风险管理的重要性日益上升
高级副总裁大卫·蒙塔古,企业风险与安全,Expedia组
增加网上个人资料数字化,共享和可用性,加上意想不到的数据风险激增,导致增加规定,更大的罚款,更高的成本和复杂性风险管理适合所有人。
在新的地区和政府法规遵循需求旨在减少风险和方便消费者管理自己的个人信息,这些指令(如GDPR, PSD2,数字税收,等等)需要增加的规模和复杂性,推高了成本。日益感到担忧,在某些情况下,企业如何使用个人数据导致全新的方式看待这些数据在整个企业的使用,以及与其他业务实体。
同时,个人数据泄露的上升对违反或不符合导致更严重的影响。在过去的十年里,我们看到了对安全事件显著增加罚款,包括最近的情况一个大型科技公司对侵犯隐私被罚款五十亿美元。
身份盗窃资源中心-数据违反报告2005 - 2018
•https://www.idtheftcenter.org/images/breach/Overview2005to2016Finalv2.pdf
•https://www.idtheftcenter.org/2018-data-breaches/
•https://www.idtheftcenter.org/2017-data-breaches/
从合规的角度来看,公司更敏锐地意识到这种风险事件可以从损益产188宝金博手机网址生实质性影响的角度来看,推动项目融资水平和组织结构的变化。
在今天的高度数据驱动的业务环境,很难确切地定义您的数据和业务伙伴的数据开始的地方结束。许多公司更188宝金博手机网址深入来更好地理解和管理合作伙伴数据泄露的风险,因为它可能危及他们的品牌,在新闻,甚至在向监管机构报告。
CISO的角色必须发展。
简单地说,我们不能被“停滞不前。“这不是足够的管理今天的已知风险和法规。数字平台经济正以不断增加的速度,和今天的CISOs需要经济头脑,能够预见到风险管理的技术和安全需求。188金宝搏地址这一战略观点使企业灵活,帮助确保他们不被困在试图管理188宝金博手机网址的反应循环一周的新规定或威胁,最终可以分散和减缓增长和创新。
美国环境——对隐私和数据保护的所有引用规则在美国:
美国各州立法:IAPP -国家全面的隐私法比较,2019年7月https://iapp.org/media/pdf/State_Comp_Privacy_Law.pdf
我们GLBA 2005:联邦存款保险公司(Federal Deposit Insurance Corporation) -最终指导反应计划,2005年4月https://www.fdic.gov/news/news/financial/2005/fil2705.html
HIPAA高科技:高科技的行为实施临时最终规则,2017年6月-https://www.hhs.gov/hipaa/for-professionals/special-topics/hitech-act-enforcement-interim-final-rule/index.html
全局上下文——对隐私和数据保护规则的所有引用美国以外。
IAPP -变化的全球数据违反通知法律:监管趋势,2018 - 11月https://iapp.org/media/wcr_pdf/WCR-CGDBNL-I.pdf
IWIK Pro - 6全球新的隐私法律你应该注意,2019年7月https://piwik.pro/blog/privacy-laws-around-globe/
与此同时,它不再是足够的公司内部管理范围。企业是一个复杂的生态系统的一部分组成的广泛的供应商和合作伙伴的关系,同时提高合规和监管要求。不久以前,供应商和合作伙伴安全合规管理与一个简单的合同条款。今天,更麻烦和挑战,要求CISOs理解和管理企业内部的风险和他们的合作伙伴和供应商。
关于隐私的日益复杂化和利用个人数据,这是一个考虑到CISOs将面临额外的监督和管理要求公司重新评估业务操作中用户数据的作用。188宝金博手机网址CISOs应该期待“管理”数据不同于今天。例如,加州消费者隐私法案》(CCPA)给加州居民有权知道什么对他们的个人数据被收集,不管是被出售或向其他方披露,等等。GDPR需要公司支持,允许消188宝金博手机网址费者请求“遗忘。“我预计我们将会看到越来越多的指令在美国和世界的。因此,CISOs必须保持同步的整体风险,同时保持意识到眼前的威胁,确保合规超出他们计划是今天在这里。
固有的歧义的政策、法规和指令提供了充足的灰色地带回旋余地。不要太舒适的灰色地带。今天的快速修复可能导致明天的消防演习
今天准备未来。
认为大!网络犯罪不断开发新途径利用企业漏洞风险管理和数字景观变得更加复杂,cio需要超越当前的风险预防策略采取更主动的方法,比如使用人工智能和数据科学的实时检测和消除风险。同时,首席信息官和CISOs必须改变他们的心态,可能会被迫理解合规趋势在地理和在全球范围内是有效的。
认为小。从个人信息(PII)的角度来看,今天的cio是最好的时间来改进他们的技术堆栈分割和使用概念,标记和映射的数据使它与他们的部署技术。188金宝搏地址供应商景观,我期待看到解决方案出现,专注于应用技术,确保个人信息收集、存储、维护和运输在一个高度安全的方式。
展望未来,一个应该在你的雷达(如果不是已经)是重要的和不断上升的风险账户的收购和凭证管理。永远不会忘记,网络犯罪不断工作的技术堆栈弱点,从企业内部和外部,可怜的实践在这些领域可以快速盈利之路。188金宝搏地址
作为首席信息官和CISOs,确保你是真正解决业务风险,不仅会议或监管风险管理框架。说你的违约时不会改变结果,它只会改变你的合规声明的可信度。固有的歧义的政策、法规和指令提供了充足的灰色地带回旋余地。不要太舒适的灰色地带。今天的快速修复可能导致明天的消防演习。我问我的领导人”的习惯我们安全吗?“如果答案是否定的,我问“那么我们需要做的是安全的吗?,我们要做些什么呢?“这很简单,点,理由是组织期望的结果与检查框。
最后,确保您帮助您的团队认为或大或小。投资功能,将允许你组织风险和公司的飞跃青蛙通过监管和安全要求他们将来能成为什么,不是今天。今天你做什么来管理风险不会两年后你在做什么,所以,你的计划是什么?
参见:
