من المتوقع أن تصل التكلفة العالمية للجرائم الإلكترونية إلى 10.5 تريليون دولار بحلول عام 2025، مما يشير إلى خطر جسيم يهدد كنز البيانات في عصرنا الحالي. وتُلزم العديد من قوانين data privacy المؤسسات بتأمين البيانات الحساسة. ومع ذلك، فإن حماية هذه البيانات مهمة تتطلب بنية أمنية قوية.
اليوم، يقع هجوم إلكتروني كل 39 ثانية، ما ينتج عنه في المتوسط 2244 هجومًا يوميًا. وتستمر عمليات نقل البيانات في الارتفاع، ما يجذب المهاجمين. وراء هذا الخطر تكمن data privacy المتطلبات التي تلزم المؤسسات بتنفيذ إجراءات أمن البيانات الشاملة، وبالتالي تعزيز وضع أمن البيانات للمؤسسة في مواجهة التهديدات الناشئة.
تُعدّ اللائحة العامة لحماية البيانات (GDPR) التابعة للاتحاد الأوروبي، وقانون خصوصية المستهلك في كاليفورنيا ( CCPA ) وقانون حقوق الخصوصية في كاليفورنيا ( CPRA ) في الولايات المتحدة، وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، من بين قوانين أخرى، قوانين مشهورة. data privacy القوانين التي تفرض وضعاً أمنياً قوياً للبيانات.
يدخل Data Security Posture Management ( DSPM ) – استراتيجية حديثة لتأمين البيانات في بيئات معقدة محلية وهجينة وسحابية. تصنف هذه الاستراتيجية البيانات وتحدد فئاتها، وتكشف عن البيانات غير المستخدمة ومستودعات البيانات المعزولة، وتعالج مخاطر أمن البيانات ، وتساعد المؤسسات على تلبية المتطلبات التنظيمية، وتتيح قابلية التوسع، وغير ذلك الكثير.
ما هو DSPM ؟
Data Security Posture Management ( DSPM يشير هذا المصطلح إلى استراتيجية تعتمد على البيانات أولاً مع ضمان أمنها السيبراني، مدعومة بعدد من التقنيات الآلية التي تمكن المؤسسات من العثور على البيانات الحساسة وتصنيفها ومراقبتها وحمايتها بكفاءة عبر بيئات الحوسبة السحابية والبيئات الهجينة.
يصف غارتنر DSPM باعتبارها "الرؤية الواضحة لمكان وجود البيانات الحساسة، ومن لديه حق الوصول إليها، وكيف يتم استخدامها". DSPM يقدم هذا التقرير نظرة شاملة على وضع أمن البيانات في المؤسسة، وحالة امتثالها، وقضايا الأمن والخصوصية، والأهم من ذلك، كيفية التعامل معها. وهذا يمكّن الفرق من إنشاء ضوابط وسياسات صارمة تقلل من هذه المخاطر بنجاح.
DSPM يتكامل النظام مع أحدث معايير الأمان لتلبية المتطلبات القانونية المتطورة لحماية البيانات العالمية ولوائح الذكاء الاصطناعي، بما في ذلك اللائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA/CPRA) وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) وقانون الذكاء الاصطناعي للاتحاد الأوروبي ، وغيرها. ويتيح هذا التوافق اعتماد تدابير أمنية شاملة لحماية البيانات الحساسة.
تعرف على المزيد حول ما هو DSPM .
التغلب على تحديات الامتثال مع DSPM
إن ضمان الامتثال التنظيمي يتجاوز الأساليب التقليدية، لا سيما وأن التكاليف السنوية المتوقعة للجرائم الإلكترونية على مستوى العالم من المتوقع أن تصل إلى 10.5 تريليون دولار بحلول عام 2025، ارتفاعاً من 3 تريليونات دولار في عام 2015.
يتطلب هذا العدد المتزايد بسرعة من المؤسسات إثبات سيطرتها على أصول بياناتها وتطوير أساليب للاستجابة الفورية لمتطلبات الجهات التنظيمية، أو الاختراقات الأمنية، أو عمليات التدقيق. تشمل المشكلات الشائعة التي تواجه فرق الامتثال ما يلي:
- الحصول على رؤى كاملة حول أصول البيانات من خلال التعرف على البيانات الحساسة وتصنيفها عبر سياقات متعددة.
- تحديد ما إذا كانت هناك قيود على الوصول. وإذا كانت موجودة، فمن لديه حق الوصول إلى البيانات الحساسة، وما إذا كان هناك نظام وصول بأقل الامتيازات داخل المؤسسة.
- التطبيقات والشبكات والأنظمة المتصلة عبر المؤسسة، وما إذا كانت تحدث أي أخطاء في التكوين أو انتهاكات للسياسات في الوقت الفعلي.
- هل خضع الموظفون لتدريب أمني وهل هم على دراية بالسياسات العالمية القائمة؟ data privacy القوانين والتعديلات المتوقعة.
مع انتشار البيانات في جميع أنحاء البيئة الرقمية، لتشمل تطبيقات SaaS، والتخزين السحابي، وقواعد البيانات ، ونقاط النهاية، تتفاقم هذه الصعوبات. ونتيجة لذلك، يتعين على المؤسسات ما يلي:
أ. الحصول على رؤية كاملة لأصول البيانات
تتطلب استراتيجية البيانات أولاً من المؤسسات أن تكون على دراية تامة بمكان وجود بياناتها، لا سيما البيانات الحساسة . ونظرًا لأن البيانات الحساسة تخضع لضوابط إضافية، يجب البدء بتحديدها عبر مختلف مصادر البيانات، بما في ذلك البيئات المحلية والسحابية والهجينة.
DSPM تم تصميم التقنيات لتحديد البيانات، ورسم خرائط تدفق البيانات عبر أماكن الإقامة، وتصنيف البيانات بناءً على حساسيتها (عامة، داخلية، سرية، ومقيدة)، مما يساعد في الامتثال للوائح مثل اللائحة العامة لحماية البيانات (GDPR) وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA).
ب. مراقبة وضع البيانات باستمرار
في ظل بيئة تنظيمية سريعة التطور وتزايد أساليب الهجوم، يتعين على المؤسسات تقييم وتحديث وضعها الأمني للبيانات بشكل دوري. ومع هذه الديناميكيات المتسارعة، حتى أقوى أنظمة أمن البيانات قد تصبح غير آمنة.
ينبغي على المنظمات توظيف DSPM مراقبة كيفية الحصول على البيانات ومعالجتها ونقلها عبر الشبكات والأنظمة ومشاركتها داخل الشركة وبين الفرق ومع الأطراف الخارجية بشكل مستمر. تُمكّن المراقبة الآنية من تحديد الحالات الشاذة ونقاط الضعف ومواطن الخطر العالية وأخطاء التكوين التي قد تؤدي إلى عدم الامتثال أو اختراقات البيانات بسرعة.
ج. تطبيق الضوابط القائمة على السياسات
تصبح الأدوات بلا قيمة إذا لم تكن هناك سياسة تنظم من أو ما يمكنه الوصول إلى البيانات والأصول، وما هي الإجراءات المصرح بها بمجرد منح الوصول. DSPM يُسهّل هذا النظام تطبيق السياسات من خلال مواءمة إجراءات معالجة البيانات في المؤسسة مع الالتزامات التنظيمية. كما يُمكّن المؤسسات من الحصول على إشعارات فورية عند انتهاك استخدام البيانات للوائح الامتثال.
إحدى السمات الرئيسية لـ DSPM تكمن قوة هذه الأداة في قدرتها على معالجة المخاطر النشطة وغير النشطة على حد سواء. DSPM توفر الأداة رؤى دقيقة حول أصول البيانات، مما يتيح تحديد أولويات ومعالجة المشكلات مثل المعلومات الشخصية القابلة للتحديد (PII) المكشوفة أو الوصول المتساهل للغاية، قبل أن يتمكن المهاجمون الإلكترونيون من استغلال الثغرة الأمنية والتسبب في كشف البيانات بشكل غير ضروري، أو قبل أن يتمكن المدققون من تحديدها والتسبب في عقوبات عدم الامتثال وتصنيف سيئ.
هـ. إعداد تقارير جاهزة للتدقيق
تنص اللوائح على إجراء تقييمات ومراجعات سنوية. DSPM تعمل المنتجات على تسريع إعداد تقارير الامتثال من خلال تقديم رؤى كاملة ورسومات بيانية ولوحات معلومات توثق وتوضح وضع أمن البيانات في مؤسستك ومدى التزامها بالسياسات.
باختصار، DSPM يحوّل هذا النهج استراتيجية الامتثال التفاعلية للمؤسسة إلى نهج حوكمة استباقي. ويُعدّ هذا التنسيق أمراً بالغ الأهمية للحدّ من المخاطر والامتثال للالتزامات التنظيمية.
كيف DSPM يساعد على ضمان الامتثال للائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA/CPRA) وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA).
هكذا DSPM يفي بالمتطلبات التنظيمية، مما يبسط عملية الامتثال:
أ. الاكتشاف والتصنيف الآلي للبيانات
DSPM تم تصميم الأدوات لاكتشاف البيانات. وبمجرد اكتشافها، يمكنها مسح وفرز البيانات الشخصية والحساسة تلقائيًا من مصادر منظمة وغير منظمة، ووضعها في مجموعات تشمل المعلومات الشخصية القابلة للتحديد (PII) والمعلومات الصحية المحمية (PHI) ومعلومات بطاقة الدفع (PCI).
اللائحة العامة لحماية البيانات – المادة 30 (سجلات أنشطة المعالجة)
تتناول المادة 30 من اللائحة العامة لحماية البيانات (GDPR) شرط الاحتفاظ بسجلات لأنشطة المعالجة.
بموجب المادة 30 من اللائحة العامة لحماية البيانات، يجب على المتحكمين والمعالجين الاحتفاظ بسجلات كاملة لعمليات المعالجة الخاصة بهم وأن يكونوا قادرين على تقديم هذه الوثائق إلى لجنة حماية البيانات (DPC) عند الطلب.
كيف يساعد DSPM : يقوم تلقائيًا بالعثور على البيانات الشخصية وفرزها على أنظمة السحابة، و SaaS ، والأنظمة المحلية، مما يضمن سجلات دقيقة ومحدثة.
قانون حماية خصوصية المستهلك في كاليفورنيا/قانون حماية خصوصية المستهلك في كاليفورنيا - القسم 1798.110 (الحق في المعرفة)
يُوسّع قانون حماية خصوصية المستهلك في كاليفورنيا (CPRA) نطاق حق المستهلك في المعرفة المنصوص عليه في قانون خصوصية المستهلك في كاليفورنيا (CCPA). يسمح قانون CPRA للمستهلكين بطلب الوصول إلى معلوماتهم الشخصية التي تم الحصول عليها في أو بعد 1 يناير 2022، بغض النظر عن الحد الزمني الأصلي البالغ 12 شهرًا المنصوص عليه في قانون CCPA. ويتعين على الشركات الإفصاح عن أنواع ومصادر المعلومات الشخصية التي تجمعها.
كيف يساعد نظام إدارة البيانات DSPM : يرسم خرائط تدفقات البيانات ويصنف المعلومات الشخصية، مما يسهل تلبية متطلبات الوصول إلى المعلومات والإفصاح عنها.
قانون HIPAA – تحليل المخاطر (45 CFR §164.308(a)(1)(ii)(A))، (التحكم في الوصول) 45 CFR §164.312(a)(1)، ضوابط التدقيق (45 CFR §164.312(b))
يشترط قانون HIPAA على المؤسسات المشمولة به وشركائها التجاريين إجراء تقييم شامل ودقيق للمخاطر المحتملة على المعلومات الصحية الإلكترونية المحمية (ePHI). كما يتضمن لوائح تقنية تتيح الوصول فقط للأفراد المصرح لهم بذلك، ويجب على الأنظمة تسجيل وتقييم الأنشطة التي تتضمن أو تستخدم المعلومات الصحية الإلكترونية المحمية.
كيف تساعد DSPM : تمكّن أتمتة اكتشاف البيانات المؤسسات من تحديد مكان وجود المعلومات الصحية الشخصية ومن لديه حق الوصول إليها، وبالتالي فرض أقل قدر من الامتيازات على الوصول.
ب. حقوق أصحاب البيانات وطلبات الوصول
اللائحة العامة لحماية البيانات – المواد 12-22 (المعلومات المستنيرة، الوصول، التصحيح، المحو، التقييد، قابلية نقل البيانات، الكائن، اتخاذ القرارات الآلية، والتنميط)
يحق للأفراد الوصول إلى بياناتهم الشخصية أو تصحيحها أو محوها أو تقييد معالجتها.
كيف تساعد DSPM : فهي تتيح تحديد الموقع الدقيق وتصنيف البيانات الشخصية، وهو أمر حيوي لمعالجة طلبات الوصول إلى بيانات أصحاب البيانات (DSARs) بكفاءة ودقة.
قانون حماية خصوصية المستهلك في كاليفورنيا/قانون حماية خصوصية المستهلك في كاليفورنيا - القسم 1798.105 (الحق في الحذف)
بإمكان المستهلكين طلب محو بياناتهم الشخصية.
كيف تساعد DSPM : تحديد جميع حالات البيانات الشخصية للمستخدم، مما يضمن المحو الصحيح عبر السياقات المختلفة.
قانون HIPAA - 45 CFR §164.524 (وصول الأفراد إلى المعلومات الصحية الشخصية)
للمرضى الحق في الاطلاع على سجلاتهم الطبية.
كيف يساعد DSPM : يحدد موقع المعلومات الصحية الشخصية (PHI) عبر الأنظمة، ويقدم ردودًا سريعة وشاملة على طلبات وصول المرضى.
ج. الأمن وإدارة المخاطر
DSPM تُتيح الأنظمة رؤيةً فوريةً لمكان وجود البيانات الحساسة وكيفية تدفقها. ويشمل ذلك التنبيهات بشأن الأنشطة الخطرة، مثل البيانات غير المشفرة، أو الوصول المفرط، أو مشاركة البيانات مع جهات خارجية، وهو أمر بالغ الأهمية للبقاء استباقيًا في ظل قانون خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR).
اللائحة العامة لحماية البيانات - المادة 32 (أمن المعالجة)
يتطلب ذلك تطبيق تدابير تكنولوجية وتنظيمية كافية لحماية البيانات الشخصية.
كيف يساعد DSPM : يقوم بفحص مستمر بحثًا عن التكوينات الخاطئة والبيانات غير المشفرة والأذونات الخطرة. يوفر إشعارات ومسارات تصحيح للانتهاكات.
قانون حماية خصوصية المستهلك في كاليفورنيا/قانون حماية خصوصية المستهلك في كاليفورنيا - القسم 1798.150 (مسؤولية اختراق البيانات)
قد تُحاسب الشركات على عدم اتخاذها تدابير أمنية كافية.
كيف يساعد DSPM : يكتشف نقاط الضعف ويساعد في إصلاحها (مثل الأذونات المفرطة، وكشف البيانات)، مما يتيح وضعًا أمنيًا قابلاً للدفاع.
HIPAA - 45 CFR §164.306 & §164.308 (معايير الأمن وتحليل المخاطر)
يتطلب من الكيانات المشمولة إجراء تقييمات متكررة للمخاطر وتطبيق إجراءات الحماية.
كيف يساعد نظام إدارة أداء الأمن DSPM : يوفر رؤية فورية للوضع الأمني ويتيح تحليل المخاطر الآلي من خلال أدوات إعداد التقارير والتخفيف الشاملة.
د. سجلات التدقيق والوثائق
اللائحة العامة لحماية البيانات – المادة 5(2) (مبدأ المساءلة)
يجب على المنظمات إثبات امتثالها لمبادئ اللائحة العامة لحماية البيانات (GDPR).
كيف يساعد نظام إدارة بيانات DSPM : يوفر سجلات مستمرة ومسارات تدقيق لنشاط البيانات والوصول إليها وانتهاكات السياسات.
قانون HIPAA – 45 CFR §164.312(b) (ضوابط التدقيق)
يتطلب ذلك اعتماد تدابير لتسجيل وتقييم أنشطة النظام.
كيف يساعد DSPM : يتتبع الوصول إلى البيانات وتغييرات السياسات، ويحتفظ بسجل تدقيق يفي بمعايير تدقيق قانون HIPAA.
هـ. ROT Data Minimization
تشير بيانات ROT إلى البيانات الزائدة عن الحاجة: نسخ غير ضرورية أو مكررة. البيانات القديمة: بيانات عفا عليها الزمن أو لم تعد ذات صلة. البيانات التافهة: بيانات منخفضة القيمة وغير حيوية للأعمال. تزيد هذه البيانات من تكاليف التخزين، وتطرح مشكلات أمنية ومخالفة لمعايير الامتثال، وتخالف معايير تقليل البيانات.
اللائحة العامة لحماية البيانات – المادة 5(1)(ج) – تقليل البيانات والمادة 5(1)(هـ) – تقييد التخزين
ينبغي أن تكون البيانات الشخصية كافية وذات صلة ومقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها، وأن يتم الاحتفاظ بها في شكل يسمح بتحديد هوية أصحاب البيانات لفترة لا تتجاوز ما هو ضروري للأغراض التي تتم معالجة البيانات الشخصية من أجلها.
كيف تساعد إدارة بيانات DSPM : تحديد البيانات غير الضرورية للغرض أو التي يتم الاحتفاظ بها بما يتجاوز ما هو ضروري، وإزالتها.
قانون حماية خصوصية المستهلك في كاليفورنيا/قانون حماية خصوصية المستهلك في كاليفورنيا – المادة 1798.100(ج) – الغرض/قيود الاحتفاظ والمادة 1798.110(ج) – متطلبات الاحتفاظ بالبيانات
كيف يساعد DSPM : يضمن تخزين البيانات ذات الصلة والمحددة زمنيًا فقط؛ ويحدد حالات الاحتفاظ الزائد بالبيانات.
HIPAA – §164.306(a) – معايير الأمان العامة و §164.310(d)(2)(i) – ضوابط الأجهزة والوسائط (التخلص من البيانات)
كيف تساعد DSPM : تقلل من مساحة سطح PHI عن طريق إزالة البيانات القديمة أو الزائدة عن الحاجة.
و. البيانات Breach Management
الكشف في الوقت الفعلي، وسجلات التدقيق، وتقييمات الأثر، والإنذارات التلقائية، وإعداد التقارير، والمزيد.
اللائحة العامة لحماية البيانات (GDPR) – المادة 33 – إخطار السلطة الإشرافية بالخرق والمادة 34 – إخطار أصحاب البيانات
كيف DSPM يساعد: يُمكّن من اكتشاف الاختراقات والإبلاغ عنها في غضون 72 ساعة؛ ويحدد أصحاب البيانات المتأثرين.
قانون حماية خصوصية المستهلك في كاليفورنيا/قانون حماية خصوصية المستهلك في كاليفورنيا – المادة 1798.150 – دعوى مدنية بسبب الإخلال
كيف DSPM يساعد: يساعد في توضيح سياسات الأمان المناسبة؛ ويتيح الإبلاغ عن الاختراقات الأمنية.
قانون HIPAA – المادة 164.400–414 – قاعدة الإبلاغ عن الاختراق
كيف يساعد DSPM : يوفر الأطر الزمنية للحوادث، وقائمة المعلومات الصحية الشخصية المتأثرة، ويدعم شرط الإخطار لمدة 60 يومًا.
ز. التحكم في الوصول وإنفاذ مبدأ أقل الامتيازات
تؤكد لوائح مثل قانون HIPAA وقانون GDPR على تقليل الوصول إلى البيانات الحساسة. DSPM يساعد في تطبيق مبادئ أقل الامتيازات، مما يضمن أن الموظفين المصرح لهم فقط هم من يمكنهم الوصول إلى البيانات.
اللائحة العامة لحماية البيانات – المادة 32 – أمن المعالجة
يتطلب ذلك إجراءات للحفاظ على سرية البيانات وحدود الوصول إليها.
قانون حماية خصوصية المستهلك في كاليفورنيا/قانون حماية خصوصية المستهلك في كاليفورنيا – المادة 1798.100(هـ)
يفرض تقليل البيانات وشفافية الوصول إليها.
قانون HIPAA – المادة 164.312(أ)(1) – الضمانات التقنية – ضوابط الوصول القياسية
يفرض تنفيذ السياسات والإجراءات التقنية للسماح بالوصول فقط للأشخاص أو برامج الحاسوب التي مُنحت حقوق الوصول.
كيف تساعد DSPM : تحدد مكان وجود البيانات الحساسة (مثل PII وPHI) عبر أنظمة السحابة والأنظمة المحلية وأنظمة SaaS، وتحلل من لديه حق الوصول إلى أي بيانات وتحدد الهويات ذات الأذونات الزائدة، وتوصي تلقائيًا أو تفرض سياسات تقلل الوصول إلى ما هو ضروري فقط، وتكتشف الحالات الشاذة (مثل الوصول المفاجئ من قبل مستخدمين أو أنظمة غير مصرح لها) وتوفر تنبيهات في الوقت الفعلي.
باختصار، قوي DSPM تُسهّل هذه الأداة اكتشاف البيانات وتصنيفها على نطاق واسع، وتُمكّن المؤسسات من الحصول على معلومات سياقية حول الوصول إلى البيانات، وأتمتة ضوابط الوصول القائمة على السياسات، وتوفير وصول آمن إلى بيانات الذكاء الاصطناعي في تطبيقات SaaS وتطبيقات المؤسسات، وضمان امتثال الوصول إلى البيانات للمتطلبات التنظيمية. تعرّف على المزيد حول دليل مسؤول أمن المعلومات Data Access Governance .
أتمتة الامتثال لـ Securiti DSPM
مع ازدياد الضغوط التنظيمية وتزايد تعقيد بيئات البيانات، لم يعد بإمكان المؤسسات الاعتماد على الأساليب اليدوية لضمان الامتثال. DSPM يقدم حلاً استباقياً وآلياً وقابلاً للتطوير للحفاظ على وضع أمن البيانات والخصوصية بشكل مستمر، ليس فقط من أجل اللائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA) وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، ولكن لأي لائحة حالية أو مستقبلية.
Securiti 's Data Command Center (مصنف رقم 1) DSPM يوفر (بواسطة GigaOM) حلاً مدمجًا DSPM ، مما يتيح للمؤسسات تأمين البيانات الحساسة عبر العديد من السحابات العامة والخاصة، وبحيرات البيانات ومستودعات البيانات، وتطبيقات SaaS، وحماية البيانات المخزنة والمنقولة.
مع Securiti يمكن للمؤسسات الاستفادة من ذكاء البيانات السياقي والضوابط لاكتشاف البيانات وتصنيفها ، وتقليل مخاطر البيانات الزائدة والقديمة والتافهة، والحد من نقاط الضعف الناتجة عن سوء التكوين، ومنع الوصول غير المصرح به إلى البيانات، وفهم تدفق البيانات، وفرض ضوابط أمنية متسقة عبر رحلة البيانات، بما في ذلك بيانات البث في الوقت الفعلي، مع إدارة الامتثال ومخاطر الاختراق أيضًا.
باستخدام مكتبتنا الواسعة من موصلات البيانات، Securiti يقوم النظام تلقائيًا بإنشاء مخطط معرفي يلتقط بيانات وصفية غنية، ومعلومات تنظيمية، وسياسات، وعمليات، وعلاقات بين جميع هذه الجوانب. هذا المخطط المعرفي القوي، الذي نشير إليه باسم DataCommand Graph ، بمثابة المصدر الوحيد للحقيقة للبيانات وسياقها الغني المرتبط بها.
حدد موعدًا لعرض توضيحي لمعرفة كيفية القيام بذلك Securiti يلبي احتياجات مؤسستك الفريدة في مجال أمن البيانات والخصوصية والحوكمة من خلال مركز قيادة موحد للبيانات والذكاء الاصطناعي.
