Regelgevende inkomsten? 10 manieren om naleving om te zetten in een concurrentievoordeel 

De Digital Operational Resilience Act (DORA) van de Europese Unie wordt in januari van kracht. Laten we ook niet vergeten HIPAA, AVG, CCPA en de Telco (Services) Act – die bedrijven ook vragen om de manier waarop ze hun data beschermen te veranderen en hoge boetes krijgen voor het overtreden van de regels. 

Dan is er het National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF). NIST heeft eerder dit jaar een bijgewerkte versie uitgebracht – de eerste grote update van het CSF sinds 2014.

Deze voorschriften en frameworks zijn bedoeld om alles veiliger te maken voor iedereen – bedrijven en klanten – door betere datamonitoring en meer veiligheidsmaatregelen rond zaken als dataprotectie en dataprivacy. Maar waar veel bedrijven fout gaan, is dat ze deze nieuwe regelgeving en frameworks zien als lasten of hindernissen in tegenstelling tot kansen en lanceringsblokken. 

“Als we iets moeten doen, laten we het nuttig maken”, zei Rob Glanzman, Global Strategic Alliances Principal Architect, Financial Services, Pure Storage, in een recent webinar: “Naleving als katalysator: Regelgevende uitdagingen omzetten in kansen.” 

Er is veel te zeggen over het omzetten van compliance in een concurrentievoordeel. Regelgeving zoals DORA, AVG en HIPAA zijn levende, ademende documenten die evolueren om de cybergevaren van die tijd weer te geven. Als zodanig zijn ze net als de poortwachters voor cyber- en dataveerkracht, waardoor alleen de meest veerkrachtige bedrijven in het cyberveerkrachtgebied worden gelaten om te overleven en te gedijen. 

Lees verder om te leren wat het betekent om naleving de beste vriend van uw bedrijf te maken door het om te zetten in veerkracht en inkomstenbescherming.  

De kosten van niet-naleving

De eerste dingen eerst: Naleving garandeert geen veiligheid. Zoals elke CISO u zal vertellen, maken cybercriminelen zich geen zorgen over bedrijven die een manier vinden om compliant te zijn. Wat veel cybercriminelen zich echter niet bewust zijn, is hoe veel beter en gemakkelijker dingen voor hen zouden zijn als bedrijven helemaal niets om naleving zouden geven en als zaken als DORA en NIST CSF 2.0 niet bestonden. 

CSF 2.0 omvat bijvoorbeeld verschillende belangrijke toevoegingen aan de eerste iteratie, waarbij organisatorische kwesties, risicobeheer en beleid worden aangepakt; richtlijnen om bedrijven te helpen hun nalevingsniveau te meten; aanvullende mappings en verwijzingen naar andere cyberbeveiligingsnormen; en een nieuw pakket met richtlijnen om te helpen bij de implementatie. Het gaat ook verder dan kritieke infrastructuur om veilige toeleveringsketens te bevorderen. 

Bedrijven die hieraan voldoen, winnen niet alleen aan de beveiligingskant, maar ook aan de inkomstenkant. Uit een onderzoek van McKinsey onder meer dan 1.300 bedrijfsleiders en 3.000 consumenten wereldwijd bleek:

• 40% van alle respondenten werkte niet langer met een bedrijf na een datalek.
• 52% van alle zakelijke respondenten stopte met werken met een bedrijf na een datalek.
• 10% van de respondenten stopte met werken bij een bedrijf dat in de afgelopen 12 maanden een datalek heeft meegemaakt.

De kosten van niet-naleving?

Verloren veiligheid, verloren inkomsten, verloren reputatie en verloren klanten. 

Hoe u responsklaar kunt zijn

Nu we hebben vastgesteld dat het niet naleven geen optie is, moeten we kijken naar de veranderingen die u nu kunt doorvoeren om naleving niet alleen uw topprioriteit te maken, maar ook de beste vriend van uw bedrijf, ongeacht de grootte of de verticale positie. 

1. Data Clean Rooms

We horen steeds meer over “data clean rooms“. Een data clean room is een veilige en gecontroleerde omgeving waarin meerdere partijen datasets kunnen delen en analyseren zonder direct gevoelige of persoonlijk identificeerbare informatie (PII) bloot te leggen of te delen. Het stelt organisaties (zoals adverteerders, uitgevers of merken) in staat om samen te werken en inzichten te verkrijgen uit gecombineerde datasets, met behoud van strikte privacy- en beveiligingscontroles. Cleanrooms helpen organisaties te voldoen aan wetgeving inzake gegevensbescherming zoals AVG of CCPA, omdat de gegevens worden verwerkt op een manier die de blootstelling van persoonsgegevens beperkt.

2. Dataminimalisatie

Het minimaliseren van de data vermindert het risico van de organisatie in het geval van een inbreuk en sluit aan bij het “dataminimalisatie”-principe van de AVG. Verzamel alleen de gegevens die nodig zijn voor een specifiek doel en anonimiseer of pseudonimiseer persoonsgegevens om de blootstelling te verminderen. 

3. Rechtenbeheer van betrokkenen

De AVG vereist dat personen de mogelijkheid hebben om deze rechten uit te oefenen en dat ze bereid zijn om snel te reageren, toont naleving aan. Een proces ontwikkelen om verzoeken van betrokkenen te beheren, zoals toegang, rectificatie, verwijdering en overdraagbaarheid van persoonsgegevens.

4. Regelmatige data-audits en administratie

Regelgeving zoals de AVG verplicht tot duidelijke dossiers over waar en hoe persoonsgegevens worden verwerkt, terwijl de CSF 2.0-richtlijn de nadruk legt op het registreren en rapporteren van beveiligingsincidenten. Implementeer een tool voor data-inventarisatie of -mapping om een realtime overzicht te houden van alle datastromen binnen de organisatie. Voer regelmatig interne audits uit van dataverwerkingsactiviteiten en houd gedetailleerde dossiers bij.

5. Data Encryption en Multi-factor Authentication (MFA)

De toename van de regelgeving inzake databescherming en naleving die door verschillende industrieën, landen en regio’s wordt vereist, vereist dat bedrijven een hoog niveau van ingebouwde beveiligings- en encryptiemogelijkheden hebben. Versleutel gevoelige data zowel tijdens het transport als in rust, en dwing een sterk toegangscontrolebeleid af, inclusief MFA. Ontdek hoe FlashArray™ organisaties helpt dit hoge niveau van ingebouwde beveiliging en encryptie te bereiken zonder het ingewikkelder te maken. Lees meer over waarom encryptie de sleutel is tot kostenefficiënte DORA-naleving. 

6. Plannen voor incidentrespons en melding van inbreuken

“Ik denk dat steeds meer bedrijven zich terdege bewust worden van hoeveel systemen ze hebben, hoeveel van die systemen van cruciaal belang zijn en in sommige gevallen de verschrikkelijke realiteit van hoeveel of hoe weinig toegang ze hebben tot die systemen wanneer er catastrofaal iets misgaat”, zei Michael Russo, Senior Director Global Strategic Alliances, Financial Services, Pure Storage, in het webinar “Compliance as a Catalyst”. 

De AVG vereist (en NIST CSF 2.0 beveelt aan) dat meldingen van inbreuken binnen strikte tijdlijnen worden gedaan (bijv. 72 uur onder de AVG), en DORA richt zich op operationele veerkracht bij incidenten. Het is van cruciaal belang dat u klaar bent om snel te reageren en schade te beperken. Implementeer een duidelijk incident response plan (IRP) dat gedetailleerde tijdlijnen en procedures voor het melden van inbreuken bevat.

7. Een Data Protection Officer (DPO) aanstellen

Benoem een DPO of creëer een cross-functioneel datagovernanceteam dat verantwoordelijk is voor het toezicht op de naleving van de wetgeving inzake databescherming. Een DPO fungeert als aanspreekpunt voor regelgevers en zorgt ervoor dat het databeleid van de organisatie in overeenstemming is met de wettelijke vereisten. Het team zorgt er ook voor dat de data op de juiste manier tussen de afdelingen wordt verwerkt.

8. Training en bewustzijn van medewerkers 

Menselijke fouten zijn een van de belangrijkste oorzaken van datalekken. Regelmatige training helpt werknemers zich bewust te blijven van phishing-bedreigingen, wachtwoordhygiëne en het belang van het naleven van de wetgeving inzake gegevensprivacy.

9. Data Lifecycle Management

AVG en andere voorschriften vereisen dat organisaties alleen gegevens bewaren zolang als nodig is voor de doeleinden waarvoor ze zijn verzameld. De juiste verwijderingsprocedures minimaliseren het risico. Stel procedures op voor het beheer van data gedurende de gehele levenscyclus, inclusief beleid voor veilige verwijdering voor data die niet langer nodig zijn.

10. Samenwerking tussen teams

Communicatie tussen afdelingen is de sleutel tot het beveiligen van data in de hele organisatie. Data komen overal vandaan en de CISO moet alles weten wat er gebeurt. Dit kan alleen met samenwerking. Lees meer over hoe u een cyberbestendige toekomst kunt opbouwen met samenwerking tussen teams. 

Pure Storage en het voordeel van cyberveerkracht

Pure Storage richt zich erop ondernemingen niet alleen compliant, maar ook cyberbestendig te maken door hen in staat te stellen snel te herstellen van tegenslagen en schade door cyberaanvallen te minimaliseren of te elimineren. 

“Als we ons beschermen tegen zaken als stroomuitval en orkanen, is dat één ding. Maar het is niet meer zo eenvoudig,” zei Glanzman. “Omdat we nu teruggaan naar een punt in de tijd dat er mogelijk delen van die kritieke keten zijn die zijn getroffen en anderen die dat niet hebben gedaan, en het is een wachtend spel om uit te zoeken wanneer ze naar voren moeten worden gebracht en wanneer ze door het kantoor van een CISO of een regelgevende instantie als schoon worden aangewezen.”

Meer informatie over het beschermen van uw data. Ontvang de “Definitieve gids voor dataprotectie“.