Si vous faites des affaires aux États-Unis, en particulier dans tous les États, vous savez probablement à quel point il est difficile de se conformer aux lois américaines sur la confidentialité des données de l’État. Le gouvernement fédéral et de nombreux gouvernements des États américains vous obligent à mettre en œuvre des contrôles de cybersécurité «raisonnables» sur la façon dont vous gérez la notification de violation des données et la confidentialité des données de vos clients. Mais ces mandats ne discutent pas de la façon dont vous pouvez respecter la norme du caractère raisonnable dans vos efforts de cybersécurité. Plus précisément, ils n’identifient pas les cadres dans lesquels vous pouvez aligner votre programme de mise en œuvre des contrôles.
Une telle ambiguïté autour du caractère raisonnable de la cybersécurité complique vos efforts pour créer un programme de cyber-défense robuste. Manquant de clarté sur la façon de procéder, vous pouvez dupliquer par inadvertance l’effort concernant vos tâches de mise en œuvre alors que vous essayez de répondre aux exigences de différentes lois sur la confidentialité des données des États américaines. Cela pourrait perdre du temps, de l’argent et des ressources – le tout sans nécessairement respecter l’intention des lois elles-mêmes. Vous pourriez donc ne pas être en mesure de démontrer que votre programme de cyber-défense répond à la norme du caractère raisonnable en cas de violation, exposant votre organisation à des poursuites et à d’autres dommages.
Que pouvez-vous faire pour naviguer dans cette ambiguïté?
Dans cet article, nous identifierons et discuterons de plusieurs éléments politiques que vous pouvez intégrer dans votre programme de cybersécurité qui répond à la norme du caractère raisonnable.
Les 7 étapes de votre liste de contrôle des politiques de caractère raisonnable
Étape n ° 1: Comprenez la mission, les parties prenantes de votre organisation et les obligations
En tant que dimension de la cybersécurité plus généralement, la cybersécurité raisonnable varie dans sa mise en œuvre de l’entreprise à l’entreprise. À quoi cela ressemblera pour vous reflétera ce qui rend votre organisation unique. N’essayez pas de mettre en œuvre une cybersécurité raisonnable en fonction de ce à quoi vous pensez que cela devrait ressembler. Au lieu de cela, passez du temps à vous expliquer la mission de votre organisation, l’adhésion de vos parties prenantes et vos objectifs de conformité. Vous pouvez utiliser cette perspective pour informer comment vous réaliserez les étapes qui suivent.
Étape # 2: Développer et mettre en œuvre un programme de cybersécurité
Cette étape vous oblige à mettre en œuvre plusieurs autres éléments de support, y compris les suivants:
- Rôles et responsabilités: Qui dans votre organisation vous aidera à gérer votre programme de cyber-défense raisonnable? Comment soutiendront-ils cette initiative?
- Politiques internes et exigences d’application: Quelles politiques soutiendront votre mise en œuvre d’un programme de cybersécurité raisonnable? À qui ces politiques s’appliqueront-elles? Comment appliquerez-vous les exigences de ces politiques?
- Formation régulière de la cybersécurité et sensibilisation au personnel: Utilisez-vous un programme général de formation de sensibilisation à la cybersécurité pour tous vos employés? Ou appliquez-vous plusieurs programmes basés sur des rôles? À quelle fréquence effectuez-vous une formation avec votre main-d’œuvre?
Étape # 3: Identifier les ressources, y compris les fonds, le personnel, les rôles externalisés et les outils automatisés
Vous devez identifier les ressources qui vous aideront à tirer le meilleur parti de votre temps et de vos efforts. Cela vous aidera à soutenir l’élan de la croissance de votre programme de cyber-défense raisonnable.
Un abonnement CIS SecureSuite peut vous aider à cette étape et dans les étapes à suivre, comme indiqué dans l’infographie suivante.
CIS SecureSuite vous donne accès aux kits CIS Build. Disponible en tant qu’objets de stratégie de groupe (GPO) pour les scripts de shell Windows et Bash pour Linux / UNIX, les kits de construction CIS vous permettent de déployer rapidement les directives de configuration sécurisées des repères CIS. Ce faisant, les kits CIS Build vous aident à automatiser votre programme de gestion de la configuration sécurisée, rationalisant ainsi les efforts de durcissement de votre système.
Étape n ° 4: Suivez un cadre de cybersécurité reconnu par l’industrie ou une norme
Vous avez besoin d’un itinéraire pour où vous souhaitez suivre votre programme de cyber-défense raisonnable. Vous pouvez planifier cette voie par vous-même, mais vous pourriez manquer des leçons importantes que d’autres organisations ont apprises dans le processus.
C’est pourquoi nous vous recommandons de suivre un cadre de cybersécurité reconnu par l’industrie tel que les contrôles de sécurité critiques CIS (CIS) et les repères CIS. Explorons chacun de ces ensembles de meilleures pratiques de sécurité ci-dessous.
CONSEMPS CIS
Les contrôles CIS sont des mesures de sécurité normatives, prioritaires et simplifiées que vous pouvez mettre en œuvre pour renforcer votre posture de cybersécurité. Les commandes sont constituées de 153 actions individuelles, ou garanties CIS, cette carte de HIPAA, NIST CSF 2.0 et d’autres cadres et réglementations.
Benchmarks CIS
Les références CIS consistent en des recommandations sécurisées qui vous aident à supprimer la conjecture des systèmes d’exploitation de durcissement, des appareils mobiles, des plateformes de service cloud, et plus encore dans plus de 25 familles de produits fournisseurs. Les repères CIS reviennent aux commandes, et plusieurs autres normes, y compris les DSS PCI, font spécifiquement référence aux repères comme moyen efficace de durcissement du système.
Étape # 5: Mesurez la conformité au cadre et atténuer les conclusions pour assurer votre conformité continue avec son programme
Un abonnement CIS SecureSuite est livré avec des avantages, des outils et des ressources conçus pour vous aider à évaluer en permanence votre mise en œuvre des contrôles et des références. Ces outils incluent CIS CSAT PRO et CIS-CAT PRO.
Cis csat pro
Avec CIS CSAT Pro, vous pouvez suivre et hiérarchiser votre implémentation des contrôles CIS en utilisant une méthode de notation simplifiée. Vous pouvez suivre plusieurs évaluations par rapport aux contrôles simultanément, et vous pouvez accéder à toutes ces évaluations à l’aide d’une page d’accueil consolidée. CIS CSAT Pro vous permet également d’attribuer différents rôles aux membres de votre équipe afin que vous puissiez orchestrer les tâches de mise en œuvre de votre organisation.
Une capture d’écran de CIS CSAT Pro montrant une organisation de démonstration, y compris les utilisateurs disponibles et leurs rôles.
Cis-cat pro
Avec l’évaluateur CIS-CAT PRO, vous pouvez exécuter des analyses automatisées des paramètres de vos systèmes par rapport aux recommandations sécurisées des repères CIS. L’évaluateur renverra un rapport indiquant un score de conformité de votre système à la référence CIS correspondante. Ce rapport mlongera également les résultats de vos systèmes aux contrôles CIS, vous aidant ainsi à situer les résultats du durcissement de votre système dans le contexte plus élevé de votre programme de cybersécurité.
Une capture d’écran d’un rapport d’évaluation CIS-CAT Pro, avec le score de conformité total entouré en rouge.
De plus, CIS-Cat Pro comprend un composant de tableau de bord que vous pouvez utiliser pour afficher graphiquement l’impact de vos efforts de durcissement sur une période récente. Vous pouvez utiliser ce composant pour communiquer les progrès de vos résultats avec le leadership et planifier vos prochaines tâches de durcissement.
CIS Workbench
Les membres de CIS SecureSuite peuvent télécharger CIS CSAT Pro, CIS-Cat Pro et d’autres ressources membres sur CIS Workbench. Cette plate-forme centralisée permet aux membres d’accéder aux outils discutés ci-dessus, entre autres. Cela les aide également à adapter les recommandations d’une référence CIS en fonction de leurs besoins uniques et à exporter le document révisé pour leur propre usage. Enfin, au sein de la plate-forme elle-même, les membres peuvent se connecter et apprendre des autres organisations dans les domaines de discussion réservés aux membres.
Étape # 6: effectuer des évaluations périodiques des risques conformément à la méthodologie définie dans votre programme de cybersécurité et atténuer les résultats
Pour tirer le meilleur parti de ces évaluations des risques, vous devez tirer parti de l’analyse quantitative des risques. Cette méthodologie fournit des données numériques que vous et vos parties prenantes pouvez utiliser pour une prise de décision plus objective autour de la hiérarchisation des risques. Il n’est tout simplement pas toujours facile d’effectuer des évaluations en utilisant vous-même une analyse quantitative des risques.
Notre méthode d’évaluation des risques CIS (RAM) peut vous aider. Disponible gratuitement en dehors d’un abonnement CIS SecureSuite, CIS RAM aide toutes les organisations, y compris les membres de CIS SecureSuite, à s’aligner sur un niveau de caractère raisonnable en évaluant leur posture de cybersécurité contre les contrôles.
Comme discuté dans un guide pour définir une cybersécurité raisonnable, de nombreux États ont utilisé CIS RAM pour définir des garanties de cybersécurité raisonnables dans les poursuites pour violation de données. Vous pouvez adopter une approche proactive avec cette méthode pour évaluer les mesures que vous avez mises en œuvre en défense contre une violation.
Étape # 7: effectuer des évaluations indépendantes périodiques de votre programme de cybersécurité et atténuer les résultats
En tant que dernière étape, vous devez intégrer l’expertise des parties externes dans votre approche pour améliorer continuellement votre programme de cyber-défense raisonnable. Vous pouvez le faire en travaillant avec des organisations de confiance pour effectuer des tests de pénétration, des évaluations de vulnérabilité et / ou d’autres engagements. Ces types de services utilisent des tests délibérés pour révéler des lacunes dans votre programme que vous avez peut-être manqué.
Faites le premier pas dans la construction d’un programme de cyber-défense raisonnable
Déverrouiller vos cyber-défenses raisonnables avec cis sécurisé
Les étapes discutées ci-dessus vous aideront à aligner votre programme de cybersécurité sur la norme du caractère raisonnable. Pour tirer le meilleur parti de ces éléments, vous devez documenter les étapes que vous prenez pour aborder, mettre en œuvre et maintenir chacun de ces éléments ainsi que pour effectuer ces activités à titre récurrent. CIS SecureSuite peut vous aider à simplifier ce processus, vous offrant des avantages, des outils et des ressources dont vous avez besoin pour maintenir un programme de cyber-défense raisonnable à l’avenir.
Prêt à faire le premier pas?
