چه کسی قبض را پرداخت می کند؟ | امنیت حرفه ای

نقض داده ها تقریباً اجتناب ناپذیر است – به این معنی که بسیار مهم است که شرکت ها و ارائه دهندگان خدمات مدیریت شده آنها (MSPs) متوجه شوند دقیقاً چه کسی مسئول است و چه کسی بار مالی را متحمل می شود. اما تحقیقات اخیر نشان می دهد که هم شرکت ها و هم MSP ها به طرز نگران کننده ای در مورد تعهدات قانونی و مالی خود نامشخص هستند. قراردادها مبهم هستند و خطرات دعواهای حقوقی شدید است. حقیقت این است که وقتی یک رخنه رخ می دهد و داده ها فاش می شوند، هیچ یک از طرفین برنده نمی شوند. سایمون پامپلین، مدیر ارشد فناوری، می‌گوید به جای انجام بازی سرزنش، شبکه های Certes، اولویت باید محافظت از داده ها باشد تا اطمینان حاصل شود که حتی زمانی که یک مهاجم نفوذ می کند، چیزی برای دیدن و چیزی برای به دست آوردن وجود ندارد.

بار مالی

امنیت سایبری در سال‌های اخیر به یک موضوع در سطح هیئت مدیره تبدیل شده است – به ویژه از زمان معرفی جریمه‌های تنبیهی و مسئولیت شخصی برای حفاظت از داده‌های حساس. با این حال تحقیقات اخیر انجام شده توسط Sapio Research به نمایندگی از Certes Networks تأیید می کند که بسیاری از کسب و کارها به سادگی مسئولیت را به یک ارائه دهنده خدمات فناوری اطلاعات (ITSP) یا ارائه دهنده خدمات مدیریت شده (MSP) واگذار می کنند – و انتظار دارند که ارائه دهنده هزینه مالی را جبران کند. نقض داده رخ می دهد.

شرکت‌هایی که از سازمان‌های شخص ثالث برای ارائه سیاست‌های امنیتی استفاده می‌کنند، انتظار دارند ITSPها 48 درصد از هزینه‌ها را در صورت نقض داده‌ها پوشش دهند. با کمال تعجب، 73 درصد از ITSP ها نیز خود را مسئول پرداخت جریمه و خسارت می دانند و معتقدند که باید 51 درصد از هزینه ها را بپردازند.

اینکه آیا می توان این انتظارات را در زمان وقوع تخلف برآورده کرد یا خیر، یک میدان مین قانونی باقی می ماند. مهمتر از آن، برای مدیران ارشدی که شخصاً مسئول رعایت امنیت و حفاظت اطلاعات هستند، آیا این انصراف از مسئولیت به شخص ثالث در برابر بررسی نظارتی است؟

برداشت نادرست

چگونه اتکا به MSP یا ITSP از رویکرد اعتماد صفر برای جداسازی مسئولیت خط مشی از مدیریت سیستم پشتیبانی می کند؟ هر وضعیت امنیتی باید از نقطه نظر تجاری تعریف شود تا منعکس کننده حساسیت مجموعه داده های خاص باشد. اما اگر مسئولیت بر عهده MSP گذاشته شود، کل وضعیت امنیتی هم توسط یک تیم امنیتی شبکه تعریف می شود و هم ارائه می شود. اگر رگولاتوری به این فقدان آشکار تفکیک وظایف سخت گیر کند، قراردادهای قراردادی بی معنی خواهند بود.

علاوه بر این، دیدگاه قانونی این است که مالک داده مسئول و مسئول هرگونه نقض داده است – بنابراین هر شرکتی که تصور نادرستی از این که MSP یا ITSP این صورت‌حساب را پرداخت می‌کند، احتمالاً با یک غافلگیری بسیار بد مواجه خواهد شد. این تصور نشان می‌دهد که شرکت‌های بسیار زیادی پیامدهای واقعی امنیت داده‌ها را در سطح مناسب در نظر نمی‌گیرند.

آیا افسران حفاظت از داده ها و انطباق، و همچنین مدیران ارشد، اکنون شخصاً مسئول حفاظت از داده های حساس شرکت، مشتری و شریک هستند که در این تصمیمات دخیل هستند؟ اگر چنین است، آیا آنها واقعاً معتقدند که درخواست از تیم امنیت شبکه برای انتصاب یک MSP برای ارائه یک WAN SD واقعاً یک رویکرد مناسب برای حفاظت از داده ها و انطباق است؟

پادمان ها

این ساده لوحانه است که از یک متخصص زیرساخت امنیت شبکه انتظار داشته باشیم که پیامدهای کامل از دست دادن مالی و اعتبار مرتبط با نقض داده را درک کند. در صلاحیت آنها نیست. آنها مسئول عملکرد زیرساخت هستند – نه ارزش یا اطمینان داده های شرکت.

شرکت ها باید مالکیت داده های خود را در دست بگیرند – و این بدان معناست که درخواست MSP یا ITSP سطح دیگری از حفاظت از داده ها را فراهم می کند. یک MSP که به جای تکیه بر زیرساخت شبکه، امنیت را در اطراف داده‌ها قرار می‌دهد، می‌تواند به رهبران کسب‌وکار این اطمینان را بدهد که داده‌ها محافظت شده و مطابقت دارند.

با اتخاذ لایه 4، رمزگذاری مبتنی بر خط مشی تضمین می کند که محموله داده در کل سفر خود محافظت می شود – و از آنجا که تنها داده های بار رمزگذاری شده است در حالی که داده های هدر در حالت شفاف باقی می مانند، به معنای حداقل اختلال در سرویس ها یا برنامه های شبکه است. با سیاست‌های رمزگذاری مبتنی بر حساسیت داده‌های شرکت، کسب‌وکار می‌تواند به جدایی واضح بین تنظیم خط‌مشی و مدیریت سیستم دست یابد. یک پیروزی برای افسران داده و تیم های امنیت شبکه.

نتیجه

این تحقیق یک مسئله بسیار نگران کننده را هم برای شرکت ها و هم برای ITSPs/MSP ها مطرح می کند. هرکسی که در نهایت این صورت حساب را بپردازد – و به احتمال زیاد یک پرونده دادگاه طولانی ممکن است رخ دهد – هیچ کس برنده نمی شود. هر گونه نقض داده نه تنها هزینه های مالی فوری بلکه پیامدهای تجاری بلندمدتی را به همراه خواهد داشت که می تواند برای هر دو طرف مخرب باشد.

پس چرا آن را به خطر می اندازد؟ اگر یک شرکت رویکرد متفاوتی داشته باشد و لایه حفاظتی اضافی از داده ها را بخواهد، دیگر مشکلی برای سرزنش یا هزینه وجود ندارد. این شرکت دیگر برای حفاظت از داده های خود به شخص ثالث متکی نیست، بلکه مالکیت خود را بر عهده می گیرد. با رمزگذاری داده ها، به روشی که بر عملیات تجاری تأثیر نمی گذارد، در هر زیرساختی که MSP یا ITSP ارائه می دهد، محافظت می شود.