O presidente Barack Obama propôs, em Janeiro a primeira norma federal para violações de dados, exigindo que as empresas de notificar os clientes de violações relacionadas com a privacidade no prazo de 30 dias após a descoberta. Outras normas e regulamentos existem (47 estados na última contagem tinha alguma forma de regulamentação, relativa ao incumprimento divulgação ), mas não há atualmente nenhum padrão federal para atuar como uma linha de base.
Esta não é uma nova proposta, no entanto, como o debate on the Hill está em curso há quase três anos. Na corrida para o Estado da União, todas as coisas "cibernéticos" parecia saltar para o topo da agenda na sequência dos ataques de alto perfil e brechas no final de 2014. Ela deveria vir como nenhuma surpresa que falar de segurança cibernética, a privacidade on-line e um foco em governança para a boa cidadania corporativa eletrônico tornou-se parte do diálogo nacional.
Para ser claro: o comportamento correto é divulgar, de cada vez.
Estes são assuntos que importam, e o grau em que ela poderia afetar-nos todos - empresas e cidadãos - está crescendo. Uma pesquisa rápida da blogosfera mostra que as pessoas de segurança em geral, tendem a apoiar esta, mas os méritos ou pontos fortes de uma determinada medida não deve ser confundido com os processos de legislação. Folks de segurança devem ter cuidado para não ser citado fora de contexto como a máquina legislativa inicia.
Os regulamentos são sempre sensíveis e de polarização no mundo corporativo.Ninguém quer mais o custo ea complexidade de ter de seguir ainda um outro regulamento. Notificação de violação exigirá novos processos e de supervisão, novos entendimentos de risco e de novos processos e de pessoal. Mas o ponto crucial aqui é que isto é necessário de qualquer maneira, com ou sem uma regulamentação federal.Se o governo não exigir melhores políticas de divulgação de violações, os consumidores vão em breve.
Para ser claro: o comportamento correto é divulgar, de cada vez.
A exigência de notificação de violação estabelece a igualdade de condições que deixa claro para as empresas: se você tiver uma brecha, prepare-se para falar sobre isso. Ele também irá ajudar a reduzir o bayonetting dos feridos quando ocorrem violações. As violações são inevitáveis, mas o roubo de dados não é. Há muito que pode ser feito depois de um atacante fica dentro de uma rede para evitar que fujam com informações valiosas.
Hoje, a maioria dos gastos com rede de segurança está focada nas fases iniciais de um ataque, e os estágios finais de um ataque. A fase inicial está tentando impedi-los de entrar na rede, em primeiro lugar, proteger o seu perímetro com coisas como firewalls de aplicativos web, firewalls de próxima geração, sistemas de prevenção de intrusão, anti-vírus e muito mais. A etapa final de um ataque seria uma vez que você sabe que um invasor tenha chegado, tentando agregar todos esses alertas, reunindo como entraram, o que eles fizeram lá dentro, e as informações que eles deixaram com.
O que está faltando é uma sólida compreensão do meio, o que acontece após uma ameaça de entrar, mas antes que eles saiam. É hora de prestar atenção à segurança e certifique-se que a prevenção, contenção e processo ético pós-evento e gestão são as principais prioridades no nível C e com os conselhos de administração. Eu iria mais longe ao dizer que um dos primeiros princípios de qualquer regulamentação deve ser o de deixar claro que não é apenas arrogante, mas também anti-ético para determinar o risco para alguém e privá-los da oportunidade de tomar suas próprias decisões de risco , não importa o quão óbvio uma sala de diretoria corporativa pode pensar que as opções são para as vítimas.
Uma lei de notificação de violação, isoladamente de outros requisitos digitais e de comunicação, dá o tom certo para o que fazer eo que não fazer.
Em muitas situações, a conversa não é sobre a coisa certa a fazer para as vítimas (ou seja, os usuários finais ou empresas cujos dados são perdidos), mas em vez disso é a coisa certa a fazer para a empresa violada (por exemplo, como evitar a exposição legal , má imprensa, e outros riscos para a linha de fundo). Essa abordagem tem que acabar.
Também é importante estabelecer que o momento específico a infração ocorre nem sempre é simples de entender. Há uma perspectiva popular que é fácil de saber se e quando ocorreu uma violação, mas isto não é como olhar em um cofre de banco e ver que o dinheiro está faltando. Nem sempre é claro, e que muitas vezes exige um trabalho forense e negativos que comprovem.
Notificação pós-infração e as melhores práticas pode ser um diferencial competitivo.
Isso faz com que seja importante ressaltar também que as investigações têm que acontecer de imediato, que documentou e políticas eficazes existem em chamar um incidente, e que os investigadores e os executivos não arraste seus saltos para evitar ter que chamar o tempo de violação. Uma vez feito isso, a definição do prazo de 30 dias dá tempo suficiente para ter certeza de uma violação realmente ocorreu e determinar quem são as vítimas e não deixa espaço de manobra para adiar a necessidade de notificar as vítimas em tempo hábil.
Uma lei bem escrito quebra-notificação vai deixar claro que as decisões de risco a ser feita na parte superior de uma empresa afectada não são apenas sobre o risco para aqueles que têm o privilégio de exploração dos dados. O tempo para se preocupar com o risco de uma empresa é violado de antemão, a construção de um programa de segurança cibernética e contingências. Uma vez que um incidente acontece, as necessidades das vítimas se tornar a maior prioridade.
Acredite ou não, a notificação pós-infração e as melhores práticas pode ser um diferencial competitivo. É inevitável que os consumidores vão começar a prestar mais atenção à sua privacidade pessoal e segurança de dados, e as empresas juiz, em parte, pelo seu comportamento divulgação pós-infração. Em suma, ter de divulgar não é o fim do mundo para as empresas, e pode se tornar uma espécie de cheque em seu favor quando feito corretamente.
A regra como esta vai deixar bem claro que a não divulgação não é uma opção. Tudo vai permitir-nos concentrar em garantir que as violações de infra-estrutura inevitável não significa violação de dados ou, quando o fazem, que eles são containable. Nós também pode se concentrar nas áreas de direito de melhorar as melhores práticas, trabalhar na prevenção, investir em novas tecnologias e um plano para minimizar os danos dos ataques e frustrar os atacantes que tenham cometido.
Mais atraente de todos, vai permitir uma abordagem que coloca sempre as verdadeiras vítimas no centro e orienta os comportamentos corretos desde o início. Ter dados não é um direito para as corporações; é um privilégio e um que sempre deve ser tratado como tal, antes, durante e depois de violações.
0 comentários:
Postar um comentário