В сегодняшней быстро развивающейся глобальной нормативно-правовой среде новые технологии, среды и угрозы усиливают проблемы кибербезопасности и конфиденциальности данных. За последний год руководящие органы предприняли значительные шаги по принятию более строгих мер по соблюдению требований — и больше, чем когда-либо, они сосредоточили внимание на угрозах, связанных с личными данными.
Некоторые заметные изменения включают в себя:
- Национальный институт стандартов и технологий (NIST) опубликовал пересмотренную структуру кибербезопасности NIST, в которой особое внимание уделяется управлению рисками в цепочке поставок и рекомендациям по внедрению искусственного интеллекта.
- обновленный Европейский Союз Директива NIS2 вступила в силу, расширив ее действие на отрасли и введя более строгие наказания за несоблюдение.
- Правила защиты данных продолжают ужесточаться во всем мире. В США обновленный Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA) дает потребителям расширенные права на конфиденциальность данных и вводит новые правила для автоматизированных систем принятия решений. Тем временем такие страны, как Бразилия и Индия, приняли законы, в целом соответствующие Общему закону ЕС о защите данных (GDPR), чтобы обеспечить глобальную передачу и защиту данных.
- Поскольку внедрение облачных технологий продолжает расти, Федеральная программа управления рисками и авторизацией США (FedRAMP) и Агентство Европейского Союза по кибербезопасности (ENISA) ввели новые требования к сертификации для поставщиков облачных услуг (CSP) для обеспечения доступа к критически важным правительственным данным и системам.
Нулевое доверие является общей темой многих недавних изменений в законодательстве. Эта философия «никогда не доверяй, всегда проверяй» предполагает, что любая личность — пользователь, устройство, машина или приложение — может представлять угрозу и должна быть должным образом защищена.
Сегодня для любого удостоверения можно настроить тысячи разрешений на доступ к сервисам, данным и другим конфиденциальным ресурсам. Это означает, что любая личность может стать привилегированной и использоваться для проведения атак или кражи конфиденциальных данных — в любой момент времени. Рассмотрим, например, личность, которая была авторизована и доверена пять минут назад, но только что была скомпрометирована и ей больше нельзя доверять. Чтобы полностью реализовать нулевое доверие, организации должны иметь возможность динамически защищать идентификационные данные и управлять доступом к своим корпоративным ресурсам, оценивая потенциальные риски в режиме реального времени и встраивая контекст в механизмы аутентификации.
Для многих безопасность личных данных становится способом преодоления традиционных проблем, таких как жесткие политики доступа, статические разрешения и отсутствие обнаружения угроз в реальном времени, а также согласования своей политики безопасности с меняющимися требованиями соответствия. Инструменты защиты личных данных обеспечивают нулевые постоянные привилегии (ZSP), устраняя постоянный доступ и предоставляя временный доступ «точно в срок» (JIT) на основе принципа наименьших привилегий. Это сводит к минимуму поверхность атаки за счет динамического повышения и отзыва привилегий пользователя по мере необходимости. Благодаря безопасности идентификации организации могут преодолевать нормативную неопределенность и устранять риски, связанные с идентификацией, на протяжении непрерывного и динамичного пути обеспечения соответствия.
Наметить курс на соблюдение требований и аудит безопасности личных данных
Соблюдение требований касается не только того, как хранятся потребительские данные, но и того, как они собираются, обрабатываются и используются. Фактически, соблюдение требований уже не ограничивается только данными. Регулирующие органы, аудиторы и даже члены советов директоров уделяют особое внимание устойчивости, проверяя способность организаций предотвращать, противостоять кибератакам и сбоям в работе и восстанавливаться после них. Теперь соответствие требованиям и безопасность неразрывно связаны между собой, что подчеркивает необходимость в интегрированной стратегии и «компасе» безопасности личных данных, который поможет организациям наметить свой курс.
Усиление стратегического преимущества
Правда в том, что даже самые послушные организации подвергаются взломам. Опытные руководители служб безопасности осознают это и больше не рассматривают соблюдение требований как обязательное задание. Вместо этого они подходят к нормативным требованиям как к стратегическому способу обеспечения широкого контроля, снижающего риски, который, что наиболее важно, обеспечивает безопасность и развитие бизнеса и, следовательно, отвечает необходимым требованиям соответствия.
Отличным примером этого являются финансовые учреждения, на которые распространяется Закон Сарбейнса-Оксли (SOX). Да, они обязаны иметь эффективный внутренний контроль над финансовой отчетностью, но они также считают, что средства контроля, ориентированные на идентификацию, такие как управление привилегированным доступом (PAM), имеют решающее значение для укрепления доверия клиентов. Обеспечивая доступ к привилегированным учетным записям только уполномоченным лицам и отслеживание и проверку любых изменений данных, финансовые учреждения могут эффективно продемонстрировать свою приверженность обеспечению целостности, защиты и надежности данных клиентов — основы, на которой строится доверие.
Ожидание регуляторных приливов
Сегодняшние регулирующие органы ожидают упреждающего управления рисками — это само собой разумеющееся. Однако настоящая проактивность означает выход за рамки базовых требований: знать, где существует риск, и иметь планы по его устранению.
Поскольку любая личность может стать привилегированной и использоваться для проведения атак или кражи конфиденциальных данных, проблема заключается в следующем: как нам обеспечить прозрачность и контроль, необходимые для того, чтобы гарантировать, что предоставленные разрешения и права не поставят под угрозу нашу организацию?
Безопасность идентификации дает организациям единое представление о том, кто к чему имеет доступ, с возможностями обнаружения, настройки, сертификации и отзыва доступа. Обладая полномочиями, организации могут обнаруживать и снижать риски. до они становятся реальной угрозой. Например, поставщики медицинских услуг, которые сталкиваются с проблемами в управлении резким ростом цифровых удостоверений и привилегий доступа в своих разнообразных взаимосвязанных системах, обращаются к управлению и администрированию идентификационных данных (IGA), чтобы упростить соблюдение HIPAA и других строгих отраслевых правил, демонстрируя при этом лидерство в области данных о пациентах. защита.
Поскольку бизнес ускоряется, а требования к аудиту меняются, организациям также необходимо постоянно отслеживать прогресс в выполнении нормативных требований и наличие пробелов. Они должны иметь возможность показать аудиторам и Совету директоров, какие данные (и связанные с ними идентификационные данные) находятся под контролем, а какие данные (и связанные с ними идентификационные данные) еще необходимо изучить и поставить под контроль. Безопасность личных данных позволяет организациям постоянно оценивать свои средства контроля, расставлять приоритеты в усилиях по снижению рисков в конкретных областях и лучше прогнозировать, на чем аудиторы могут сосредоточить внимание в следующий раз.
Укрепление доверия в открытом море цифровых взаимодействий
Доверие имеет первостепенное значение в цифровой экономике. Один-единственный инцидент может нанести ущерб репутации и отношениям компании, о чем свидетельствуют недавние громкие нарушения. Более того, разрушительные штрафы со стороны регулирующих органов и судебные разбирательства могут стать огромным препятствием для будущего роста и преобразований.
Безопасность личных данных может помочь компаниям построить и укрепить доверие, обеспечивая прозрачность и подотчетность, демонстрируя при этом ответственное управление данными в соответствии с GDPR и другими основными нормативными требованиями.
Навигация в будущее соответствия требованиям безопасности идентификации
Плавное плавание на автопилоте: Многие компании исторически испытывали трудности с управлением правами и соблюдением правил конфиденциальности данных и кибербезопасности. Несмотря на растущую распространенность интеллектуальной автоматизации, многие по-прежнему полагаются на разрозненные ручные процессы для подключения и отключения пользователей и контроля за их развивающимися правами доступа. Эти методы в лучшем случае неэффективны, а в худшем — подвержены ошибкам, затрудняя видимость и контроль, снижая гибкость ИТ-услуг и повышая риски. Решения по обеспечению безопасности личных данных могут помочь оптимизировать и автоматизировать трудоемкие и подверженные ошибкам административные процессы, гарантируя, что все права доступа будут правильно назначены и постоянно сертифицированы. Эти инструменты также могут играть роль «второго пилота», автоматизируя принятие решений на основе контекстных данных о пользователях. А когда дело доходит до процесса отчетности, которого часто боятся, они предоставляют углубленную аналитику и журналы аудита, которые помогают командам легко выявлять потенциальные проблемы с соблюдением требований и оптимизировать отчеты.
Адаптация к изменяющимся условиям с помощью динамического управления: Нормативно-правовая база во многом похожа на океан: он постоянно движется и меняется и иногда застает путешественников врасплох. Вот почему статические меры безопасности, как правило, терпят неудачу под давлением, и организации все чаще ищут динамические средства управления безопасностью удостоверений — например, для аутентификации, которая может корректировать требования в зависимости от конкретной ситуации и адаптироваться к угрозам в режиме реального времени.
Будьте бдительны в открытом море: Непрерывный путь соблюдения требований требует бесконечной бдительности (читай: постоянного мониторинга и аттестации). Ограничение объема того, что необходимо смотреть, значительно облегчает эту задачу. Решения по обеспечению безопасности личных данных помогают применять принципы наименьших привилегий в современных сильно распределенных гибридных ИТ-средах. Удаление ненужных привилегированных учетных записей и доступа с высоким уровнем риска, а также жесткий контроль над тем, что пользователи могут делать в каждом конкретном сеансе, могут значительно сократить поверхность атаки и связанное с ней бремя соблюдения требований. Благодаря четкому и консолидированному представлению организации могут раньше выявлять проблемы, уверенно демонстрировать соответствие требованиям и получать ценную информацию для принятия стратегических бизнес-решений.
На пути к лидерству в области обеспечения соответствия требованиям безопасности идентификации: В сегодняшней нормативной среде единственной константой являются изменения. Организации, которые готовы плыть по мутным и неопределенным водам и вооружены надежной картой путешествия, не просто выживут, но и процветут. Принимая безопасность идентификационных данных как часть подхода к доступу с полным нулевым доверием, организации могут комплексно обеспечивать соблюдение требований, одновременно укрепляя свою безопасность и получая конкурентное преимущество.
Для получения дополнительной информации о том, как снизить риск с помощью безопасности личных данных, посетите серию вебинаров «Доверие без доверия», которая теперь доступна по запросу.
