Выбирая между возможными нарушениями и существующими прорехами в обеспечении конфиденциальности в глобальных мегакорпорациях все больше людей стремятся защитить цифровые данные. Потребители хотят иметь возможность контролировать ту информацию, которую собирают и хранят компании, а многие компании хотят иметь возможность возмещать расходы на онлайн-услуги, которые они должны предоставлять бесплатно. До сих пор малых предприятий в США не касались эти перипетии. Но такое положение вещей может закончиться раньше, чем можно подумать.
Скоро рядом с вами
Общее положение о защите данных (GDPR) в Европейском союзе уже повлияло на многие крупные международные компании, базирующиеся в США. Закон штата Калифорния о защите прав потребителей (CCPA) повлияет на многие предприятия, которые были слишком маленькими или расположенными в другой юрисдикции, для того чтобы почувствовать на себе влияние положений GDPR. Положения закона CCPA затрагивают предприятия, у которых доходы не превышают 25 миллионов долларов США в год; многие из этих организаций могут предпочесть занять выжидательную позицию, и не внедрять стандарты безопасности, подобные тем, которые изложены в Стандарте NIST по Кибербезопасности.
Сейчас это может показаться разумным и экономически эффективным способом ведения бизнеса, так как многие люди ошибочно считают малые предприятия менее заманчивой целью для преступников. Фактически же, более маленькие компании, находятся сейчас под прицелом у преступников, и часто менее способны выдержать финансовые затраты, вызванные нарушением безопасности. И может быть, вскоре малые предприятия будут юридически вынуждены соблюдать стандарты безопасности и конфиденциальности, как и крупные предприятия.
В Сенате штата Нью-Йорк была предложена законодательная инициатива, которая продвинулась гораздо дальше в предлагаемых мерах защиты конфиденциальности потребителей. Как и в случае с CCPA, закон штата Нью-Йорк о защите прав потребителей позволит людям выяснять, какую информацию о них собирают компании, посмотреть, как они обмениваются этими данными, запросить исправления или удаления или отказаться от передачи своих данных другим организациям. В отличие от CCPA, такая законодательная инициатива о конфиденциальности будет применяться к предприятиям любого размера.
Еще неизвестно, станет ли эта законодательная инициатива законом в Нью-Йорке, в той форме, в которой она сейчас существует. Независимо от того, влияет ли законодательство штата Нью-Йорк на ваш бизнес или нет, волна внедрения законодательства о конфиденциальности только начинается. Вполне вероятно, что законодательство о конфиденциальности скоро будет имплементировано и в вашей юрисдикции. Такое законодательство может быть принято на уровне города или штата, или даже стать федеральным законом.
Малые предприятия не могут позволить себе игнорировать то, как они собирают, хранят и защищают данные. Вскоре их могут призвать придерживаться тех же стандартов, что и в более крупных организациях. В свою же очередь малый бизнес имеет меньший доступ к финансированию, которое бы позволило ему быстрее действовать в случае необходимости оперативного решения проблем с конфиденциальностью и безопасностью.
Чтобы предотвратить дорогостоящие проблемы, которые могут быть вызваны соблюдением требований конфиденциальности, малые предприятия должны начать подготовку уже сейчас.
Начните с оценки рисков и обучения мерам безопасности
Для адекватной защиты вашего бизнеса важно знать, что именно вы должны защищать. Знание того, какие активы у вас есть — с точки зрения как данных, так и устройств — поможет вам снизить расходы. Если вы представитель малого бизнеса, у вас есть преимущество в том, что оценка рисков для вашей организации, вероятно, будет гораздо менее сложным процессом, чем для крупного бизнеса.
Если вы не уверены, с чего начать, вы можете обратиться в организацию по обеспечению кибер-безопасности (NIST Small Business Cybersecurity Corner). Если вы чувствуете, что у вас нет необходимых ресурсов или опыта для выполнения рекомендованных действий, то сейчас наблюдается рост поставщиков услуг по безопасности, которых вы можете нанять, чтобы помочь вам управлять этим процессом.
Даже если у вас нет опыта по внедрению мер безопасности, все равно очень важно для всех сотрудников в вашей организации хорошо разбираться в правилах кибер-гигиены. Ответственность за защиту ваших данных и устройств несут все сотрудники компании. Это особенно важно, если ваш бизнес недостаточно велик, чтобы иметь полноценный отдел безопасности, или если ваши клиенты предоставили вам какие-либо свои персональные данные на обработку. И, наконец, хорошая новость заключается в том, что предоставляется качественное и бесплатное или недорогое обучение для того, чтобы помочь людям в вашей компании ускорить процесс обучения азам кибер-безопасности.
Источник : Welivesecurity
