Finansial

Dewan Perusahaan: Jangan meremehkan peran Anda dalam pengawasan keamanan data

For businesses in the middle of a global epidemic, there is no such thing as “work as usual. The percentage of remote Americans has grown significantly, now up to 33% of the US labor force. Security threats of seismic shift against data increased, an analysis reported that more than 36 billion online records emerged only in the first half of 2020. Consumers whose lives are raised with identity theft pay attention to how companies react. But is the typical corporate board of directors the Perhatian dia layak untuk keselamatan data?

Selain biaya penting bagi konsumen, pelanggaran data, intervensi jaringan dan mendekati ancaman cyber dapat membuka perusahaan untuk biaya keuangan yang penting, hit reputasi, dan tanggung jawab hukum. FTC terus keberatan dengan perilaku menipu atau tidak adil yang terkait dengan praktik keselamatan data perusahaan. Contoh terbaru termasuk Skymed International, Tapplock dan Zoom. Selain itu, kami sedang dalam proses meninjau beberapa aturan keselamatan data untuk industri, termasuk aturan pemberitahuan pelanggaran kesehatan dan aturan perlindungan gram-leach-bliley.

Terhadap latar belakang ini, dewan perusahaan harus melakukan yang terbaik untuk memastikan perlindungan data konsumen dan karyawan. Berita baiknya adalah bahwa, menurut sebuah penelitian baru -baru ini, 60% dari direktur yang berpartisipasi dalam survei berencana untuk meningkatkan peran pengawasan keselamatan dunia maya sepanjang tahun berikutnya. Bagaimana ini untuk perusahaan biasa? Staf FTC memiliki lima saran rahasia untuk sutradara yang berhati nurani.

Menjadikan keamanan data sebagai prioritas.

Berlawanan dengan kepercayaan populer, keamanan data dimulai dengan dewan direksi, bukan departemen TI. Perusahaan yang memprioritaskan keselamatan data dapat menyesuaikan nada di seluruh organisasi dengan menanamkan budaya keamanan, menciptakan harapan keamanan yang kuat, dan memutuskan silo internal untuk memfasilitasi kerja sama teknis dan strategis. Meskipun tidak ada satu pun formula yang cocok untuk semua orang, beberapa perusahaan menerapkan strategi untuk menjadikan keamanan sebagai prioritas.

  • Buat tim pemangku kepentingan dari seluruh organisasi Anda. Terlepas dari survei 2018, yang menemukan bahwa 89% CEO memperlakukan keamanan cyber sebagai fungsi TI, pengalaman menunjukkan bahwa manajemen risiko dunia maya adalah masalah “seluruh pekerjaan”. Program keselamatan data yang solid harus mencakup pemangku kepentingan dari departemen bisnis, hukum dan teknologi di seluruh perusahaan, yang merupakan eksekutif senior dan pakar operasional. Tentu saja, banyak komite termasuk Kepala Pejabat Informasi dan Kepala Pejabat Keamanan Informasi, tetapi perusahaan lain mendorong sinergi praktis, termasuk manajer yang membawa perspektif yang berbeda untuk masalah -masalah seperti CEO, CFO atau konsultan umum. Luas dan berbagai suara dapat memberikan informasi tentang risiko dan solusi cyber kepada dewan.
  • Diatur di tingkat papan. Beberapa dewan perusahaan mentransfer tugas pengawasan risiko cyber ke komite audit. Yang lain memiliki Komite Keamanan Cyber ​​Independen di tingkat Dewan Direksi. Terlepas dari bagaimana suatu organisasi mengkonfigurasi tugas pengawasan risiko dunia maya, risiko cyber paket utama harus menjadi prioritas di ruang dewan. Pada tingkat dewan, pengawasan membantu ancaman keamanan dunia maya, pertahanan dan jawaban untuk menarik perhatian mereka di tingkat atas dan menerima sumber daya yang diperlukan untuk melakukan pekerjaan dengan benar.
  • Simpan briefing keamanan reguler. Dalam hal keamanan, anggota dewan direksi perlu diketahui, tetapi penelitian menunjukkan bahwa banyak yang keluar dari siklus. Penelitian 2012 menemukan bahwa kurang dari 40% dewan perusahaan menerima laporan rutin tentang risiko privasi dan keamanan, dan 26% jarang atau tidak pernah menerima informasi ini. Menurut penelitian lain, hanya 12% dari dewan yang sering menerima briefing ancaman dunia maya. Enam tahun kemudian, penelitian perusahaan publik pada tahun 2018 tidak mengusulkan banyak kemajuan. Hanya 37% dari anggota dewan mengatakan bahwa perusahaan mereka merasa “percaya diri” atau “yakin” bahwa perusahaan mereka dijamin dengan tepat terhadap serangan cyber. Tentu saja, keamanan dunia maya bukan satu dan penawaran. Ini adalah proses dinamis yang membutuhkan informasi, keterlibatan, dan pembaruan anggota dewan. Briefing reguler mempersiapkan dewan untuk memenuhi tanggung jawab pengawasan dan memberikan prioritas terhadap ancaman kepada perusahaan dan memprioritaskan ancaman kepada perusahaan.

Pahami risiko keamanan dunia maya dan tantangan perusahaan Anda.

Program keamanan data yang kuat dimulai dari atas. Meskipun Dewan mengelola operasi keamanan harian tidak berperan, itu adalah tugas mereka untuk mengalokasikan sumber daya yang diperlukan untuk menentukan prioritas dan memberikan keamanan yang efektif. Anggota Dewan Direksi harus berbicara tentang percakapan dan berjalan -jalan. Mereka harus menunjukkan kesulitan keamanan data yang dihadapi oleh perusahaan mereka dan bahwa seluruh organisasi bergerak untuk menentukan nada.

Jangan membingungkan kepatuhan hukum dengan keamanan.

Pada tahun 2019, FTC menyelenggarakan serangkaian uji coba tentang perlindungan dan teknologi konsumen di abad ke -21. Tema umum adalah bahwa kompatibilitas tidak selalu berubah menjadi keamanan yang baik. Ancaman keamanan dunia maya terus -menerus dan cepat berkembang. Program keselamatan data yang kuat tidak boleh dikurangi menjadi pendekatan “centang kotak” untuk memenuhi kewajiban dan persyaratan kepatuhan. Sebaliknya, dewan harus memastikan bahwa program keamanan diadaptasi sesuai dengan kebutuhan unik, prioritas, teknologi, dan data perusahaan mereka. Dewan harus mengajukan pertanyaan sulit tentang apakah kebijakan dan prosedur mereka telah secara efektif menangani risiko keamanan perusahaan mereka dan secara efektif menangani ancaman yang dihadapi oleh praktik keamanan nyata. Pidato yang tidak dipenuhi dapat mencakup pertanyaan -pertanyaan berikut:

  • Jenis data apa yang kami pegang dan mengapa? Dan di mana kita memegang?
  • Apakah kebijakan dan prosedur kami cukup untuk melindungi data kami?
  • Sejalan dengan kebijakan praktik keamanan nyata dan pernyataan publik?
  • Apakah investasi dan pengeluaran keamanan kami sesuai dengan risiko dan ancaman keamanan kami?

Ini lebih dari sekedar mencegahnya.

Program keamanan data yang kuat memungkinkan jaringan perusahaan dan konsumen untuk mengambil langkah -langkah yang wajar untuk melindungi informasi pribadi mereka dari tamu yang tidak diundang. Namun, tidak ada program keselamatan data yang sempurna dan tidak ada program yang akan menjamin bahwa perusahaan akan dilindungi karena serangan atau pelanggaran data. Jika tidak ada yang lain, pelanggaran terbaru telah menunjukkan pentingnya kedua program keamanan data yang kuat. Dan Rencana intervensi peristiwa yang solid. Saat menanggapi peristiwa keamanan, waktu biasanya esensi. Setiap menit di mana karyawan mencoba menandai manajer kunci dan fokus pada perhatian mereka diambil dari tugas -tugas penting untuk memperkuat kerusakan yang diberikan pada data dan memberikan respons yang tepat terhadap data. Sebaliknya, ketika program keamanan yang efektif sesuai, ini memungkinkan peningkatan keamanan yang cepat ke tingkat yang sesuai. Selain itu, menciptakan fleksibilitas organisasi untuk program keamanan Anda dapat membantu perusahaan Anda mempertahankan operasi sambil menanggapi acara keamanan.

Belajar dari kesalahan.

Jika perusahaan Anda sangat disayangkan mengalami pelanggaran data, ambil kesempatan untuk belajar dan meningkatkan program Anda. Perusahaan biasanya membutuhkan penilaian pihak ketiga yang independen secara berkala untuk membentuk dasar untuk menentukan bagaimana pelanggaran direalisasikan dalam kasus peristiwa keamanan, di mana kemajuan di masa depan dapat diukur. Tentu saja, belajar dari kesalahan perusahaan lain bisa sama -sama berharga (dan jauh lebih tidak menyakitkan). Sama sekali tidak ada kekurangan pelanggaran data, dan banyak yang termasuk pesaing atau pihak lain di bidang bisnis yang sama. Dewan harus membahas kesempatan untuk memahami risiko keamanan dunia maya terkait dengan industri mereka dan belajar dari kesalahan perusahaan mereka sendiri dan kesalahan orang lain.

FTC Business Center memiliki sumber daya keselamatan data untuk perusahaan dengan berbagai ukuran dan di sektor apa pun.

Tautan sumber

Related Articles