Kalifornia finalizuje zasady audytu cyberbezpieczeństwa zgodnie z CCPA
- Katarzyna Celińska
- 13 paź
- 2 minut(y) czytania
Kalifornijska Agencja Ochrony Prywatności sfinalizowała długo oczekiwane przepisy dotyczące automatycznego podejmowania decyzji, oceny ryzyka i corocznych audytów cyberbezpieczeństwa. Przepisy te, przyjęte jednogłośnie przez zarząd CPPA, są wynikiem ponad rocznej debaty i poprawek.
Najważniejsze informacje
☑️ Coroczne audyty cyberbezpieczeństwa: Firmy, których przetwarzanie danych stanowi poważne zagrożenie dla prywatności lub bezpieczeństwa konsumentów, muszą poddawać się niezależnym corocznym audytom.
☑️ Zakres ryzyka: Czynniki obejmują wielkość firmy, złożoność i charakter przetwarzanych danych osobowych. Firmy spełniające progi dotyczące przychodów i ilości danych są automatycznie objęte zasadą audytu.
☑️ Niezależność ma znaczenie: Audyty muszą być przeprowadzane przez wykwalifikowanego i obiektywnego specjalistę, zarówno wewnętrznego, jak i zewnętrznego. Audytorzy wewnętrzni muszą podlegać kierownictwu wyższego szczebla, które nie jest odpowiedzialne za program cyberbezpieczeństwa, co zapewnia niezależność.
☑️ Audyty oparte na dowodach: Ustalenia nie mogą opierać się wyłącznie na oświadczeniach kierownictwa. Raporty muszą zawierać sprawdzone dowody, identyfikować słabe punkty i zawierać plany naprawcze.
☑️ Rozsądne praktyki w zakresie cyberbezpieczeństwa: Przepisy określają oczekiwane środki kontroli: uwierzytelnianie wieloskładnikowe (MFA), szyfrowanie, zarządzanie dostępem, bezpieczna konfiguracja, instalowanie poprawek, skanowanie podatności, monitorowanie, szkolenia i inne. Odzwierciedlają one najlepsze praktyki branżowe oraz standardy FTC/stanowe dotyczące rozstrzygania sporów dotyczących naruszeń.
☑️ Ocena ryzyka: Wymagana w przypadku takich działań, jak sprzedaż/udostępnianie danych osobowych, przetwarzanie danych wrażliwych lub wdrażanie ADMT w decyzjach dotyczących konsumentów.
Jest to długo oczekiwane rozporządzenie. Szczerze mówiąc, spodziewałem się bardziej rygorystycznych zasad, ale zostały one złagodzone, aby zmniejszyć obciążenia dla przedsiębiorstw. Niemniej jednak wymóg corocznych audytów cyberbezpieczeństwa dla organizacji wysokiego ryzyka stanowi duży krok naprzód.
Moim głównym zmartwieniem jest to, czy audyty te będą koncentrować się na rzeczywistych zagrożeniach dla cyberbezpieczeństwa, czy też będą jedynie podejściem opartym na hashtagach zgodność. Zbyt często ramy są wykorzystywane do wykazania zgodności, a nie do usuwania rzeczywistych luk w zabezpieczeniach.
Z mojej perspektywy podejście takie jak SOC2 + mogłoby stanowić rzeczywistą wartość dodaną: włączenie tych wymagań CCPA do raportu SOC 2 zapewniłoby zgodność z normami AICPA, gwarantując zarówno zgodność, jak i znaczący nadzór nad bezpieczeństwem.
Ostatecznie chodzi o to, aby skłonić firmy do wprowadzenia podstawowych zasad cyberhigieny: zarządzania tożsamością i dostępem (IAM), instalowania poprawek, zarządzania podatnością na zagrożenia, monitorowania, bezpiecznych konfiguracji i ładu korporacyjnego.
Autor: Sebastian Burgemejster
Komentarze