Recents in Beach

المرشحة الرئاسية السناتور إليزابيث وارين تريد أن تتحمل إكسيك مسؤولية جنائية عن انتهاكات البيانات - هل يجب أن تشعر بالقلق؟

المرشحة الرئاسية السناتور إليزابيث وارين تريد أن تتحمل إكسيك مسؤولية جنائية عن انتهاكات البيانات - هل يجب أن تشعر بالقلق؟


السناتور إليزابيث وارين ، ديمقراطية ماساتشوستس التي كانت منذ فترة طويلة نوبة خاسرة للمؤسسات المالية "الأكبر من أن تفشل" ، قد خرجت بتشريعات مقترحة من شأنها أن تعرض لأول مرة المديرين التنفيذيين للشركات للمسؤولية الجنائية عن انتهاكات البيانات الناتجة عن الإهمال الرقمي الممارسات الأمنية.

تجدر الإشارة إلى أن السناتور وارن هو مرشح معلن لمنصب الرئيس الأمريكي ، لذلك فمن المؤكد أنها ستقوم بعرض هذا الاقتراح على مسار الحملة الانتخابية من الآن وحتى العام المقبل. حتى لو لم تكن مرشحة الحزب الديمقراطي ، فهناك فرصة جيدة لمن يقوم بأفضل ما يمكن أن يلتقطه الحقل المزدحم.

كما هو مكتوب ، يهدد تشريع وارن بـ "الغرامات [وفقًا لهذا العنوان" ، والسجن لمدة تصل إلى عام واحد ، أو كليهما ، بسبب قيام "مسؤول تنفيذي في شركة مغطاة بالسماح أو الإخفاق في منع" خروقات البيانات كما هو محدد في نص الفاتورة.

إنه اقتراح موسع من المحتمل أن يواصل التنفيذيين في الليل. ويطرح السؤال التالي: هل تفعل ما يكفي للحد من تعرضك للتهديدات الرقمية وتحد من مسؤوليتك في أي إجراءات مدنية أو جنائية ناشئة عن انتهاكات البيانات التي تحدث على ساعتك؟

Photo: U.S. Senator Elizabeth Warren / Facebook

ماذا يمكنك أن تفعل لتقليل مسؤوليتك؟
لنكن واضحين: اقتراح السناتور وارن هو ذلك - اقتراح. في مجلس الشيوخ الذي يسيطر عليه الجمهوريون ، هناك احتمالات تعارض إقراره في أي وقت قريب.

من ناحية أخرى ، فإن الواقع السياسي يمكن أن يتغير بالفعل ، حتى في واشنطن التي تعاني من ما يبدو أنه مأزق حزبي دائم. لا يوجد سبب وجيه للمراهنة ضد شكل من أشكال اقتراح السناتور وارن بأن يصبح قانونًا عاجلاً أم آجلاً. في غضون ذلك ، لماذا لا تتخذ بعض الخطوات المنطقية لتقليل تعرضك للتهديدات الرقمية؟ إليك ما يمكنك فعله الآن ، بينما تنتظر أن تتصرف واشنطن (أو لا).

1. استثمر في بنية النسخ الاحتياطي السحابي من الدرجة الأولى

أول الأشياء أولاً: تحتاج إلى الاستثمار في نظام النسخ الاحتياطي السحابي من الدرجة الأولى والذي يوفر التكرار الكامل في حالة فقدان البيانات أو انقطاع الوصول.

تذكر أن خروقات البيانات التي تؤدي إلى سرقة المعلومات الحساسة لا تمثل التهديدات الرقمية الوحيدة التي تواجهها شركتك اليوم. يمكن أن تشل هجمات البرامج الضارة ، التي سنتعلم عنها أدناه ، قدرتك على العمل دون وجود حلول احتياطية شاملة في مكانها - حتى لو لم تقع بياناتك في أيدي أطراف ثالثة ضارة.


النسخ الاحتياطي مهم لمجموعة من الأسباب الأخرى أيضًا. قد تؤدي الكوارث الطبيعية وانقطاع التيار الكهربائي والحوادث الأمنية إلى مقاطعة الوصول إلى البيانات المهمة. لاستعارة عبارة أخرى من المجال السياسي: بدون خطة "ب" ، تكون قد تم نزع سلاحك من جانب واحد.

2. الممارسة الجيدة كلمة النظافة

توقف عما تفعله وقراءة هذا التمهيدي على إنشاء كلمة مرور قوية.

إنه عام 2019. لم يعد هناك ببساطة عذر لـ "password1" أو "[yourname]!" بعد الآن - إذا كانت حساباتك تسمح حتى بكلمات المرور الرديئة هذه.

  • ما الذي يجعل للنظافة كلمة المرور جيدة؟ موجز:
  • اختيار كلمة مرور قوية حسب ما ورد أعلاه
  • لا تعيد استخدام كلمات المرور مطلقًا ، بغض النظر عن مدى ظهور التطبيق
  • تغيير كلمات المرور بانتظام - مرة واحدة على الأقل كل شهر
  • باستخدام مدير كلمة المرور


هذه ليست أفضل ممارسات النظافة الخاصة بكلمة المرور ، ولكنها بداية جيدة. ماذا تنتظر؟

3. استخدم المصادقة الثنائية لجميع الحسابات الداخلية

المصادقة ثنائية العامل ، أو 2FA ، هي أبسط أنواع المصادقة متعددة العوامل. كما يوحي الاسم ، يتطلب 2FA عاملين متميزين للمصادقة ، غالبًا كلمة مرور بالإضافة إلى رمز مرور للاستخدام مرة واحدة يتم إنشاؤه عشوائيًا (عند تسجيل الدخول إلى البنك الذي تتعامل معه ، على سبيل المثال ، قد تتم مطالبتك بإدخال رمز المرور المرسل إلى هاتفك أو البريد الإلكتروني مباشرة بعد إدخال كلمة المرور الخاصة بك) أو سؤال الأمان.

يمكن لأي شخص سرقة كلمة المرور قبل أن تدرك أنها قد انتهت. يضمن 2FA أنه ، ما لم يسرق المهاجم أيضًا الجهاز الذي تتلقاه العامل الثاني أو يعرضه للخطر ، فإن كلمة المرور المذكورة ليست سوى جزء من معادلة الوصول.

4. الاعتماد على أذونات غير كلمة المرور للتطبيقات الحساسة

لقد اكتشفنا بالفعل أوجه القصور في كلمات المرور التقليدية. حتى 2FA ليست معصوم. بالنسبة للتطبيقات والوظائف الحساسة حقًا ، فإن طبقات الأمان الإضافية ليست ضرورية فقط - فقد تكون غير قابلة للتفاوض في واقع مستقبلي محتمل يُحمل فيه صناع القرار مسؤولية جنائية عن أفعال أو تقاعس عن الإهمال.

تزداد شعبية العوامل البيولوجية في البيئات الحساسة ، خاصة تلك التي تتطلب الوصول المادي. إذا كانت مؤسستك تضم خوادم في الموقع ، على سبيل المثال ، فستحتاج بالتأكيد إلى تركيبة رقمية أو بطاقة مفاتيح للوصول إليها ؛ لماذا لا تضيف طبقة إضافية من الحماية باستخدام البصمة أو مسح شبكية العين؟

5. توزيع البيانات الخاصة بك (بشكل آمن)

التحدث عن الخوادم: لا تعتمد على منشأة واحدة ، مهما كانت آمنة ، لتكون بمثابة العقدة الوحيدة لبصمتك الرقمية. ببساطة ، ليس من الحكمة تعريض نفسك للإمكانية الحقيقية للغاية للاضطراب الطويل.

بدلاً من ذلك ، قم بتوزيع بياناتك بأمان عبر مساحة واسعة موزعة جغرافيا. تعد حلول النسخ الاحتياطي السحابي واستعادة البيانات جزءًا من هذه البنية ، بالطبع. عندما يتم تخزين بياناتك بعيدًا عن المقر الرئيسي أو مركز البيانات الرئيسي ، فمن غير المرجح أن تكون أي أحداث سلبية تؤثر على هذا المرفق موجودة (في نفس الوقت على الأقل) عبر شبكتك الموزعة بالكامل.

6. طلب ​​معايير أمان موحدة عبر بصمة BYOD بالكامل

من شبه المؤكد أنك اعتنقت ثورة "إحضار أجهزتك الخاصة" (BYOD). كيف تشعر حيال هذا القرار؟

"العصبي" هو إجابة مقبولة هنا. في الواقع ، ستكون مقصورًا - وليس لتوضيح نقطة أكثر من اللازم ، ربما في إطار تعريف السناتور وارن بـ "الإهمال" - ألا تؤيد الطرق الكثيرة التي يمكن أن تسمح بها BYOD لتطارد مؤسستك.

بدلاً من وضع ثقتك في القدر ، خذ الأمور في متناول يديك من خلال مجموعة شاملة من معايير الأمان الموحدة التي تحكم بصمة BYOD بأكملها. إذا كنت تريد الذهاب إلى أبعد من ذلك وتطلب من موظفيك شراء طرازات معينة من الأجهزة أو أنظمة التشغيل ، فذلك أمر متروك لك ؛ القيام بذلك من شأنه بالتأكيد تبسيط الموقف الأمني ​​الخاص بك.

7. استخدام الشبكات الخاصة الافتراضية لتشفير حركة المرور

يتمثل أحد المقاييس التي تتمتع بها ضمن حقوقك في طلب مستخدمي BYOD في الاستخدام المنتظم لشبكة خاصة افتراضية معتمدة من المؤسسة لتشفير حركة المرور. إن إضافة VPN هو حل فعال من حيث التكلفة لمجموعة من التهديدات ، بما في ذلك تجسس الشركات والهجمات الخبيثة التي تحدث في منتصف البرامج ؛ فقط تأكد من استخدام برنامج شرعي لا يعمل في حد ذاته كبرنامج رمادي. ولا تفترض أن VPN الخاص بك هو الحل الشافي ؛ البرامج الضارة التي تم تثبيتها مباشرة على نظامك لا يزال بإمكانها إحداث فساد ، مع أو بدون تشفير صادر.


8. استخدام أدوات الاتصال المشفرة للاتصالات فائقة الحساسية

لدى مؤسستك بالتأكيد خطط ملكية لا تريد حقًا الوقوع فيها في الأيدي الخاطئة - تنافسية أو غير ذلك. عندما يتواصل موظفوك عن هذه الأمور ، تأكد من قيامهم بذلك من خلال قنوات غير معرضة للتسوية. هذه القائمة من أفضل تطبيقات المراسلة المشفرة هي بداية جيدة. فقط تأكد من استكشاف نقاط الضعف والعيوب المحتملة التي قد لا تكون واضحة بسهولة من نسختهم التسويقية ، وكن مدركًا أن صانعي التطبيقات يخوضون معركة مستمرة مع أعداء متطورين يهدفون إلى كسر تشفيرهم.

9. الاحتفاظ بمحفوظات البيانات الآمنة بما يتجاوز ما هو مطلوب بموجب القانون

إحدى المدارس الفكرية حول نظافة البيانات تتحول إلى شيء من هذا القبيل: "كلما زاد حجم أرشيف البيانات ، زاد الخطر".

مغر كما يبدو ، هذا ليس ملخصًا دقيقًا للموقف. فوائد أرشيف بيانات شامل - يتجاوز بكثير ما يتطلبه القانون أو اللوائح - تفوق بكثير مخاطر الانتهاك. في الواقع ، قد يساعد أرشيف البيانات الخاص بك في التخفيف من تأثير الانتهاك الذي يؤدي إلى فقد البيانات أو تلفها.

الشيء المهم ، بطبيعة الحال ، هو التأكد من أن أرشيفات البيانات الآمنة الخاصة بك هي مجرد - آمنة - إلى الأبد. هذا هو المكان الذي يأتي فيه شريك استرداد البيانات من الدرجة الأولى.

10. لديك خطة شاملة لمواجهة الأزمات (بما في ذلك خطة العلاقات العامة)

من الأفضل افتراض أن مخاطرة مؤسستك بحدوث خرق خطير للبيانات هي مسألة إذا ، وليس متى. من الأفضل أن تكون مستعدًا للنتيجة الأكثر ترجيحًا - الاختراق في مرحلة ما - بدلاً من عبور أصابعك والأمل في ألا يأتي هذا اليوم أبدًا.

  • ضع نفسك وفقًا لذلك وقم بتطوير خطة شاملة للاستجابة للأزمات تتضمن:
  • فريق استجابة خرق داخلي مع أدوار محددة بوضوح
  • إجراءات التقييم السريع والشامل لمدى الانتهاك
  • إجراءات تقييم الاستيراد الاستراتيجي للانتهاك
  • بروتوكولات الإخطار لأصحاب المصلحة الداخليين والخارجيين المتأثرين بالانتهاك ، إن وجد
  • خطة اتصالات الأزمات التي تشمل الدعم الداخلي والخارجي


بمجرد استقرار الغبار ، سترغب في أن تتضمن خطة الاستجابة للأزمات أيضًا مكونًا استشرافيًا - أي خطة لتقليل احتمالية حدوث شيء مماثل مرة أخرى.

11. دائما مشاهدة المراقبين

إذا لم تكن معتادًا على Panopticon ، فقم بالفرشاة. إنه أفضل تشبيه ، على الرغم من أنه قد يبدو ، لجهاز أمان رقمي داخلي فعال بالفعل.

باختصار: يجب أن يعمل محترفو الأمان الرقمي داخل وخارج مؤسستك دائمًا على افتراض أنهم يخضعون للمراقبة أو التتبع. وهذا ينطبق على أدنى نخر إدخال البيانات و CISO الخاص بك على حد سواء. بالنسبة إلى المراقبة الرقمية ، على الأقل ، لا يوجد أحد في مؤسستك أعلى من القانون. بعد كل شيء ، فإن أضمن طريقة لمنع أصحاب المصلحة من التصرف بشكل مهمل هو ضمان عدم شعور أي منهم كما لو كان لديهم مجال للقيام بذلك.

12. اجعل بياناتك غير صالحة للاستعمال (أو يصعب استخدامها ، على الأقل)

تتناثر الأخبار الأخيرة بأمثلة على المنظمات المختصة التي تخزن بيانات حساسة للغاية في مرأى من الجميع - على سبيل المثال ، أرقام بطاقات الائتمان في ملفات غير مشفرة يمكن لأي مهاجم تنزيلها من نظام معرض للخطر ، إلى معلومات تعريف الناخبين المخزنة في جداول البيانات غير المحمية بكلمة مرور.

لا تضحك يمكن أن تكشف المراجعة الشاملة لأمن البيانات لمؤسستك عن نقاط ضعف محرجة قد تثبت أنها ، إذا تم استغلالها ، مدمرة لعملياتك وسمعتك. من الأفضل دعمها الآن - على سبيل المثال ، بفصل السجلات إلى أجزاء مكونة ليتم تخزينها بشكل منفصل - بدلاً من التعامل معها في وقت لاحق.

13. كن على استعداد لتحديد ما تم فقده ، إن وجد

أن يكون لديك نظام قابل للتحجيم لتحديد تأثير خرق البيانات أو التسوية الآن قبل وقوع الحادث. ستحتاج إلى هذه المعلومات ، على الأقل ، للامتثال لأية تحقيقات من جانب شركاء الأمن الرقمي الخارجيين و / أو سلطات إنفاذ القانون. إذا تعرضت سجلات العملاء أو الموظفين للخطر ، فستحتاج إلى الاستعداد لإبلاغ الأطراف المتأثرة أيضًا.

14. مساءلة جميع الموظفين عن نظافة البيانات

أفضل طريقة للقيام بذلك هي إنشاء مجموعة شاملة من إجراءات أمان البيانات ، وتحديثها بانتظام ، ومطالبة جميع الموظفين بالموافقة الإيجابية على متابعتها للخطاب (كما سبق للتعيينات الجديدة). تعتبر السلسلة جيدة مثل أضعف حلقاتها ، وغالبًا ما تتعرض الروابط للتآكل عندما لا تكون مسؤولة.

15. كن دائما الترقيع

أخيرًا وليس آخرًا: لا تتعرف على تصحيحات البرامج. يعمل تصحيح الثغرات المعروفة على إزالة الثمار المنخفضة لتتمكن المتسللين الانتهازيين من استغلالها. لن يمنعك ذلك من تهديدات أكثر تطوراً - كل طبقة من الحماية لها مكانها ، بعد كل شيء.
هل تفعل ما يكفي لحماية الأصول الرقمية الخاصة بك؟
من المحتمل تمامًا ، حتى على الأرجح ، أن اقتراح السناتور وارن القاضي بإحالة المسؤولين التنفيذيين في الشركات المهملين المسئولية عن خروقات البيانات التي تحدث على أيديهم لن يذهب إلى أي مكان في مجلس الشيوخ الأمريكي. يسيطر الجمهوريون الصديقون على هذه الغرفة حتى يناير من عام 2021 على الأقل ، ويعتاد أعضاءها على الجدل في المحكمة خلال سنوات الانتخابات الرئاسية - التي يقترب موعدها بسرعة.

حتى إذا كان الواقع السياسي يمنح المديرين التنفيذيين للشركات الأمريكية مهلة مؤقتة ، فمن العدل أن نراهن على أن اقتراح السناتور وارن لن يكون الكلمة الأخيرة في انتهاك البيانات.


إذا حصل وارن على الرئاسة العام المقبل - وبالتأكيد ليس خارج نطاق الاحتمالات ، على الرغم من المجال الديمقراطي الأساسي المزدحم والمزايا الهيكلية الهائلة التي يتمتع بها الرئيس ترامب باعتباره شاغل المنصب - إذن فإن ولاية ماساتشوستس التقدمية مطمئنة تمامًا إلى مطالبة مجلس الشيوخ لتقبل اقتراح المسؤولية الخاص بها عندما تجتمع ، ربما بأغلبية ديمقراطية ، في أوائل عام 2021. وكذلك قد يقوم أي من أكثر من عشرة ديمقراطيين يتنافسون على تولي ترامب في نوفمبر.

ثم مرة أخرى ، فإن التنبؤ بالرياح السياسية بهذا البعد أمر خاطئ. بدلاً من تجاوز سيناريوهات محددة - كيف يمكن أن تسير في ظل حكم الرئيس وارين ، مقارنة بالرئيس ساندرز أو بايدن أو Klobuchar - فإن المسؤولين التنفيذيين في الشركات المتقاربة التفكير يكونون على ما يرام للاستعداد لإمكانية حدوث تغييرات قانونية فدرالية قد تزيد من مسؤوليتهم عن البيانات الانتهاكات. بعد كل شيء ، رغم أننا لا نستطيع السيطرة على ما يفعله سياسيو واشنطن ، إلا أنه يمكننا ممارسة النفوذ على الأمور القريبة من الوطن.

على أي حال ، فإن تدعيم الموقف الأمني ​​للشركات ليس علم الصواريخ. أنت تعرف ما يجب القيام به (وحيث لست متأكدًا ، يرجى الرجوع إلى ما سبق). حان الوقت للتنفيذ.

إرسال تعليق

0 تعليقات