เมื่อการปฏิบัติตามข้อกำหนดทางไซเบอร์ไม่เพียงพอ

เมื่อการปฏิบัติตามข้อกำหนดทางไซเบอร์ไม่เพียงพอ

 “บริษัทของฉันมีมาตรฐานการปฏิบัติตามกฎระเบียบที่ทันสมัย” คุณกล่าว ยินดีด้วย! คุณสามารถหลีกเลี่ยงค่าปรับของรัฐบาลได้อย่างน้อยอีกหนึ่งปีแต่ถ้าคุณคิดว่าการปฏิบัติตามข้อกำหนดหมายความว่าข้อมูลของคุณปลอดภัย เพื่อนของฉันมีอีกสิ่งหนึ่งกำลังจะตามมากฎระเบียบของรัฐบาลเป็นความจริงของชีวิต และเราทุกคนรู้ว่าด้วยข้อเท็จจริงของชีวิต คุณมีทั้งข้อดีและข้อเสีย ดังนั้น 

ในขณะที่ธุรกิจที่เรียนรู้ที่จะทำงานร่วมกับหน่วยงานของรัฐสามารถช่วยตัวเอง

ให้รอดพ้นจากอาการปวดหัวทางกฎหมายได้ แต่ในด้านของการรักษาความปลอดภัยนั้น กฎระเบียบของรัฐบาลนั้นเป็นเกมที่ต่างออกไปอย่างสิ้นเชิง

Sol Cates หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Vormetric

Sol Cates หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Vormetric

การปฏิบัติตามยังคงเป็นมาตรฐานพื้นฐานสำหรับการปกป้องข้อมูลและไม่ควรสับสนกับการรักษาความปลอดภัย คิดว่าการปฏิบัติตามเป็นสะพาน เป็นสะพานที่ช่วยให้บริษัทของคุณข้ามน้ำและเข้าไปในปราสาทได้ แต่อะไรคือการปกป้องผู้บุกรุกจากการข้ามสะพานนั้นด้วย ถูกต้อง คุณต้องการยาม คูน้ำ เก้าหลาทั้งหมด

        ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม

เนื่องจากความเสี่ยงด้านความปลอดภัยทางไซเบอร์คุกคามทั้งองค์กรและสวัสดิภาพสาธารณะมากขึ้นเรื่อยๆ ผู้ร่างกฎหมายและหน่วยงานกำกับดูแลทั่วโลกจึงปรับปรุงข้อกำหนดการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลที่มีอยู่ ใช้กรอบกฎหมายใหม่ และกำหนดกฎระเบียบด้านความปลอดภัยข้อมูลใหม่เพื่อตอบสนองต่ออันตรายภายในและภายนอกที่เพิ่มขึ้น แต่ก็ต้องติดตามกันต่อไปว่าแนวทางปฏิบัติที่มีประสิทธิภาพในการปกป้องหน่วยงาน พลเมือง และข้อมูลของพวกเขาในองค์กรเป็นอย่างไร

การเพิ่มกฎระเบียบไม่ใช่คำตอบ ต่อไปนี้คือตัวอย่างบางส่วนของคำสั่ง

ที่ต้องใช้ทรัพยากรจำนวนมาก:NIST SP 800-53 และ NIST 800-111—แม้ว่าจะมีผลบังคับใช้ หลักเกณฑ์เหล่านี้ต้องใช้ทรัพยากรจำนวนมากในการวัดผล ที่แย่กว่านั้น การวางการควบคุมจะปล่อยให้องค์กรปล่อยให้มีข้อผิดพลาด

HIPAA HITECH —คำสั่งที่ใช้ทรัพยากรมากนี้ทำให้มีที่ว่างสำหรับการตีความ แนวทางที่ท้าทายยิ่งกว่านั้นอ้างอิงจาก NIST คุณจะรู้ว่าสิ่งที่หมายถึง? เพื่อให้เข้าใจ HIPAA คุณต้องเข้าใจ NIST

แม้ว่ากฎข้อบังคับส่วนใหญ่จะมีเจตนาดี แต่ก็ไม่ได้เป็นจริงเสมอไปจากมุมมองทางเทคโนโลยี กฎระเบียบไม่เพียงแต่สร้างโซลูชันขนาดเดียวที่เหมาะกับทุกระบบสำหรับองค์กรที่มีความซับซ้อนมากขึ้นเรื่อยๆ เท่านั้น ข้อบังคับเหล่านี้ยังต้องการทรัพยากรระดับใหม่ทั้งหมดด้วย

มันเป็นปัญหาจริงๆ การมีพนักงานเต็มรูปแบบที่อุทิศตนเพื่อรักษามาตรฐานการปฏิบัติตามข้อกำหนดทำให้องค์กรมีความรู้สึกผิดๆ เกี่ยวกับความปลอดภัย ดังที่ได้กล่าวมาแล้ว การคลิกช่องทำเครื่องหมายการปฏิบัติตามข้อกำหนดไม่ได้หมายความว่าบริษัทจะปลอดภัย นี่คือตัวอย่างบางส่วนที่จะพิสูจน์ว่า:

บริษัท A มีการละเมิดข้อมูลและเป็นไปตามเวอร์ชัน 1 และ HIPAA แม้ว่าจะมีเฟรมเวิร์กจำนวนมากที่เกี่ยวข้อง HIPAA และเวอร์ชัน 1 ไม่ได้หยุดการละเมิดไม่ให้เกิดขึ้นหรือให้ความปลอดภัยที่จำเป็น การก้าวไปอีกขั้นจะสร้างองค์กรที่มีอำนาจในการเป็นเจ้าของความปลอดภัยและล้ำหน้ากว่าใคร

บริษัท B เพิ่งเสร็จสิ้นการเป็น PCI DSS (The Payment Card Industry Data Security Standard) ที่สอดคล้องกับกฎระเบียบ X พวกเขาเพิ่งปฏิบัติตามสำหรับการตรวจสอบ ดังนั้นในวันถัดไป พวกเขาจึงกลับไปดำเนินการและไม่ปฏิบัติตาม

บริษัท C พบช่องโหว่และกำลังพยายามแก้ไขปัญหานี้ การจัดการการเปลี่ยนแปลงนั้นไม่ถูกจับในการตรวจสอบของบริษัท

Credit : เว็บสล็อต / ยูฟ่าสล็อต เว็บตรง