با توجه به اینکه حملات سایبری مرتباً سرفصل اخبار را به خود اختصاص داده اند، فشار فزاینده ای بر تنظیم کننده ها برای ریشه کن کردن سازمان هایی که به تعهدات خود برای محافظت از داده ها عمل نمی کنند، وجود دارد. برای ایمن ماندن و اجتناب از اقدامات نظارتی امنیت شبکه، سازمانها باید قوانین و مقرراتی را که در مورد سازمانشان اعمال میشود شناسایی کرده و اقداماتی را برای برآورده کردن الزامات آنها انجام دهند. اینکه چقدر کار باید انجام دهید به سطح فعلی انطباق شما بستگی دارد، بنابراین باید هر پروژه انطباق را با تجزیه و تحلیل شکاف شروع کنید.
برای ارائه ایده ای از مراحلی که باید انجام دهید، چند نکته کلیدی را در مورد مهمترین قوانین امنیت اطلاعات بیان کرده ایم:
قانون رشوه 2010
سازمانها باید ثابت کنند که فرآیندهایی را برای جلوگیری از رشوه در نظر گرفتهاند. این امر حول مجموعهای از سیاستهایی است که رشوه و موقعیت سازمان را در مورد هدایا، مهماننوازی، هزینهها و کمکهای خیریه تعریف میکند.
آنها همچنین نیاز به انجام ارزیابی منظم ریسک برای شناسایی منابع بالقوه رشوه، و کاهش این خطرات با کنترل های مناسب دارند.
مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR)
GDPR از 25 مه 2018 جایگزین قانون حفاظت از داده ها (DPA) می شود. سازمانهایی که الزامات مقررات را برآورده میکنند نیز از DPA تبعیت میکنند.
همچنین بسیاری از الزامات جدید برای برآورده کردن وجود دارد. این شامل بررسی روش جمعآوری و ذخیره اطلاعات، رسیدگی به روش اعلان نقض دادهها، اتخاذ رویکرد حریم خصوصی به طراحی و انجام ارزیابیهای منظم تأثیر حفاظت از دادهها است.
قانون آزادی اطلاعات 2000
هر کسی حق دارد از یک مقام دولتی اطلاعات درخواست کند. سازمان ها 20 روز فرصت دارند تا به متقاضی اطلاع دهند که آیا اطلاعاتی را که در محدوده درخواست آنها قرار دارد در اختیار دارند یا خیر و آن اطلاعات را در اختیار آنها قرار دهند.
دفتر کمیسر اطلاعات توصیه میکند که سازمانها بیشتر درخواستها را بهعنوان درخواستهای عادی مشتری در نظر بگیرند. مفاد این قانون تنها در صورتی لازم است که شما نتوانید اطلاعات درخواستی را فوراً ارائه دهید یا درخواست کننده به صراحت بگوید که انتظار پاسخ را بر اساس قانون دارد.
مقررات حریم خصوصی و ارتباطات الکترونیکی (PECR)
PECR قوانین خاصی را در مورد ارتباطات، کوکی ها و حفظ حریم خصوصی مشتری ترسیم می کند. سازمانها باید اقدامات امنیتی خود را ممیزی انجام دهند تا مطمئن شوند که خطمشیها و رویههای مؤثری را در دست اجرا دارند و از آنها پیروی میکنند.
وقتی نوبت به کوکی ها می رسد، ICO رویکردی ساده برای انطباق دارد. برای جلوگیری از اقدامات نظارتی، سازمان ها باید به بازدیدکنندگان سایت خود اطلاع دهند که سایت از کوکی ها استفاده می کند و رضایت آنها را برای این کار جلب کنند.
عدم اعتماد به نهادهای مجری قانون
در پاسخ به این، دکتر یوهانس اولریچ، یکی از همکاران موسسه SANS، گفت که شرکتها معمولاً به سازمانهای مجری قانون اعتماد ندارند تا به سرعت کافی به آنها کمک کنند. «مردم برای باجافزار به همان دلیلی که در آدمربایی باج میپردازند، پول میپردازند: آنها معتقد نیستند که اجرای قانون در مقابله با تهدید سریع کارآمد باشد. برای اینکه مجری قانون به قربانیان باج افزار مرتبط شود، مجری قانون باید نقش فعالی در کمک به قربانیان برای بازیابی عملیات داشته باشد.
حملات باج افزار را می توان شکست داد
انجام اقدامات احتیاطی ساده برای محافظت از اطلاعات خود و حفظ هوشیاری بهترین راه برای جلوگیری از قربانی شدن در حملات باج افزار است. پشتیبان شبکه کامپیوتر باید به صورت دقیق مراقب شبکه بوده و تمام فعالیت ها را بررسی کند. حفظ امنیت شبکه از اهمیت بالایی برخوردار است.
از این موضوع می توان درس های ساده ای گرفت. مهمترین چیز این است که از خطرات سایبری خود آگاه باشید و سپس اقدامات مناسب برای کاهش آنها انجام دهید.
ارزیابی ریسک یک فعالیت اساسی برای هر شرکتی است که به دنبال بهبود امنیت و وضعیت ریسک خود است.
نرم افزارهای معتبر ارزیابی ریسک روشی موثر برای شرکت ها برای انجام ارزیابی ریسک مولد ارائه می دهد.
منبع : پیشگام رایانه