关注我们,学习更多隐私合规讯息
随着针对企业和其他组织的网络攻击逐年增加,全球各国政府都在制定影响首席信息官的网络安全法规。
麻省理工学院信息技术教授斯图尔特·马德尼克 (Stuart Madnick) 表示,从 2022 年到 2023 年,麻省理工学院的数据泄露事件增加了 20%,并且正在遵守 170 多项规定企业网络安全要求的法规。 Madnick 在 2024 年麻省理工学院斯隆商学院 CIO 研讨会上发表讲话。
首场隐私保护公开课开始啦!
扫码即可立即学习
电脑端观看:http://navo.top/YJFBfq
01
网络安全法规来源于多个实体
网络安全法规源自美国多个实体,包括白宫、国会、36 个州政府、联邦贸易委员会和证券交易委员会 (SEC),以及其他国家的政府实体。 Madnick 说,大多数法规都会影响 IT 系统。
法规通常不关注单一问题。事实上,在评估网络安全法规时,麦德尼克表示,这些规则始终要求公司实施至少 18 项要求。这些可以作为首席信息官了解合规性并为网络威胁做好准备的蓝图。
中国需要首席信息官吗?GDPR对中国合规有何联系?一起来了解数据合规的发展趋势
“其中许多法规涵盖多个领域,”麦德尼克说。违反这些规定可能会受到严厉的公开和经济处罚。”
02
5 大网络安全监管要求
Madnick 表示,虽然网络安全法规在多个领域存在重叠,但有五项要求对首席信息官尤其有影响。
1) 软件物料清单
Madnick 说,软件物料清单 ( SBOM ) 是各种产品中使用的组件的综合清单。《2023 财年国防授权法》等立法规定,任何与国防部或能源部合作的企业都必须为每份新合同提供此类清单。在欧洲,《网络安全法》也提出了类似的要求。
Madnick 引用了Log4j 的情况作为 SBOM 列表如何发挥作用的示例。Log4j 是一个嵌入式开源软件组件,被发现存在多个漏洞,导致广泛的网络攻击。
鉴于这些漏洞,首席信息官和企业领导者被迫破译他们的系统,以确定 Log4j 是否嵌入到他们的软件产品的各个层中。
“许多公司不知道他们拥有它,因为他们个人从未购买过 Log4j,”Madnick 说。“例如,他们购买的是一个会计系统,但他们没有意识到这些会计系统的开发人员已经安装了 Log4j 作为其组件的一部分。”
2) 设计安全
设计安全意味着在产品设计过程开始时实施网络安全措施,而不是在最后添加这些措施,麦尼克表示,这对于不以这种方式运营的企业来说是一个重大挑战。
但《加州物联网法案》等网络安全法规要求设备制造商在整个产品设计中实施合理的安全功能。
学习CIPT课程,学习安全软件产品、流程和服务的开发、保护数据免受任何损害所需的技能以及使用新技术确保客户隐私的专业知识。
马德尼克表示,从长远来看,从一开始就考虑网络安全将有助于保护企业,不仅避免违反法规,而且避免日后出现其他问题。
“事后采取行动并不总是那么容易,”他说。“在某些情况下,它几乎需要你拆卸并重新设计整个产品。”
3) 禁止支付勒索软件
当网络攻击者锁定或窃取公司的数据并要求付款才能归还或解锁数据时,就会发生勒索软件攻击。
然而,麦德尼克表示,包括北卡罗来纳州在内的多个美国州法规禁止企业支付勒索软件要求,以阻止勒索软件攻击,使攻击者无利可图。
一些企业将赎金支付纳入公司政策中,或与保险公司协商以确定是否涵盖勒索软件攻击,但 Madnick 表示,首席信息官需要考虑“您的公司政策是什么”以及“您的公司政策与各种法规有何关系”那里。”
4)数据治理
CIO必须关注数据规则,包括可以收集哪些数据、可以保存多长时间以及如何保护数据。美国多个州已通过数据隐私法律,GDPR是欧盟的主要数据治理立法。
如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
“数据治理存在一系列问题,”麦德尼克说。他补充说,保护数据是每家公司的一个重要问题。
5) 事故报告
麦德尼克说,所需的网络安全事件报告对于大多数企业来说是一个新的发展。直到最近,除非网络安全事件涉及泄露个人信息,否则这还不是一项要求。他表示,事件报告是“监管非常活跃的领域”。
例如,美国证券交易委员会的新网络安全规则要求企业在事件发生后四天内报告对公司财务状况或业务运营产生重大影响的网络安全事件。
Makenzie Holland 是一位报道大型科技和联邦监管的资深新闻撰稿人。在加入 TechTargetEditor 之前,她曾担任Wilmington StarNews的总任务记者和Wabash Plain Dealer的犯罪和教育记者。
文章来源于www.techtarget.com,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
最新直播预约
分享内容:
IAPP协会及CIPP/US证书介绍
数据泄露应急通知法知多少?
数据安全防护法安全吗?
数据销毁执行法彻底吗?
CIPP/US“闯关”实用技巧分享
特邀嘉宾: JODI
超十年数据合规工作经验
CIPM/CIPPE持证者
Fellow of Information Privacy(FIP)
直播时间:
北京时间:5月24日(周五)下午19:30-21:00
直播间福利:
最低至8折优惠
法律、合规类课程全套考试备考指南
预约前10名可获涉外法律英语免费体验课程,还可享受旗下指定指定课程套餐
更多神秘大礼包,请添加:隐小私(yinxiaosi00),立即激活!
扫码预约直播
电脑端观看:http://navo.top/YJFBfq
更多课程/直播疑惑,扫描下方二维码解答 或+yinxiaosi00
往期直播回顾
扫码即可立即学习
电脑端观看:http://navo.top/eQvUfi
扫码即可立即学习
电脑端观看:http://navo.top/VRru6z
扫码即可立即学习
电脑端观看:http://navo.top/yYJRFn
更/多/GDPR/文章
学员经验
往/期/回/顾
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享