόμους πρέπει να ακολουθείτε. Αρχικά, υπάρχουν κανονισμοί ειδοποίησης για τις παραβιάσεις δεδομένων σε κάθε πολιτεία των Ηνωμένων Πολιτειών -και στην Ευρωπαϊκή Ένωση- οι οποίοι απαιτούν να ενημερώσετε τους πελάτες σας αν παραβιάστηκαν τα προσωπικά τους στοιχεία.

Για παράδειγμα, ανεξάρτητα από την πολιτεία που βρίσκεται η εταιρεία σας -ή χώρα για εμάς που βρισκόμαστε στην Ευρωπαϊκή Ένωση- αν η επιχείρηση ασχολείται με τις οικονομικές πληροφορίες ενός κατοίκου της Νέας Υόρκης υπόκεισθε στο σύνολο προτύπων του Κανονισμού Κυβερνοασφαλείας NYDFS.

Επιπλέον, ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια και ο κανονισμός κυβερνοασφάλειας του Υπουργείου Οικονομικών Υπηρεσιών της Νέας Υόρκης επιβάλλουν περιορισμούς που ενδέχεται να ισχύουν για την εταιρεία σας σε οποιαδήποτε πολιτεία και αν βρίσκεται η έδρα της, εφόσον ασχολείστε με δεδομένα που διέπονται από αυτούς τους νόμους.

2.Εφαρμογή πολιτικών, διαδικασιών και ελέγχων διεργασιών

Δεν είναι μόνο η τεχνολογία που παίζει ρόλο στη συμμόρφωση με τους κανονισμούς για την ασφάλεια στον κυβερνοχώρο. Είναι επίσης σημαντικό να εφαρμόζονται πολιτικές και διαδικασίες μετριασμού του κινδύνου τόσο για τη συμμόρφωση όσο και για την ασφάλεια.

Δεν υπάρχει καμία προφύλαξη στον κόσμο σε τεχνικό επίπεδο που μπορεί να απαγορεύσει σε έναν αφοσιωμένο και καλόπιστο υπάλληλο να κατεβάζει κακόβουλο λογισμικό σε συστήματα της εταιρείας ή να επισκέπτεται μη ασφαλείς ιστοσελίδες.

3.Διεξαγωγή αξιολογήσεων κινδύνου και ευπαθειών

Σχεδόν κάθε σημαντική υποχρέωση συμμόρφωσης με την κυβερνοασφάλεια απαιτεί διεξοδική ανάλυση κινδύνου και ευπαθειών. Τα παραπάνω είναι ζωτικής σημασίας για τον προσδιορισμό των πιο σοβαρών ζητημάτων ασφάλειας στον οργανισμό σας, καθώς και των ελέγχων που έχετε ήδη εφαρμόσει.

Όταν κάνετε αξιολογήσεις ευπάθειας, είναι επίσης σημαντικό να σκεφτείτε τον κίνδυνο επιθέσεων ransomware.

4.Αναθεώρηση και δοκιμές

Εξετάστε τυχόν ισχύοντες κανόνες κυβερνοασφάλειας που πρέπει να τηρούνται και φροντίστε να δοκιμάζετε τακτικά τους ελέγχους ασφαλείας σας. Είναι εύκολο να χάσετε την επαφή σας με τους νόμους και τους κανονισμούς για την κυβερνοασφάλεια καθώς η εταιρείας σας αναπτύσσεται και εξελίσσεται, ωστόσο οι τακτικές δοκιμές μπορούν να σας βοηθήσουν να παραμείνει στον σωστό δρόμο.

Είναι καλή ιδέα να παρακολουθείτε τη συμμόρφωση καθώς εμφανίζονται νέα πρότυπα και αλλάζουν τα υπάρχοντα καθώς και να δοκιμάζετε τακτικά τόσο τους τεχνολογικούς ελέγχους όσο και τους ελέγχους διεργασιών. Αν δεν είστε βέβαιοι ότι καλύπτετε μια απαίτηση συμμόρφωσης, συνίσταται να συμβουλευτείτε έναν δικηγόρο που ειδικεύεται σε ζητήματα συμμόρφωσης με την ασφάλεια στον κυβερνοχώρο.

Πως μπορεί να βοηθήσει ο Datto

Το είδος των δεδομένων που διαχειρίζεστε, ο κλάδος σας, ο ρυθμιστικός φορέας σας και τα γεωγραφικά όρια στα οποία επιχειρείτε επηρεάζουν τις ευθύνες σας όσον αφορά το κανονιστικό και ρυθμιστικό πλαίσιο.

Ωστόσο, θα πρέπει να μιλήσετε με έναν σύμβουλο συμμόρφωσης ή έναν δικηγόρο για να καθορίσετε τους κανονισμούς κυβερνοασφάλειας που ισχύουν για την εταιρεία σας συγκεκριμένα.

Επικοινωνήστε με την Datto ή την NSS αν εσείς ή η επιχείρησή σας χρειάζεστε βοήθεια για την αντιμετώπιση των υποχρεώσεων συμμόρφωσης με την κυβερνοασφάλεια. Θα χαρούμε να απαντήσουμε σε οποιαδήποτε απορία έχετε σχετικά με τις υπηρεσίες μας.

Πηγή: Datto