8 bước để đạt được sự tuân thủ an ninh mạng
Việc tuân thủ an ninh mạng rất phức tạp.
Khi ngành an ninh mạng thay đổi, các yêu cầu tuân thủ cũng thay đổi và tùy thuộc vào hoạt động của tổ chức của bạn, việc tuân thủ có thể có nghĩa là tuân thủ nhiều khuôn khổ và báo cáo cho nhiều cơ quan quản lý. Trên thực tế, 67% tổ chức được Arctic Wolf khảo sát tuân theo từ một đến ba bộ nguyên tắc.
Sự tuân thủ về bản chất cũng gắn liền với an ninh. Nguyên tắc tuân thủ được tạo ra để bảo vệ dữ liệu khỏi tội phạm mạng và việc không tuân thủ các nguyên tắc có thể làm tăng rủi ro mạng của tổ chức. Hãy nhìn vào vụ hack HCA, nơi một vụ kiện tập thể đã được đệ trình. Vi phạm bắt nguồn từ một nhà cung cấp bên thứ ba và mặc dù vẫn chưa biết nhà cung cấp đó được bảo vệ như thế nào nhưng HIPAA yêu cầu các nhà cung cấp xử lý thông tin cá nhân cũng phải tuân thủ HIPAA. Thông tin chi tiết về vi phạm này vẫn chưa được biết, nhưng nó nêu bật mối liên hệ giữa các thiệt hại về tuân thủ, bảo mật và vi phạm.
Tuân thủ an ninh mạng là gì?
Mặc dù HIPAA có thể được biết đến nhiều nhất nhưng thế giới tuân thủ còn vượt xa các tổ chức y tế. Tuân thủ an ninh mạng là quá trình tuân thủ các quy định, tiêu chuẩn hoặc khuôn khổ do cơ quan quản lý hoặc pháp luật quy định, đặc biệt liên quan đến thông tin cá nhân và bảo mật dữ liệu. Như đã đề cập ở trên, việc tuân thủ an ninh mạng hoạt động như quản lý rủi ro, giúp các tổ chức tăng cường bề mặt tấn công và giảm thiểu rủi ro, bảo vệ tốt hơn dữ liệu có giá trị của người tiêu dùng trong quy trình.
Ví dụ: bất kỳ tổ chức nào xử lý thông tin sức khỏe cá nhân (PHI) đều phải tuân thủ các quy định của HIPAA. Việc tuân thủ là điều khá phổ biến đối với các tổ chức trong nhiều ngành, với 87% tổ chức báo cáo rằng họ tuân theo một số hướng dẫn hoặc khuôn khổ, trong đó HIPAA và PCI DSS là phổ biến nhất.
Việc đạt được và duy trì sự tuân thủ có thể là nhiệm vụ to lớn của chính nó, cũng như có thể điều hướng các hướng dẫn khác nhau, thay đổi khuyến nghị và điều chỉnh trong hoạt động kinh doanh. Nhiều tổ chức gặp khó khăn trong việc tìm hiểu khuôn khổ nào là tốt nhất cho nhu cầu kinh doanh và bảo mật của họ, với 43% chỉ tuân theo các yêu cầu do nghĩa vụ pháp lý.
Dưới đây là tám bước để giúp tổ chức của bạn bắt đầu con đường hướng tới sự tuân thủ và cải thiện tình hình bảo mật.
Cách đảm bảo tuân thủ an ninh mạng
Hiểu các yêu cầu tuân thủ cụ thể của tổ chức bạn
Câu hỏi đầu tiên mà một tổ chức nên tự hỏi mình là “tổ chức của chúng ta cần tuân theo những yêu cầu nào dựa trên ngành, địa điểm và dữ liệu chúng ta xử lý?” Nếu bạn là một tổ chức chăm sóc sức khỏe, HIPAA sẽ là một tổ chức lớn nhưng cũng có thể là PCI DSS nếu bạn xử lý thông tin tài chính cho bệnh nhân của mình. Tuy nhiên, việc tuân thủ còn chi tiết hơn việc chỉ “chúng ta có phải là tổ chức chăm sóc sức khỏe không?”
Ví dụ: nếu tổ chức của bạn sử dụng đám mây, bạn sẽ cần hiểu sự tuân thủ của đám mây cũng như cách dữ liệu và đám mây phối hợp với nhau. Nếu bạn giao dịch với các nhà cung cấp bên thứ ba, đó là một nhóm nhỏ khác cần được giải quyết. Tương tự như cách một tổ chức đánh giá tình trạng bảo mật của mình bằng cách thực hiện tổng quan và kiểm tra toàn bộ hệ thống của mình, hoạt động kiểm tra tương tự cần phải được thực hiện đối với việc tuân thủ.
Chọn một hoặc nhiều khuôn khổ tuân thủ
Khi bạn đã xác định được sự tuân thủ, quy định và luật nào bạn cần tuân thủ, bước tiếp theo là chọn khung bảo mật để xây dựng chương trình của bạn. Khung của bạn sẽ giúp bạn ánh xạ tới các yêu cầu tuân thủ để bạn không phải xây dựng lại mọi thứ khi luật, quy định hoặc yêu cầu thay đổi.
Tìm hiểu thêm về các yêu cầu cụ thể với Hướng dẫn tuân thủ an ninh mạng của Arctic Wolf.
Xác định các lỗ hổng bảo mật chính
Bởi vì tuân thủ và bảo mật là hai mặt của cùng một vấn đề nên việc hiểu rõ các lỗ hổng bảo mật sẽ giúp bạn hiểu được nơi bạn cần áp dụng sự giám sát khi nói đến việc tuân thủ. Bước đầu tiên là tiến hành đánh giá lỗ hổng trong môi trường bảo mật mà bạn đã xây dựng và đánh giá xem nó phù hợp như thế nào với các biện pháp kiểm soát trong khuôn khổ đã chọn của bạn. Việc làm này sẽ giúp bạn tiết kiệm rất nhiều thời gian và công sức, cũng như giúp nhóm bảo mật và tuân thủ của bạn tập trung vào những gì cần phải làm và theo thứ tự.
Phân loại dữ liệu hoàn chỉnh
Việc bảo vệ dữ liệu có giá trị nhất của tổ chức bạn bắt đầu bằng việc phân loại dữ liệu đó và hiểu dữ liệu nào có mức độ rủi ro cao hoặc quan trọng. Phân loại là quá trình xác định và phân loại dữ liệu nói trên. Có nhiều cấp độ phân loại dữ liệu khác nhau thường dành riêng cho tổ chức – hoặc ngành – và được xác định bởi nội dung dữ liệu chứa, ai có thể truy cập dữ liệu đó và các biện pháp kiểm soát truy cập nào được áp dụng.
Vòng đời dữ liệu
Dữ liệu có vòng đời gồm năm giai đoạn thường được đề cập trong các yêu cầu tuân thủ.
Các giai đoạn bao gồm tạo, lưu trữ, sử dụng, lưu trữ và hủy bỏ. Điều quan trọng là dữ liệu quan trọng phải đáp ứng các tiêu chuẩn tuân thủ ở từng giai đoạn của vòng đời, thường được gọi là quản lý vòng đời dữ liệu hoặc rủi ro tổ chức của doanh nghiệp.
Tiến hành đánh giá rủi ro
Đánh giá rủi ro xếp hạng rủi ro dựa trên khả năng xảy ra và tác động trong tổ chức của bạn, đồng thời xem xét con người, quy trình và công nghệ của bạn. Tổ chức của bạn có thể tận dụng đánh giá này và kết quả của nó để giảm thiểu rủi ro bằng cách thu hẹp các lỗ hổng bảo mật mà bạn đã phát hiện ở bước ba. Cũng như vấn đề tuân thủ, có các khung đánh giá rủi ro và công cụ đánh giá rủi ro để giúp tổ chức của bạn tiến hành đánh giá rủi ro và quản lý rủi ro tốt hơn, bao gồm cả những công cụ do Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và Trung tâm An ninh Internet (CIS) cung cấp.
Thu hút các bên liên quan của bạn
An ninh mạng là trách nhiệm của mỗi cá nhân. Khi triển khai các khung tuân thủ, bạn cần phải thu hút C-Suite của mình và các bên liên quan khác để đảm bảo tính minh bạch và thông tin liên lạc đầy đủ về các lỗ hổng bảo mật và rủi ro của tổ chức của bạn. Các bên liên quan của bạn sẽ có rất nhiều thông tin đầu vào về mức độ rủi ro mà họ sẵn sàng chấp nhận và những khoảng trống pháp lý mà họ cho là có thể chấp nhận được để doanh nghiệp gánh vác.
Thành lập nhóm tuân thủ của bạn
Không có gì ngạc nhiên khi ngành an ninh mạng đang phải đối mặt với tình trạng thiếu kỹ năng. Điều đó hoàn toàn đúng khi nói đến vấn đề tuân thủ — chỉ 32% tổ chức có một nhóm bao gồm nhiều cá nhân tận tâm đảm bảo việc tuân thủ được đáp ứng. Việc có các cá nhân tận tâm tuân thủ không chỉ giúp triển khai và bảo trì mà còn tăng cường niềm tin vào tổ chức rằng họ vừa tuân thủ vừa an toàn.
Ánh xạ Khung bảo mật của bạn tới các Khung tuân thủ cụ thể
Bây giờ bạn đã có một chương trình bảo mật chức năng dựa trên một khuôn khổ đo lường rủi ro trong toàn tổ chức, đã đến lúc ánh xạ khuôn khổ đó với các quy định, yêu cầu và luật tuân thủ. Rất nhiều quy định nêu cụ thể những dữ liệu nào họ muốn bảo vệ và điều quan trọng là phải biết tài sản và dữ liệu nào thuộc quy định và khuôn khổ nào. Điều quan trọng nữa là phải xem xét quyền tài phán của bạn và xác định bất kỳ yêu cầu hoặc quy định cụ thể hoặc duy nhất nào không chỉ đối với ngành mà doanh nghiệp của bạn tham gia mà còn cả nơi bạn đang kinh doanh.
Thông tin liên hệ:
Công ty CP ĐT&HL Phát Triển Doanh Nghiệp TC
Địa chỉ: Nhà 15 đường 5, CityLand Park Hill, P.10, Gò Vấp, TP.HCM
Văn phòng: 745 Nguyễn Kiệm, Phường 3, Quận Gò Vấp
Fanpage: www.facebook.com/ChuyendoisoDoanhNghiepToandien
Hotline: 1900 2929 44 (Phím 3) – 0868773939
Email: sales@tcgroup.edu.vn