在制定企业网络弹性计划时,隐私问题可能不是首先想到的问题。然而,你应该期待他们会获得关注。从长远来看,请考虑一下NIST 隐私框架是一个相对较新的工具,于 2020 年 1 月才首次部署。
即使 ISO 也只是在 2019 年 8 月发布了新的独立标准。作为 27000 系列的一部分,ISO/IEC 27701:2019 “规定了建立、实施、维护和持续改进隐私信息管理系统 (PIMS) 的要求并提供了指导”。ISO/IEC 27001 和 ISO/IEC 27002 的扩展形式,用于组织范围内的隐私管理。”
现在明白了:负责其开发的技术团队称为 ISO/IEC JTC 1/SC 27信息安全、网络安全和隐私保护(强调是后加的)。
让我们进一步强调与网络安全弹性的联系。想知道 NIST 做了什么吗?他们开发了一个非常方便的人行横道工具,将控制从隐私框架映射到网络安全框架,反之亦然。
因此,网络安全和隐私这两个问题之间的相互作用确实引出了一个问题:强大的网络安全计划是否始于强大的隐私计划?
看看突然间隐私问题如何与您的整体弹性联系起来?特别是在某些领域,隐私问题可能会真正考验您的组织。牢记声誉、披露、合规性和财务成本。
你的声誉值多少钱?
八卦、谣言,是的,甚至合法的公告和新闻都以创纪录的速度传遍世界。快速管理声誉对于组织的网络弹性至关重要。很大程度上得益于社交媒体,负面报道可能会对声誉和品牌造成重大损害。它甚至可能在几分钟内发生。
是的,几分钟。
作为一家上市公司,可能会看到市值大幅下跌。想一想。交易不再是关于息税折旧摊销前利润(EBITA)、市净率或季度收益等“无聊”的事情。它变得更加投机,充满了情感色彩。
那么,与隐私的联系是什么?好吧,如果我们仍然情绪激动,坦率地说,人们会非常认真地对待他们的个人身份信息 (PII)。这是一种情绪反应,引发接下来发生的事情,不一定是经过深思熟虑的深思熟虑的行动方针。
保持客户的信任
请记住,无论违规行为变得多么普遍,或者公众对这些违规行为的发生的认识不断增强,没有什么比花时间设置信用警报、追查可能的欺诈行为并生活在这种感觉中更让人们感到沮丧的了。以某种方式违反了。客户和组织之间的“合同”或纽带破裂了。
如果认为失去部分客户群不会影响组织的网络弹性,我有一袋豆子可以卖给您,但不包括魔法。
将隐私、安全和声誉联系在一起的一个观点是一个无形的问题:您的组织的商誉。这对你来说值多少钱?
我可以向您做出承诺:如果您的客户不再有信心或有信心与您开展业务,那么启动您的应用程序、启动新实例、加载备份以及启动并运行所有事务功能都毫无意义。你已经达到了胸围。卡普特。结束。
这就是隐私对网络弹性至关重要的原因之一:它密切关注隐藏成本。
在网络弹性方面,时间不是你的朋友
现在让我们来看看几个具体问题:披露和合规性。或者,换句话说,时间和金钱。如果您一直关注美国证券交易委员会 (SEC) 在网络安全披露方面的动态,那么该信息非常直白:提供与违规行为相关的及时且高质量的披露。更重要的是,您的危机沟通计划需要与外部机构建立密切的合作伙伴关系。
可以这样想:在危机情况下,您希望尽可能多地传达信息,因为这是您的控制杠杆之一。如果其他人传递信息(或者敲你的门询问为什么你没有及时透露),你就输了,你正在寻找挫伤。
让我们看一下隐私泄露场景的一部分:
- 组织遭到破坏并且 PII 已被泄露的消息(谁在乎是如何发生的,或者是否属实)。
- 这些信息会发布到社交媒体上,一些主要新闻机构或安全影响者会报道并放大它。
- 人们每天都开始消化新闻并开始担心(例如,他们的信息是否暴露?)。
- 其他利益相关者,即股东,开始恐慌,因为有抛售发生的迹象。
- 董事会正在打电话以遏制这场迫在眉睫的灾难。
看看进展如何?我们甚至还没有参加 SEC 的“咳咳”电话会议!
这是一个极端的例子吧?也许是的。但这里发生了更大的事情:如果你没有为极端做好计划和准备,那么你也可能是在假装。
网络弹性:乘风破浪
您是否注意到网络安全问题变得越来越难以管理而不是更容易?也许您已经注意到违规行为的成本也变得越来越高?让我们快速总结一下IBM 2021 年数据泄露报告:
- 17年来最高的平均成本
- 远程工作增加成本
- 凭证泄露是违规的主要来源
- 安全人工智能具有最大的成本降低效果
- 零信任方法有助于降低成本
- 云迁移影响了成本控制。
好吧,那么这与隐私有什么关系呢?它会对组织弹性产生什么影响?
很简单:隐私既是放大器,又是沉睡的巨人。这就是为什么需要为极端事件做好准备。当您失去所有客户群的信心和信心时会发生什么?您也许能够承受罚款、处罚、缩短的运营时间甚至重建成本。
但名誉上的打击呢?也许不是。尽你所能确保你和客户之间的不言而喻的契约不被破坏:保护他们的隐私。
接下来,将探讨设计安全性。或者正如我喜欢称呼它的那样:在构建它的同时打破它。
