网络安全

在一系列针对关键基础设施的高调网络攻击之后,包括最近的殖民管道黑客攻击,拜登总统已经采取行动,提高政府和私营部门的网络安全标准。

行政命令(行政命令)改善国家的网络安全已于5月签署,目前正在执行中。《行政条例》内容广泛,重点关注易受影响的主要领域,包括:

  • 消除政府和私营部门之间共享威胁信息的障碍
  • 在联邦政府中现代化并实施更严格的网络安全标准
  • 提高软件供应链的安全性
  • 建立网络安全审查委员会
  • 制定应对网络事件的标准剧本
  • 改进对联邦政府网络网络安全事件的检测
  • 提高调查和补救能力

《条例》的主要目的,是加强政府部门和供应链的网络安全。然而,预计这将对私营部门的所有类型的企业(无论大小)产生涓滴效应。

因此,小企业应该了解《雇佣条例》的要求,并决定是否需要作出任何改变以保持符合规定,特别是在与供应商的关系方面。

理解对你的业务的影响

影响最大的将是那些作为承包商、分包商或任何其他类型的商业关系与政府机构合作的小企业。如果这些企业不能跟上新《行政条例》的规定,那么他们很快就会发现自己无法继续与政府机构合作。

然而,并非只有与政府机构合作的小企业才需要注意EO。白宫正在鼓励所有企业采纳它制定的指导方针。虽然EO不能要求所有私营企业都采用特定的网络安全协议,但这可能会成为医疗和金融等敏感行业加强网络安全措施框架的一部分。

更新供应商风险评估

如果供应商风险评估已经是您的数据安全协议的一部分,那么您应该立即开始更新这些协议,以考虑到EO中的措施。首先询问您的供应商计划如何遵守新措施,以及他们的遵循路线图是什么。

对于与政府机构合作的小型企业来说,任何供应商如果被发现缺乏准备,都应被视为危险信号。对于不做任何政府工作的小型企业,这可能并不意味着您不想与该供应商合作,但找到采取步骤遵守EO的供应商将帮助您更好地防止您的基础设施的未来。因此,例如,这可能是衡量供应商RFP响应的决定性因素。

审核供应商的合同

以及更新您的供应商风险评估,您还需要审查并可能更新现有的供应商合同。例如,由于《行政条例》要求软件供应商和政府机构加强共享威胁或违约信息,因此需要更新供应商合同,以确保共享这些数据目前没有被合同条款禁止。

此外,合同应更新,以反映EO的其他要求,以确保你的供应商正在加密所有数据,使用多因素身份验证等。这也将使您能够提前终止合同,如果供应商被发现违反任何这些条款。

更新内部数据安全协议

除了更新供应商风险评估和合约外,小型企业亦应确保其内部数据保安协议涵盖《条例》所列的所有基础。这包括访问密钥系统的双因素身份验证,以及对企业发送和接收的所有数据进行加密。

最终的想法

虽然《条例》实施的最终细节尚未确定,但许多小型企业应该花点时间来评估这对他们可能意味着什么,并计划下一步行动。

如果您在处理政府工作,无论以何种身份,您都应该立即开始采取措施,确保您的供应商朝着合规的方向努力。您还应该咨询您的法律顾问,以确定如何最好地审查和更新供应商合同条款。

对于不处理政府工作的小型企业来说,与软件供应商开始对话以了解他们计划如何遵守政府的规定,以帮助将来证明您的业务,这仍然是一个有价值的练习。

写的史蒂文Freidkin的首席执行官Ntiva该公司是一家MSP,为当今依赖技术的企业提供IT服务、网络安全服务和IT咨询。金宝搏188网址登录

图片来源:LuckyStep/Shutterstock