概要
Not complying with regulations like DORA, GDPR, and HIPAA isn’t an option, but compliance doesn’t have to be an obstacle either. By making compliance a top priority and your business’s best friend, you can turn it into a competitive advantage.
歐盟數位營運彈性法案 (DORA) 將於今年 1 月生效。此外,別忘了 HIPAA、GDPR、CCPA 和電信(服務)法,這些都要求公司改變保護資料的方式,並因違反規則而被處以鉅額罰款。
還有美國國家標準技術研究所 (National Institute of Standards and Technology, NIST) 網路安全架構 (Cybersecurity Framework, CSF)。NIST 於今年稍早發布更新版本,這是 CSF 自 2014 年以來首次重大更新。
這些法規和框架旨在透過更好的資料監控和資料保護和資料隱私等方面的更多保障,讓所有公司和客戶都更安全。但許多公司都出了錯,就是把這些新法規和架構視為負擔或障礙,而不是機會和啟動墊子。
Pure Storage 全球策略聯盟首席架構師 Rob Glanzman 在近期的網路研討會中表示:「如果我們必須做某件事,就讓我們把它發揮得淋漓盡致吧!」 「作為催化劑的合規性:將監管挑戰轉化為機會。”
要將法規遵循轉化為競爭優勢,有許多事情要說。DORA、GDPR 和 HIPAA 等法規都活生生生,不斷進化的呼吸文件,以反映當時的網路危險。因此,它們就像網路和資料韌性的守門員一樣,有助於確保只有最有韌性的公司才能進入網路韌性領域,以生存和茁壯成長。
請繼續閱讀,了解讓公司成為最佳良伴的法規遵循代表什麼意義,使其變成彈性與收入保障。
不合規的成本
首先:法規遵循並不保證安全性。任何資安長都會告訴您,網路罪犯都不必擔心公司會找到合規的方法。然而,許多網路罪犯不知道的是,如果公司根本不在乎合規性,以及如果 DORA 和 NIST CSF 2.0 等事情不存在,他們會多麼更好、多容易。
舉例來說,CSF 2.0 包括首次迭代的幾項主要新增項目、解決組織問題、風險管理和政策;協助公司衡量其合規性程度的指南;其他網路安全標準的地圖和參考資料;以及協助實施的新指南。它也超越了關鍵基礎架構,以促進安全的供應鏈。
遵守規定的公司不僅在安全方面獲勝,而且在營收方面也獲勝。McKinsey 對全球 1,300 多名企業領導者和 3,000 名消費者的調查發現:
- 40% 的受訪者在資料外洩後不再與公司合作。
- 52% 的企業受訪者在資料外洩後停止與公司合作。
- 10% 的受訪者在前 12 個月內停止與一家發生資料外洩的公司合作。
不合規的成本?
失去安全性、收入損失、聲譽損失,以及客戶流失。
如何做好回應準備
現在我們已經確定不遵守不是一個選項,我們需要看看您現在可以開始做出的改變,不僅要讓您成為企業的首要任務,還要讓您企業的最佳朋友,無論其規模或垂直。
1. 資料清理室
我們聽到越來越多“資料無塵室”的討論。資料無塵室是安全且受控的環境,多方可以在不直接暴露或分享敏感或個人識別資訊 (PII) 的情況下分享和分析資料集。它讓組織(如廣告商、出版商或品牌)能夠協作,並從合併的資料集中獲得深度資訊,同時維持嚴格的隱私和安全控制。無塵室可協助組織遵守資料保護法律,如 GDPR 或 CCPA,因為處理資料的方式會限制個人資料的暴露。
2. 資料最小化
將資料最小化可降低組織在發生資料外洩時的風險,並符合 GDPR 的資料最小化原則。僅收集特定目的所需的資料,並將個人資料匿名化或假名化,以減少暴露。
3. 資料主體權利管理
GDPR 要求個人能夠行使這些權利,並準備迅速回應,以證明其符合法規。制定流程以管理資料當事人的要求,例如個人資料的存取、更正、刪除和可攜性。
4. 定期資料稽核與記錄保存
GDPR 等法規要求清楚記錄個人資料的處理地點和方式,而 CSF 2.0 指令則強調安全事件的記錄和報告。實施資料庫存或對應工具,以維護組織內所有資料流的即時概觀。定期對資料處理活動進行內部稽核,並維護詳細記錄。
5. 資料加密與多重要素驗證 (MFA)
各產業、國家與地區對資料保護與法規遵循法規的不斷增加,要求企業必須具備高度的內建安全性與加密能力。在傳輸中和靜態時加密敏感資料,並實施強大的存取控制政策,包括 MFA。了解 FlashArray 如何協助企業達成高水準的內建安全性與加密功能,同時又不會讓事情變得更加複雜。深入了解為何加密是符合成本效益 DORA 規範的關鍵。
6. 事件回應與入侵通知計劃
「我認為越來越多的公司正在急性地意識到,他們擁有多少系統、其中多少系統是關鍵,在某些情況下,當事情發生災難性錯誤時,他們能夠存取這些系統多少或多少是可怕的現實,」全球策略聯盟、金融服務、Pure Storage 資深總監 Michael Russo 在「作為 Catalyst 的合規性」網路研討會中表示。
GDPR 要求(且 NIST CSF 2.0 建議)在嚴格的時間內發出入侵通知(例如 GDPR 下為 72 小時),而 DORA 則專注於面對事件時的營運彈性。準備好快速回應並減輕損害是關鍵。實施明確的事件回應計劃 (IRP),其中包含詳細的入侵報告時間表和程序。
7. 指派資料保護專員 (DPO)
指派 DPO 或建立跨職能資料治理團隊,負責監督資料保護法律的合規性。DPO 作為監管機構的聯絡窗口,確保組織的資料政策符合法律要求。團隊也確保跨部門妥善處理資料。
8. 員工訓練與認知
人為錯誤是資料外洩的主要原因之一。定期訓練有助於員工了解網路釣魚的威脅、密碼衛生,以及遵守資料隱私法的重要性。
9. 資料生命週期管理
GDPR 和其他法規規定,組織只能在收集資料目的所需的時間內保留資料。適當的處置程序可將風險降至最低。建立管理資料整個生命週期的程序,包括不再需要的資料的安全刪除政策。
10. 團隊間協作
各部門之間的溝通是保護整個組織資料的關鍵。資料來自任何地方,而 CISO 需要知道所有情況。唯有協作才能做到這一點。閱讀更多關於如何透過團隊間協作建立網路彈性未來的資訊。
Pure Storage 與網路韌性優勢
Pure Storage 致力於讓企業不僅符合規範,還能透過網路彈性,使企業能夠從挫折中快速復原,並降低或消除網路攻擊造成的損害。
「如果我們要防範停電和颶風等問題,那就是一件事。但不再這麼簡單,”Glanzman 說。「因為現在我們又回到了一個時間點,那種關鍵鏈可能有些部分受到影響,而其他部分則沒有受到影響,這是等待的遊戲,需要找出何時該提出,以及何時被 CISO 或監管機構的辦公室指定為乾淨。」
深入了解如何保護您的資料。下載資料保護的“定義性指南”。
Protect Your Data
Learn more about technologies and techniques for data protection.
