Цена несоблюдения требований: снижение личных и корпоративных рисков
Share
Пол Деур — соучредитель и со-генеральный директор ReadyWorks, проводника цифровой платформы (DPC).
гетти
В июле 2020 года Morgan Stanley фигурировала в двух коллективных исках, связанных с двумя отдельными утечками данных в 2016 и 2019 годах. Всего несколько месяцев спустя Управление валютного контролера США наложило на них штраф в размере 60 миллионов долларов ( ОКК). OCC сослался на неспособность Morgan Stanley адекватно устранить риски конфиденциальности данных, связанные с выводом из эксплуатации своих центров обработки данных и серверов, в качестве основной причины крупного штрафа.
Затем, в сентябре 2022 года, Комиссия по ценным бумагам и биржам (SEC) оштрафовала Morgan Stanley на дополнительные 35 миллионов долларов «за нарушения безопасности данных, в том числе незашифрованные жесткие диски из выведенных из эксплуатации центров обработки данных, которые перепродавались на аукционах без предварительного стирания», сообщает Ars Technica. .
Хотя соблюдение стандартов соответствия действительно может быть проблемой, особенно для крупных предприятий с большим количеством движущихся частей, здесь нет права на ошибку, а последствия могут быть ужасными как для бизнеса, так и для ответственного руководства.
Растущий вызов
Предприятия продолжают расширять использование инновационных подключенных технологий, чтобы оставаться конкурентоспособными на современном рынке. По данным Okta, средняя крупная компания использует 175 приложений для управления своим бизнесом, и это число растет с каждым годом.
При наличии большего количества устройств и приложений для конечных пользователей ИТ-специалистам необходимо быть в курсе обновлений и исправлений ОС, а также прекращения поддержки серверов и устройств. Незащищенные системы являются идеальным шлюзом для хакеров. В 2017 году неисправленная система привела к взлому в Equifax, и кредитное агентство согласилось выплатить компенсацию в размере не менее 575 миллионов долларов.
Поддержание всех этих устройств, программного обеспечения, серверов и операционных систем в актуальном состоянии может быстро привести к истощению ресурсов и отнять время для достижения более стратегических целей. Но отсутствие обновления этих систем делает их уязвимыми для утечки данных, атак программ-вымогателей и значительных штрафов со стороны регулирующих органов. Отчет Osterman Research за 2021 год показал, что 4 из 10 утечек данных, по сообщениям, происходят из-за того, что доступное исправление не было применено. Эти нарушения имеют немедленные экономические последствия (часто в диапазоне сотен миллионов долларов), но они также могут нанести ущерб репутации вашей организации, что еще больше повлияет на вашу прибыль.
Кроме того, утечка данных может подвергнуть руководство компании серьезному риску. В ходе дела Caremark в 1996 году суд установил правовую основу для привлечения директоров к личной ответственности за нарушение обязанности лояльности, когда они не «надлежащим образом контролируют и контролируют предприятие». За последние несколько лет истцы все чаще подавали иски Caremark против директоров в связи с серьезными утечками корпоративных данных. Согласно журналу CPO Magazine, «Хотя многие из этих исков были безуспешными, последующее решение суда по делам Маршана и Боинга изменило ситуацию и открыло двери для таких исков, связанных с кибербезопасностью, для рассмотрения ходатайства об отклонении.
Учитывая широкий спектр рисков, существующих сегодня, очень важно, чтобы бизнес-лидеры не ограничивались устаревшими методологиями, чтобы вернуть себе контроль над своей средой, обеспечив соответствие требованиям и снизив риск раскрытия данных.
Лучшие практики для поддержания соответствия — откажитесь от ручных процессов
Большинство организаций стремятся к соответствию, но им часто не хватает инструментов, ресурсов или лучших практик для достижения успеха. Организации, которые по-прежнему полагаются преимущественно на ручные процессы, быстро отстают. Даже в самых надежных организациях по-прежнему будет не хватать необходимого персонала. Вот почему требуется изменение.
Чтобы снизить риски безопасности и достичь соответствия требованиям, следуйте приведенным ниже рекомендациям.
Обеспечьте видимость в режиме реального времени всех переменных, влияющих на соответствие требованиям, таких как исправления безопасности и обновления ОС. Для этого требуется точная информация обо всех активах от «колыбели до могилы», что почти невозможно, если управлять ими с помощью гор электронных таблиц. Максимально автоматизируйте процесс. Это включает в себя автоматизацию сбора данных и анализа рисков, общение с заинтересованными сторонами и конечными пользователями, планирование обновлений и координацию задач. Поддерживайте актуальные журналы аудита, которые обеспечивают мгновенную видимость достижения соответствия.
Организации должны расставлять приоритеты при обновлении системы, начиная с систем с наибольшим риском, которые влияют на большинство пользователей. Например, перенесите все серверы, срок эксплуатации которых подошёл к концу, на более новые версии или в облако, перенесите старые платформы в облачные или гибридные облачные среды и обновите ОС до последней версии. Самый быстрый, эффективный и наименее рискованный способ сделать это — использовать более продвинутые инструменты, такие как проводник цифровой платформы (DPC).
Автоматизация — новый императив
Как упоминалось ранее, несоблюдение требований к информационным технологиям имеет последствия для безопасности и финансовые последствия. Одни только штрафы могут стоить сотни миллионов долларов, а в худшем случае даже превысить отметку в миллиард долларов. Это не включает дополнительные финансовые потери от атак программ-вымогателей, которые требуют значительной оплаты для восстановления.
Устаревшие технологии и процессы не позволяют организации иметь необходимый контроль для выявления потенциальных проблем в своей среде, что может привести к катастрофе, когда возникает проблема, и руководители технологий не могут быстро обнаружить и устранить проблему.
ИТ-руководители в таких ситуациях часто не имеют четкого представления о том, сколько времени требуется для решения проблем, когда они возникают. Поскольку им не хватает надлежащего понимания реальной опасности ситуации, обычно требуется больше времени, чем предполагалось, для устранения угроз безопасности, что создает дополнительную путаницу и неудобства для организации. Использование ручных процессов для исправления ситуации также усугубляет проблему с точки зрения времени. Благодаря большей интеграции автоматизированных технологий можно заблаговременно создавать рабочие процессы для решения проблем в случае их возникновения, включая открытие заявок на обслуживание в системах продажи билетов и автоматизацию отчетов об устранении неполадок. Вы также можете автоматизировать общение с пользователями и заинтересованными сторонами, чтобы они были в курсе ситуации. Каждый из этих процессов может занять значительное количество времени — драгоценного времени, которого у вас нет перед лицом кризиса.
Современным предприятиям требуется помощь автоматизированных технологий, чтобы двигаться со скоростью бизнеса, обеспечивая при этом соблюдение высоких стандартов соответствия, которые существуют для защиты их самих, их партнеров и клиентов. Раньше использование грубой силы могло быть вариантом, но сегодня это просто путь к катастрофе. Если ваше предприятие все еще выглядит так же, как и три года назад, пришло время внести изменения.
Технологический совет Forbes — это сообщество только по приглашению для ИТ-директоров, технических директоров и руководителей технологических компаний мирового класса. Имею ли я право?
