您的位置:首页 >国际新闻 >

C-Suite的安全操作: 立即采取行动以避免以后的麻烦

2022-02-05 10:57:02来源:

我们看到影响大小企业的数据泄露越来越多。而且,考虑到许多高级管理人员被从安全事件响应流程中删除的事实,这种情况需要改变。

违规行为可能会使财务状况恶化,并对客户关系和公司的整体声誉产生持久影响。这就是为什么公司最高梯队的每个人都必须参与其中。

原因很清楚,而且是财务上的: 根据pomenon研究所的数据,数据泄露的平均综合成本为400万美元。这就是为什么企业领导者必须承认他们有责任制定安全标准,以确保全公司的安全。

以下是现在要采取的四个行动,以更好地定位您的公司,以实现更安全的未来。

1.参与进来。

根据inExperian的《数据泄露响应指南》中描述的最新调查数据,只有39% 的董事会,董事长 (和女性) 和首席执行官表示,他们参与了高水平的数据泄露准备工作。如果您不属于该39%,则需要开始组建自己的内部漏洞响应团队。

《Experian指南》建议,这样的团队包括事件负责人,以管理和协调公司的整体响应工作,以及执行负责人,以保持与董事会和其他利益相关者的沟通渠道。

该指南还建议包括来自人力资源,信息技术和公共关系的代表,以及面向外部的客户服务小组以及内部法律,隐私和合规专家。

虽然并非所有企业都有所有这些不同的部门,但重要的一点是高管参与甄选过程,以及各方之间的定期沟通。

2.吸引外部合作伙伴。

在问题发生之前确定并保护外部合作伙伴将有助于防止损害您的关系和公司声誉。这些合作伙伴可以查看您的事件响应计划,并确保这些计划遵循最佳实践并反映对您特定行业的最新威胁的了解。

在这方面,Experian已经确定了要在外部合作伙伴中寻找的五个重要特征; 虽然正确的匹配会有所不同,但根据您组织的内部需求,这些都是与您的违规响应团队合作的绝佳一般标准:

对安全和隐私的理解 -- 不管你的企业做什么,任何合作伙伴都应该有支持各种各样的数据泄露和整个泄露生命周期的知识的背景。战略洞察力 -- 合作伙伴应该能够在事件发生之前和期间处理许多 “假设” 的场景。扩展能力 -- 一个泄露起初看起来很小,但最终更广泛。您将需要一个可以在任何类型的事件中扩展组织规模和潜在需求的合作伙伴。与监管机构的关系-与政府利益相关者和监管机构具有协作关系的组织在数据泄露期间可能会得到这些关键群体的支持。全球考虑因素-如果您的业务在国际上运营,考虑一个了解不同国家违反法律的合作伙伴。该合作伙伴还应该能够操作多语言呼叫中心。

3.定期进行应对演习。

一旦你建立了你的响应团队并最终确定了你的响应计划,就把计划付诸行动。每年至少练习和测试你的准备计划两次,并定期进行审查,以确保你做好准备。确保每个人都理解他或她的具体职责,无论是作为任何特定部门的一部分。

美国小企业管理局在这方面建议的一些活动包括建立安全实践和政策,以保护敏感信息。同样在列表中: 要求员工使用强密码,创建和更新数据安全性和移动设备策略,并根据员工的工作级别对员工可以访问的数据类型进行限制。

随着越来越多的企业采用自带设备 (BYOD) 策略,移动设备尤其会带来额外的风险。此外,企业领导者应经常更新和重新评估其安全措施,并进行年度培训。

4.进行模拟练习。

一些公司确实制定了应对计划,尽管CSID最近的一项研究发现,超过一半的参与的小企业主根本没有将任何预算用于缓解风险。更重要的是,在最近的Experian调查中,只有大约三分之一的受访者表示,他们优先考虑员工了解数据泄露如何影响他们和公司。

你永远不知道人们在高压力的情况下会如何应对,所以一个违规模拟练习可以把你的计划付诸行动,让你的整个团队经历违规的不同阶段。

这样做的方法?为任何模拟练习安排至少半天的时间。让组织外部的人担任主持人,并包括将参与应对数据泄露的每个团队成员。

此外,考虑尽可能多的 “如果” 场景。考虑在数据泄露之前、期间和之后可能发生的事情。在会议结束时,请团队汇报情况,回顾经验教训,并确定可以在哪里进行改进。

现在采取这些行动将在短期内使您的组织受益,从长远来看,使您的员工能够成为推动全公司安全的一部分。