How to Effectively Manage Data Breach Risks from Third-Parties

Keywords : data breachdata breach,featurefeature,SecuritySecurity

2018 में यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) के लॉन्च के बाद, विनियमन द्वारा शासित कॉर्पोरेट कानूनी टीमों ने अनुपालन करने के प्रयास में एक मिश्रित बैग का अनुभव किया है। उदाहरण के लिए, एक सर्वेक्षण से संकेत मिलता है कि जीडीपीआर-प्रासंगिक कंपनियां अपने डेटा के लिए उपभोक्ता अनुरोधों को संबोधित करने में विफल रही हैं- नए गोपनीयता नियमों की एक प्रमुख विशेषता- आवश्यक एक महीने के समय सीमा के भीतर, और एक और 80% कंपनियां शोक करती हैं कि जीडीपीआर कार्यान्वयन अन्य गोपनीयता या सुरक्षा आवश्यकताओं की तुलना में अधिक कठिन था।

इस बीच, अमेरिका के प्रमुख डेटा गोपनीयता कानून, कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (सीसीपीए), 1 जुलाई को पूर्ण प्रभाव में जाने के लिए तैयार है-और मुख्य कानूनी अधिकारियों की बढ़ती संख्या (60%) कहती है कि डेटा गोपनीयता उनके संगठन के लिए सबसे बड़ी कानूनी चुनौती है।

लेकिन, जैसा कि कुछ कंपनियां ढूंढ रही हैं, डेटा गोपनीयता नियमों के अनुपालन अक्सर उपभोक्ता अधिकार प्रावधानों से परे फैले हुए हैं जो सबसे अधिक ध्यान प्राप्त करते हैं। इस साल की शुरुआत में, ऑनलाइन खुदरा विक्रेता हन्ना एंडर्सन ने अपने तीसरे पक्ष के ई-कॉमर्स पार्टनर सेल्सफोर्स के माध्यम से डेटा ब्रेक का सामना किया था। क्लास-एक्शन मुकदमा जिसके परिणामस्वरूप सीसीपीए के डेटा उल्लंघनों के प्रावधानों के तहत पहला है, जो प्रति डेटा विषय $ 750 तक की हानि रखता है; हन्ना एंडर्सन ने अनुमान लगाया कि 10,000 तक का उल्लंघन उल्लंघन से प्रभावित हो सकता है।

क्यों विक्रेता अक्सर 'छिपे हुए जोखिम' होते हैं




यह देखना मुश्किल नहीं है कि सीसीपीए (या जीडीपीआर, जो 20 मिलियन यूरो तक की जुर्माना, या वार्षिक राजस्व का 4%) के वित्तीय प्रभाव का वित्तीय प्रभाव किसी भी व्यवसाय के लिए एक अस्थिर जोखिम बन सकता है। लेकिन हन्ना एंडर्सन केस विशेष नहीं थे: मार्च में, जनरल इलेक्ट्रिक को कैनन बिजनेस सहायक कंपनी के माध्यम से डेटा ब्रेक का सामना करना पड़ा। टी-मोबाइल को मार्च में तीसरे पक्ष के ईमेल विक्रेता से उत्पन्न होने का भी सामना करना पड़ा।

वास्तव में, कुछ अनुमानों से, संगठन प्रत्यक्ष से अप्रत्यक्ष डेटा उल्लंघन का खतरा अधिक हो सकता है; एक पोनीमॉन इंस्टीट्यूट के अध्ययन में पाया गया कि 61% कंपनियों ने सर्वेक्षण किया कि उन्होंने तीसरे पक्ष के साइबर सुरक्षा के कारण डेटा उल्लंघन का अनुभव किया था। इससे भी बदतर: 66% कंपनियों को भंग कर दिया गया था, इसमें एक सूची नहीं थी जिसमें विक्रेताओं और अन्य तृतीय पक्षों के पास उनके डेटा तक पहुंच थी।

कॉर्पोरेट वकील (एसीसी) के एसोसिएशन में वीपी और मुख्य कानूनी अधिकारी सुसान मैकडॉनल्ड्स, इस डेटा को कई साल पहले नहीं थे जब उन्हें यह महसूस करना शुरू हुआ कि संवेदनशील संगठनात्मक डेटा तक तीसरी पार्टी पहुंच कई लोगों के लिए बढ़ती चिंता थी वैश्विक निगम।

"उन चीजों में से एक जो मुझे अपनी टीम को तनाव देना पड़ा था, वह तीसरे पक्ष को एक अलग, समग्र तरीके से देखना था," सुसान कहते हैं। "शायद हम एक तृतीय-पक्ष डेटाबेस सिस्टम का उपयोग कर रहे हैं- यह एक प्रकार का तीसरा पक्ष है। लेकिन फिर हम अन्य सेवाओं के लिए हमारी सेवाओं के कुछ पहलुओं को भी आउटसोर्स करते हैं, जो एक और प्रकार की तीसरी पार्टी है। तो आपको यह निर्धारित करने के लिए कई पंक्तियों के साथ सोचना होगा कि आप डेटा साझा कर रहे हैं और संग्रहीत कर रहे हैं, और विक्रेताओं के साथ, जो आपके संगठन के संवेदनशील क्षेत्रों तक पहुंच है। "

2019 के आंकड़े तीसरे पक्ष के डेटा उल्लंघनों के लिए एक चौंकाने वाला वर्ष इंगित करते हैं: रिकॉर्ड की संख्या 273% साल-दर-साल 4.8 अरब तक उजागर हुई। औसतन, प्रत्येक तृतीय-पक्ष डेटा उल्लंघन के दौरान 13 मिलियन रिकॉर्ड्स का खुलासा किया गया था, जिससे इसे आसानी से रिकॉर्ड पर सबसे खराब वर्ष मिल गया।

शायद बदतर, एक तीसरे पक्ष के उल्लंघन लागत, औसतन, एक सामान्य उल्लंघन के रूप में दोगुना। ब्रांड प्रतिष्ठा के प्रभाव को ध्यान में रखते हुए, व्यवसाय में हानि, और स्टॉक शेयर मूल्य में संभावित कमी, प्रभावी ढंग से जीतने और तीसरे पक्ष का मूल्यांकन करने की कुल लागत लगभग 13 मिलियन डॉलर की जाती है। घटना और उल्लंघन अधिसूचना के लिए निरंतर नियामक आवश्यकताएं भी हैं- उन कई कंपनियों के लिए नियमों और सिरदर्द के एक पूरी तरह से अलग सेट जिनके पास उन नियमों का अनुपालन करने में सहायता के लिए तकनीक और स्वचालित प्रक्रियाएं नहीं हैं।

"देखकर कि आपके विक्रेताओं को क्या पहुंच है, वह आपकी आंखों को बहुत कुछ खोलने के लिए खुल जाएगी जो वहां पर जा रही है। विक्रेता जोखिम के 'ब्लैक बॉक्स' को खोलना

जोखिम के स्तर को निर्धारित करने में सहायता के लिए किसी भी संगठन को सामान्य गोपनीयता और सूचना सुरक्षा अधिकारियों के साथ सामान्य सलाहकार और मुख्य कानूनी अधिकारियों के संपर्क में आने के लिए - निम्नलिखित पांच प्रश्नों के उत्तर को उजागर करना चाहिए:
हमारे विक्रेता कौन हैं?
कौन से लोग हमारे डेटा को छूते हैं?
उनके पास किस विशिष्ट डेटा तक पहुंच है?
कौन से विक्रेता गोपनीयता नियमों के लिए प्रासंगिक हैं?
वे हमारे डेटा की रक्षा कैसे कर रहे हैं?

क्योंकि विक्रेता जोखिम कभी-कभी एक विचारधारा होता है, संगठन अक्सर अपने विक्रेताओं की अद्यतित सूची नहीं रखते हैं। लेकिन यह आपके संगठन के लिए मौजूद जोखिमों के "ब्लैक बॉक्स" को खोलने में एक महत्वपूर्ण कदम है- चाहे बाहरी नियामक नियमों या आंतरिक व्यावसायिक आवश्यकताओं के माध्यम से।

"ये [नियामक] योजनाएं अविश्वसनीय हैंLy जटिल है, "मैकडॉनल्ड्स कहते हैं। "उन योजनाओं की विविधता जो हमें अनुपालन करने के लिए अविश्वसनीय रूप से जटिल हैं। आपके पास दर्जनों हैं, यदि सैकड़ों विक्रेता नहीं हैं जिन्हें आपको मूल्यांकन करने की आवश्यकता है। और यह वास्तव में कठिन है कि जोखिम का एक स्वीकार्य स्तर क्या है। तो यह वास्तव में महत्वपूर्ण है कि आप एक पूर्ण-सर्कल समीक्षा करें कि आपका डेटा न केवल संग्रहीत किया जा रहा है बल्कि इसका उपयोग भी किया जा रहा है। "

विक्रेता जोखिम सेवाओं के लाभों को मापना



मैकडॉनल्ड्स का कहना है कि एसीसी ने कम से कम सालाना आधार पर अपने तीसरे पक्ष के नियमित मूल्यांकन की सिफारिश की है, आपकी व्यावसायिक जानकारी को कैसे प्रबंधित किया जा रहा है, इस में कमजोरियों का पर्दाफाश और पता लगाएं।

"जब हमने अपनी प्रक्रिया में विक्रेता जोखिम सेवा (वीआरएस) प्रणाली लागू की, तो हमने न केवल हमारी अनुबंध समीक्षा प्रक्रिया को ध्यान में रखा, बल्कि आरएफपी प्रक्रिया में वापस जाने के लिए चला गया।" "हमारे पास अंतिम उम्मीदवारों के लिए आरएफपी प्रक्रिया के दौरान कार्यान्वित वीआरएस प्रणाली है। और वीआरएस प्रक्रिया मैट्रिक्स के परिणामों के साथ-साथ समीक्षा करने के लिए एक प्रारंभिक अनुबंध भी शामिल करना होगा, इसलिए हम उस जानकारी पर विचार कर सकते हैं जब हम उस विक्रेता के लिए निर्णय लेते हैं जिसके साथ हम जा रहे हैं। "

सुसान कहते हैं कि इन परिवर्तनों ने उन्हें अपने विक्रेताओं में एक झलक दी है, और डेटा मैपिंग के लिए आवश्यक जानकारी की एक सूची प्रदान करने में मदद की- जो आखिरकार अपने विभाग में अन्य प्रक्रियाओं को सुव्यवस्थित करता है।

"क्या आप एक संपूर्ण आरएफपी के माध्यम से जाने की कल्पना कर सकते हैं, फिर अनुबंध प्राप्त कर सकते हैं और फिर गोपनीयता और सुरक्षा मुद्दों पर बातचीत करने की कोशिश कर सकते हैं, केवल यह पता लगाने के लिए कि वे आपकी आवश्यकताओं को विफल करते हैं? और यह मूल रूप से कई बार क्या होता है। "

रॉबर्ट ग्रोसवेनर, Alvarez% 26AMP में प्रबंध निदेशक; मार्सल (यूके), इस बात से सहमत हैं कि यह एक आंख खोलने वाला अनुभव है- लेकिन यह एक प्रक्रिया है जो संविदात्मक समझौते की शुरुआत में सबसे अच्छी तरह से प्रबंधित की जाती है।

"यह आपके जीडीपीआर या डेटा गोपनीयता अनुपालन यात्रा और परिपक्वता के स्तर को समझने के बारे में है," ग्रोसवेनर मई में एक एक्सटेरो वेबकास्ट के दौरान कहा गया। "वहां बहुत सारे अच्छे उपकरण हैं जो इसका समर्थन कर सकते हैं। लेकिन अगर आप समझ में नहीं आ रहे हैं कि आप क्या खरीद रहे हैं- जो सेवाएं आप अनुबंध में आगे बढ़ रहे हैं, वह डेटा जो उस के माध्यम से जुड़ा हुआ है-एक विक्रेता जोखिम मूल्यांकन को पीछे हटाना बहुत मुश्किल है। "

अपने संगठन की रक्षा करने के लिए, 'उचित' तीसरे पक्ष के सुरक्षा उपायों की तलाश करें


यह ध्यान रखना महत्वपूर्ण है कि अचूक सुरक्षा जैसी कोई चीज नहीं है। भले ही कोई कंपनी खर्च क्यों करती है, वे यह सुनिश्चित नहीं कर सकते कि डेटा का उल्लंघन नहीं किया जाएगा। इसलिए, अदालतें दोहराने योग्य, सुसंगत, और "उचित" सुरक्षा प्रक्रियाओं और उपायों की तलाश में हैं। क्या आपके पास मान्यता प्राप्त कानूनी ढांचे के आधार पर जोखिमों का मूल्यांकन करने के लिए एक सुसंगत, प्रलेखित प्रक्रिया है? यह गिरावट को कम करने में मदद करता है एक उल्लंघन होना चाहिए।

नियमों और उद्योग के अनुसार डेटा हटाना उचित प्रथा उचित सुरक्षा का एक महत्वपूर्ण पहलू है, क्योंकि यदि आप जानकारी संग्रहीत नहीं करते हैं, तो आपके विक्रेताओं को इसकी पहुंच नहीं होगी और आप इससे उल्लंघन नहीं कर सकते हैं । यह उचित सुरक्षा उपायों का एक मुख्य घटक है और संगठन द्वारा कुल नियंत्रण में है।

दूसरे शब्दों में, आपके पास डेटा का उल्लंघन नहीं किया जा सकता है। और विरासत डेटा को हटाने से हमेशा एक उल्लंघन होने पर एक लापरवाही का दावा नहीं होगा।

इस बीच, जैसे-जैसे जीसीएस, क्लोज़, सीआईएसओएस और सीपीओएस सुरक्षा उपायों को लागू करने के लिए शुरू करते हैं जो तीसरे पक्ष के जोखिमों को कम करते हैं, हम कई उच्च प्रोफ़ाइल डेटा उल्लंघन के मामलों और मुकदमों को देखने की संभावना रखते हैं। उचित सुरक्षा उपायों को आज अपने संगठन को कल के शीर्षक बनने से रोकने में मदद कर सकते हैं।

जब तीसरे पक्ष से डेटा उल्लंघन जोखिमों को प्रभावी ढंग से प्रबंधित करने का पद आज कानून प्रौद्योगिकी पर पहले दिखाई दिया।

Read Also:

Latest MMM Article

Arts & Entertainment

Health & Fitness