قوانین امنیت سایبری: چگونه یک رهبر سایبری باهوش باشیم
قوانین امنیت سایبری: من به عنوان یک متخصص امنیت کهنه کار، میتوانم تصدیق کنم که امنیت سایبری و چشمانداز امنیت اطلاعات در بیش از 30 سال گذشته به طرز چشمگیری تکامل یافته است. در ابتدای کار من در فناوری اطلاعات، توانایی بازیابی اطلاعات از هارد دیسک تازه در حال امکان پذیر شدن بود، و اولین ویروس های کامپیوتری گاهی اوقات مشکل ساز بودند، اما اغلب بیش از هر چیز دیگری آزاردهنده بودند.
چشمانداز امنیت سایبری در طول زمان تغییر کرده است، اما مانند همه مجموعههای دانش مبتنی بر فناوری، اکنون در وضعیت تکامل دائمی با بازیگران بد تکنیکها و ابزارها است، برعکس، دفاع سایبری در حال تطبیق برای مقابله با تهدیدات جدید است. بخشی از این تکامل سایبری شامل قوانین امنیت سایبری است که به منظور کمک به محافظت در برابر انواع مختلف تهدیدات سایبری موجود است.
بر اساس کنفرانس تجارت و توسعه سازمان ملل متحد (UNCTAD)، 80 درصد از کشورهای جهان آنچه را که UNCTAD از آن به عنوان “قانون جرایم سایبری” یاد می کند، با 5٪ دیگر از کشورها دارای پیش نویس قانون هستند. اکنون، این شمارش توسط UNCTAD با شامل قوانین نوع تجارت الکترونیک، حفاظت از مصرف کننده، حریم خصوصی و حفاظت از داده ها، و جرایم سایبری کاملاً جامع است، اما بدیهی است که همه این قوانین مربوط به یک متخصص امنیت سایبری است.
رهبری کسب و کار باید حداقل از این که چگونه این قوانین مختلف امنیت سایبری ممکن است بر سازمان تأثیر بگذارد آگاه باشد. بر اساس شمارش UNCTAD، بیش از چند صد قانون امنیت سایبری در سرتاسر جهان وجود دارد، و علاوه بر این، بسیاری از ما در امنیت سایبری باید از برخی استانداردها و چارچوبهای تنظیمشده آگاه باشیم و از آن پیروی کنیم (مانند ISO/IEC 27001، NIST، SOC، PCI-DSS، و غیره).
مطالعه پیشنهادی: اخذ گواهینامه ایزو 27001
چگونه می توانید با این همه اطلاعات همراه باشید؟
چند نکته وجود دارد که به هر متخصص امنیت یا حفظ حریم خصوصی کمک می کند تا در دریای الزامات انطباق در آنجا قدم بزند. اولاً، تعریف سریع انطباق قانونی در مقابل مقررات، همانطور که من می بینم: قوانین مشابه قوانین هستند، زیرا الزاماتی هستند که توسط دولت ها برای اعمال به شهروندان خود یا در داخل مرزهای آنها تعریف و تأیید می شوند، در حالی که مقررات الزاماتی هستند که معمولاً تعریف می شوند. توسط یک صنعت یا نهاد عمل.
نمونه ای از قوانین امنیت سایبری چیزی مانند GDPR یا قانون امنیت سایبری سنگاپور (CSA) است. نمونههایی از انواع مقررات انطباق ممکن است الزام رایجتر در قرعهکشی و بازیها برای صدور گواهینامه بر اساس ISO/IEC 27001 یا الزام شورای PCI برای سازمانهایی که تراکنشهای کارت پرداخت را پردازش میکنند برای مطابقت با PCI-DSS باشد.
علیرغم وجود برخی معناشناسی در اینجا بین قوانین امنیت سایبری و مقررات امنیت سایبری، من معتقدم که اکثر متخصصان امنیت سایبری زمانی که در حال بررسی مواردی هستند که برای سازمان خود قابل اجرا است، زمان لازم را برای تمایز قائل نیستند.
زمانی که به عنوان CISO یا vCISO کار میکردم، در روزهای اولیه کارم، هدف من این بود که همیشه فهرستی از قوانین امنیت سایبری قابل اجرا (از جمله الزامات انطباق با مقررات) را برای سازمان دریافت کنم. هنگامی که متوجه شدم چه چیزی قابل اجرا است، می توانم شروع به ایجاد یک نقشه راه امنیتی برای موارد زیر کنم:
- انطباق را اجرا کنید
- انطباق را اندازه گیری کنید
- انطباق را گزارش دهید
- با رعایت انطباق بهبود یابد
با ترسیم الزامات مختلف انطباق، من همچنین میتوانم به دنبال وجوه مشترک بین قوانین مختلف بگردم و از این رو، یک بار انطباق را برای رسیدگی به بسیاری از الزامات قوانین یا مقررات اعمال کنم. اگر خودتان از ابتدا شروع کنید، این می تواند یک کار دلهره آور باشد، اما ابزارهای رایگانی وجود دارد که به شما کمک می کند این کار را انجام دهید، به عنوان مثال: NIST چارچوب SP 800-53 خود را در یک صفحه گسترده (به نام صفحه گسترده کاتالوگ کنترل آنها) و سازمان ها منتشر می کند.
مانند Cloud Security Alliance چارچوب کنترلی خود را در قالب صفحه گسترده نیز منتشر می کند، اما با چارچوب ها و استانداردهای دیگر، مانند ISO/IEC 27001 نگاشت شده است.
با استفاده از این صفحات گسترده از قبل ساخته شده، می توانید تمرین نقشه برداری خود را شروع کنید. اکنون، ابزارهای تجاری نیز وجود دارد که به شما کمک می کند تا در برخی از این چشم انداز پیمایش کنید، اما بسیاری از آنها قوانین حفظ حریم خصوصی را شامل نمی شوند، بنابراین مطمئن شوید که ابزاری را انتخاب می کنید که حاوی محتوای مورد نیاز شما باشد (زیرا، در غیر این صورت، احتمالاً می توانید خود را بسازید. صفحه گسترده خود را به همان اندازه کارآمد و با پول بسیار کمتری در اختیار داشته باشید.
منابع آنلاین رایگان مانند مواردی که قبلاً نام بردم، unctad.org، می توانند به شما کمک کنند تا قوانینی را که برای سازمان شما اعمال می شود شروع کنید، اما توجه داشته باشید که برخی از قوانین به گونه ای تکامل یافته اند که برای داده های شهروندان خود قابل اجرا هستند، صرف نظر از جایی که داده ها به پایان می رسد به عنوان مثال، قانون سپر نیویورک و قانون حمایت از مصرف کننده کالیفرنیا (CCPA) هر دو قوانین حفظ حریم خصوصی دولت در سطح ایالت ایالات متحده هستند، اما اگر سازمان شما، برای مثال، در بریتانیا مستقر است و داده های مشتری ایالات متحده را برای شهروندان نیو دارد.
ایالت یورک یا کالیفرنیا، پس آن قوانین در سطح ایالت می تواند برای شما اعمال شود. مهم است که الزامات انطباق خود را در نظر بگیرید و اطمینان حاصل کنید که نقشه های انطباق خود را تکمیل کرده اید.
خوشبختانه، اشتراکات بسیاری در بین قوانین مختلف در سراسر جهان وجود دارد و ما می توانیم این را به وضوح با استفاده از دو سه گانه امنیتی، که بسیاری از ما در مطالعه خود در مورد استاندارد امنیت سایبری اصلی ISO/IEC آموخته ایم، مشاهده کنیم: ISO/IEC 27001. سه گانه محرمانه، یکپارچگی و در دسترس بودن (CIA) و سه گانه افراد، فرآیند و فناوری (PPT) هر دو می توانند به عنوان لنزهایی برای تمرکز دیدگاه شما نسبت به انبوهی از قوانین امنیت سایبری در جهان استفاده شوند.
با توجه به امنیت سایبری، شما همیشه به دنبال محافظت از داده ها یا دارایی ها با استفاده از هر دوی این سه گانه هستید، همین امر در مورد حفاظت از حریم خصوصی داده ها نیز صدق می کند. علاوه بر این، قانون حفظ حریم خصوصی داده ها دارای برخی از مشترکات است، برای شروع: رضایت، استفاده، افشا و اصلاح برخی از اصول رایج حریم خصوصی داده ها هستند. بهعنوان یک رهبر یا تأثیرگذار امنیت سایبری، اگر این اصول اصلی امنیتی را در ذهن داشته باشید و بهعنوان مواد اساسی برای برنامههای امنیتی خود حفظ کنید، به نظر من، بهتر میتوانید قوانین امنیت سایبری را در محدوده سازمان خود دنبال کنید.
اگر یک رهبر یا تأثیرگذار امنیت سایبری نباشید و بخواهید راهنمایی های امنیتی مرتبطی را برای مخاطبان غیر امنیت سایبری ارائه دهید، چه؟
زمانی که من با مدیریت ارشد یا حتی در سطح هیئت مدیره ارتباط برقرار می کنم، بحث امنیت سایبری را در چارچوب کسب و کار به این صورت تنظیم می کنم:
- تبدیل اطلاعات فنی یا امنیت سایبری خاص به زبانی که تهدید واقعی برای سازمان چگونه به نظر می رسد (به عنوان مثال، باج افزار می تواند باعث از دست دادن دسترسی به دارایی ها شود، بنابراین در هر مورد چه هزینه ای برای کسب و کار خواهد داشت؟ به جای توصیف باج افزار و نحوه انجام آن؟ مبارزه شده)
- اجتناب از رویکرد ترس، عدم اطمینان، شک (FUD) (به عنوان مثال، باج افزار همه جا وجود دارد و بدتر می شود و اگر به ما برخورد کند همه چیز را از دست خواهیم داد!). FUD شبیه افسانه جوجه کوچولو است که می گفت آسمان دائما در حال سقوط است تا زمانی که دیگر کسی به آن گوش ندهد.
اگر یک چیز باشد که این بیماری همه گیر جهانی به ما آموخته است، این است که مهم نیست که وضعیت در حال حاضر چقدر بد است یا می تواند بد شود، همه ما از دادن چیزی جز اخبار منفی خسته می شویم. به عنوان بزرگسالان مسئول یا متخصصان مسئول امنیت سایبری، نمیتوانیم واقعیت را نادیده بگیریم و وانمود کنیم که همه چیز خوب است، زیرا هیچ چیز حل نمیشود و به طور بالقوه اوضاع را بدتر میکند.
ما هر کاری که از دستمان بر می آید برای کمک به وضعیت انجام می دهیم و این نوع بحث راه حل محور راهی عالی برای پیشبرد برنامه امنیت سایبری شما است. با توجه به قوانین امنیت سایبری به طور خاص، جستجوی راههایی برای عملی کردن قوانین قابل اجرا برای سازمان شما میتواند انطباق را کاربردیتر کند، بهعنوان مثال، با واداشتن تیمهای عملیاتی به مستندسازی فرآیندها و رویههای خود به عنوان بخشی از از انطباق، اکنون می توانید به اطلاعات مستندی که در دسترس هر کسی که در هر زمان به آن نیاز دارد، تکیه کنید).