Я шукаю..

Ціна невідповідності: зменшення особистого та корпоративного ризику Інновації

Ціна невідповідності: зменшення особистого та корпоративного ризику

Пол Деур є співзасновником/співгенеральним директором ReadyWorks, провідника цифрової платформи (DPC).

Бізнесмен працює на портативному комп'ютері в офісі

Гетті

У липні 2020 року Morgan Stanley фігурувала у двох колективних позовах, пов’язаних із двома різними витоками даних у 2016 та 2019 роках. Лише через кілька місяців Управління валютного контролера Сполучених Штатів наклало на них штраф у розмірі 60 мільйонів доларів ( OCC). Головною причиною значного штрафу OCC назвав нездатність Morgan Stanley належним чином усунути ризики конфіденційності даних, пов’язані з виведенням з експлуатації його центрів обробки даних і серверів.

Потім, у вересні 2022 року, Комісія з цінних паперів і бірж (SEC) оштрафувала Morgan Stanley додатково на 35 мільйонів доларів «за порушення безпеки даних, які включали незашифровані жорсткі диски з виведених з експлуатації центрів обробки даних, які перепродувалися на аукціонах без попереднього знищення», згідно з Ars Technica. .

Хоча дотримання стандартів відповідності справді може бути проблемою, особливо для великих підприємств із великою кількістю рухомих частин, немає права на помилку, і наслідки можуть бути жахливими як для бізнесу, так і для відповідального керівництва.

Зростаючий виклик

Щоб залишатися конкурентоспроможними на сучасному ринку, компанії продовжують використовувати інноваційні технології підключених технологій. За даними Okta, середня велика компанія використовує 175 додатків для ведення свого бізнесу, і ця цифра зростає щороку.

Оскільки пристроїв і програм для кінцевих користувачів стає більше, ІТ-командам потрібно бути в курсі оновлень і виправлень ОС, а також припинення підтримки серверів і пристроїв. Незахищені системи є ідеальним шлюзом для хакерів. У 2017 році невиправлена система призвела до зламу в Equifax, і кредитне агентство погодилося виплатити принаймні 575 мільйонів доларів компенсації.

Підтримка всіх цих пристроїв, програмного забезпечення, серверів і операційних систем в актуальному стані може швидко напружити ресурси та забрати час для досягнення більш стратегічних цілей. Але якщо не оновити ці системи, вони залишаються відкритими для витоку даних, атак програм-вимагачів і значних штрафів від регуляторів. У звіті Osterman Research за 2021 рік було виявлено, що 4 з 10 порушень даних відбуваються через те, що не було застосовано доступний патч. Ці порушення мають негайний економічний вплив (часто в діапазоні сотень мільйонів доларів), але вони також можуть завдати шкоди репутації вашої організації, ще більше вплинувши на прибутки.

Крім того, витік даних може поставити керівництво компанії під серйозний ризик. Під час справи Caremark у 1996 році суд створив правову базу для притягнення директорів до особистої відповідальності за порушення обов’язку лояльності, коли вони не в змозі «належним чином контролювати та наглядати за підприємством». Протягом останніх кількох років позивачі все частіше подають позови Caremark проти директорів у зв’язку зі серйозними порушеннями корпоративних даних. Згідно з журналом CPO Magazine, «хоча багато з цих позовів були невдалими, наступне рішення суду у справах Marchand і Boeing змінило ситуацію та відкрило можливість таким претензіям, пов’язаним з кібербезпекою, вижити після клопотання про відхилення.

З огляду на широкий спектр ризиків, який існує сьогодні, дуже важливо, щоб бізнес-лідери виходили за рамки застарілих методологій, щоб повернути контроль над своїм середовищем, забезпечуючи відповідність і пом’якшуючи ризик розкриття даних.

Найкращі методи підтримки відповідності — відмовтеся від ручних процесів

Більшість організацій прагнуть дотримуватись нормативних вимог, але їм часто не вистачає інструментів, ресурсів чи найкращих практик для досягнення успіху. Організації, які все ще покладаються на переважно ручні процеси, швидко відстануть. Навіть у найнадійніших організаціях все одно бракуватиме необхідного персоналу. Тому потрібні зміни.

Щоб зменшити ризики для безпеки та досягти цілей відповідності, дотримуйтесь цих передових практик:

Забезпечте відображення в режимі реального часу всіх змінних, які впливають на відповідність, наприклад, виправлень безпеки та оновлень ОС. Для цього потрібна точна інформація про всі активи від «колиски до могили», що є майже неможливим за допомогою гори електронних таблиць. Автоматизуйте якомога більшу частину процесу. Це включає автоматизацію збору даних і аналізу ризиків, спілкування із зацікавленими сторонами та кінцевими користувачами, планування оновлень і координацію завдань. Підтримуйте актуальні журнали аудиту, які забезпечують миттєву видимість досягнення відповідності.

Організаціям слід визначити пріоритетність оновлень системи, починаючи з систем із найбільшим ризиком, які впливають на більшість користувачів. Наприклад, перенесіть будь-які сервери, термін служби яких закінчився, до новіших версій або хмари, перемістіть старі платформи до хмари чи гібридного хмарного середовища та оновіть системи ОС до останньої версії. Найшвидший, найефективніший і найменш ризикований спосіб зробити це — використовувати більш просунуті інструменти, такі як провідник цифрової платформи (DPC).

Автоматизація є новим імперативом

Як згадувалося раніше, відсутність відповідності інформаційних технологій має безпеку та фінансові наслідки. Лише штрафи можуть коштувати сотні мільйонів доларів, а в найгіршому випадку навіть перевищувати позначку в мільярд доларів. Це не включає додаткові фінансові втрати від атак програм-вимагачів, які вимагають значних платежів для відновлення роботи.

Застарілі технології та процеси перешкоджають організації мати необхідний нагляд для виявлення потенційних проблем у своєму середовищі, що може призвести до катастрофи, коли виникає проблема, а технологічні лідери не можуть швидко виявити та пом’якшити проблему.

ІТ-лідери в таких ситуаціях часто не мають чіткого уявлення про те, скільки часу потрібно для вирішення проблем, коли вони виникають. Оскільки їм не вистачає належного бачення реальної небезпеки ситуації, усунення загроз безпеці зазвичай займає більше часу, ніж очікувалося, що створює подальшу плутанину та незручності для організації. Використання ручних процесів для вирішення ситуації також ускладнює проблему з точки зору часу. Завдяки більшій інтеграції автоматизованих технологій можна завчасно створювати робочі процеси для вирішення проблем, якщо вони виникнуть, зокрема відкривати заявки на обслуговування в системах продажу квитків і автоматизувати звіти про вирішення. Ви також можете автоматизувати спілкування з користувачами та зацікавленими сторонами, щоб вони були в курсі ситуації. Кожен із цих процесів може зайняти значну кількість часу — дорогоцінного часу, якого у вас немає під час кризи.

Сучасним підприємствам потрібна допомога автоматизованих технологій, щоб рухатися зі швидкістю бізнесу, забезпечуючи при цьому відповідність високим стандартам відповідності, які існують для захисту їх самих, їхніх партнерів і клієнтів. Використання грубої сили, можливо, було варіантом раніше, але сьогодні це просто рецепт катастрофи. Якщо ваше підприємство виглядає так само, як і три роки тому, настав час змінитися.

Технологічна рада Forbes — це спільнота для ІТ-директорів, технічних директорів і технічних керівників світового рівня. Чи маю я право?