Решение распространенных проблем с соблюдением требований с помощью эффективного плана обеспечения соответствия
По мере того, как организации проходят через цифровую трансформацию, становится все труднее управлять соответствием данных, которые они обрабатывают. Соблюдение множества нормативных требований всегда было проблемой безопасности и тяжелой работой для ИТ-специалистов, но быстрые цифровые преобразования усугубляют эту проблему и усложняют для ИТ-специалистов снижение рисков безопасности и связанных с ними проблем соответствия. Существуют методы, которые ИТ-специалисты могут использовать для поощрения более эффективного плана соответствия и более эффективного управления рисками в эпоху цифровых технологий, в которой мы работаем.
Общие проблемы соответствия, с которыми сталкиваются многие организации
1. Идти в ногу с нормативными изменениями
Правила постоянно меняются, существующие правила разрабатываются, а совершенно новые развиваются для решения растущих вопросов по конкретным проблемам. Организациям сложно следить за этим, чтобы обеспечить постоянное и всестороннее выполнение всех требований соответствия. Некоторые отрасли должны соблюдать ряд правил соблюдения. По мере того как обязанности по соблюдению требований меняются — и ваш план обеспечения соответствия требованиям — тоже, — если инфраструктура организации, существующие политики и структуры не могут быть легко адаптированы, это усложняет запуск процессов для соответствия новым требованиям.
Сотрудники часто рассматривают соблюдение требований в совершенно ином свете, часто скорее как неприятность, чем как фундаментальный аспект успеха организации, которым, в конечном счете, он и является.
Рассмотрим Общий регламент по защите данных (GDPR) 2018 года. Это одно из самых больших изменений соответствия за многие годы. На первый взгляд, это регламент ЕС, но он имеет глобальный охват и влияет на большинство организаций, пока они обрабатывают данные граждан ЕС. Это серьезное изменение для большинства организаций, которое требует много размышлений и стратегии для реализации требований для соответствия. Поскольку это юридическое требование, выхода из него нет, а штрафы за его несоблюдение значительны. Изменения соответствия затрагивают все аспекты бизнеса, включая персонал. Сложно сотрудничать и согласовывать все процессы и цели в соответствии с требованиями. Требуется значительное количество времени и усилий, чтобы оставаться в курсе изменений, и по большей части трудно мотивировать всех присоединиться к ним и добиться их осуществления. Сотрудники часто рассматривают соблюдение требований в совершенно ином свете, часто больше доставляя неудобства, чем фундаментальный аспект успеха организации, которым, в конечном счете, он и является.
2. Демонстрация постоянной прозрачности и подотчетности
Демонстрация прозрачности и подотчетности имеет ключевое значение для многих требований соответствия, включая обязательное соблюдение нормативных требований (например, GDPR), отраслевых стандартов (например, PCI DSS) или соблюдение сертификатов (например, ISO27001). Все это требует от организации демонстрации своего соответствия, что может быть затруднительно без правильных основ, процессов и средств контроля. Таким образом, организациям нужны работающие системы, чтобы гарантировать это. Методы мониторинга, отчетности и управления поведением сотрудников, чтобы убедиться в том, что соответствие соблюдается, как это задокументировано. ИТ-ресурсами необходимо управлять, чтобы обеспечить подотчетность.
3. Развитие технологий и динамика окружающей среды
Достижения в области технологий, многогранных сред и функционирования усложняют задачу соблюдения требований и значительно усложняют составление эффективного плана соблюдения требований. Например, такие области, как использование собственного устройства (BYOD), Интернет вещей (IoT), сторонние приложения и теневые ИТ (и это лишь некоторые из них), хотя все они выгодны, создают уязвимости в системе безопасности и влияют на соответствие требованиям. Это может быть особенно сложно управлять; тем не менее, контроль необходим для обеспечения постоянного соблюдения требований. Все это способствует кибер-риску и требует управления. Риск должен быть оценен таким образом, чтобы можно было эффективно управлять любым связанным с ним риском несоблюдения требований. Кроме того, по мере развития технологий во многих организациях используются как старые, так и устаревшие системы. Важно знать, какие системы используются и для каких целей, а также следить за тем, чтобы программное обеспечение постоянно обновлялось и исправлялось.
Добавление теневых ИТ-систем и BYOD (с неавторизованными приложениями и устройствами) усложняет план обеспечения соответствия требованиям, поскольку они могут обойти корпоративные ИТ-системы. При отсутствии надлежащего управления организация не знает о программном обеспечении или приложениях, которые используют сотрудники, и о данных, которые они обрабатывают. Интернет вещей, взаимосвязанные устройства и слияние цифрового и физического также расширяют поле потенциальных угроз. Все эти системы должны соответствовать требованиям, поэтому должны быть внедрены методы, обеспечивающие их постоянное соответствие не только для защиты данных, но и для физической безопасности.
4. Отсутствие образования и культурные барьеры
Эффективное соответствие возможно только в том случае, если все на борту. Это часто является сложной задачей для некоторых организаций, поскольку требует, чтобы все осознали важность сверху вниз. Каждый, независимо от его должностных функций в бизнесе, должен сыграть свою роль, и важно, чтобы это сообщение было доведено до сведения и поощрялось правильное соблюдение требований и культура безопасности. Полная ответственность организации за соответствие требованиям необходима, чтобы поощрялась более широкая забота о политиках, процессах и средствах контроля для создания организации, осведомленной о соблюдении требований и кибербезопасности. Итак, все сотрудники, все команды, все отделы готовы принимать изменения и постоянно адаптироваться, чтобы организация постоянно соответствовала требованиям. Это требует непрерывной подготовки и обучения всех личностей.
5. Обеспечение соответствия цепочки поставок и третьих лиц
Управление тем, как внешние стороны соблюдают требования, чтобы цепочка поставок также соответствовала требованиям, является сложной задачей. Организация соответствует требованиям и безопасна настолько, насколько ее самое слабое звено. Причина многих уязвимостей часто прямо или косвенно связана со сторонним участником. Управлять информационной безопасностью третьей стороны или поставщика и соблюдением нормативных требований сложно, но для постоянного соблюдения требований вашей организации это необходимо.
6. Утечки данных и кибератаки
В этом высоко взаимосвязанном цифровом мире организации обрабатывают все большие объемы конфиденциальных данных. Кибератаки растут из-за этого. Как и внутренние случайные ошибки (и преднамеренные). Организации несут ответственность за защиту данных, которые они обрабатывают, не только из соображений соответствия, но и для защиты своих клиентов, своего бренда и репутации и, в конечном счете, успеха своего бизнеса. Кража личных данных, финансовое мошенничество и потеря данных или конфиденциальность данных являются основными проблемами для многих предприятий. По мере того как среды организаций становятся все более сложными и многогранными, становится все труднее обеспечить защиту данных и контроль доступа для обеспечения соответствия требованиям и снижения рисков. Соблюдение нормативных требований, таких как GDPR (соблюдение законодательства), PCI DSS (соблюдение требований отрасли в отношении обработки кредитных карт) и HIPAA (соблюдение требований отрасли здравоохранения в отношении конфиденциальной информации о пациентах), направлено на снижение многих из этих рисков.
Действия по противодействию этим проблемам и улучшению вашего плана соответствия
1. Создайте прочную и адаптируемую основу
Мы знаем, что правила адаптируются и меняются, поэтому будьте готовы к этому. Подготовьте основу правильно. Постарайтесь внедрить наилучшие из возможных фреймворков и стандартов для управления данными и их защиты. Фреймворки довольно гибкие, поэтому, когда необходимо внести изменения, новые можно более эффективно сопоставить с ними, а нарушения соответствия сведены к минимуму. Попробуйте стандартизировать процессы в соответствии с правилами соответствия. Стратегии соответствия должны развиваться, чтобы соответствовать нормативным изменениям. Полезно, если можно предвидеть изменения и составлять планы до любых значительных изменений. В большинстве случаев изменения происходят не мгновенно, и до них есть значительное время, поэтому организациям следует воспользоваться этим, чтобы постоянно соответствовать требованиям.
Как правило, в отношении технологий лучше идти в ногу со временем. Безопасность, приписываемая устаревшим технологиям, была разработана для другого времени, другого функционирования и другого ландшафта угроз. Новые технологии, вероятно, лучше подходят для текущих сред и проблем безопасности. Они также имеют тенденцию повышать эффективность и ловкость. При отсутствии должного управления устаревшие технологии (или сочетание новых и старых) могут создать бреши в безопасности. Технологии соответствия требованиям и ориентированные на данные выгодны, и при правильном выборе и использовании они могут лучше поддерживать строго регулируемые среды. Таким образом, максимизируйте инвестиции в услуги по обеспечению соответствия требованиям ИТ.
Безопасность, приписываемая устаревшим технологиям, была разработана для другого времени, другого функционирования и другого ландшафта угроз. Новые технологии, вероятно, лучше подходят для текущих сред и проблем безопасности.
2. Проведите комплексную проверку сторонних поставщиков услуг.
Убедитесь, что культура безопасности и соответствия вашей организации распространяется на вашу цепочку поставок и сторонних поставщиков, чтобы вы могли снизить их потенциальную уязвимость и риски. Если третья сторона не обеспечивает такой же или более высокий уровень безопасности и соответствия требованиям, как ваша организация, не имейте с ней дела. Работайте с организациями и людьми, которые требуют такой же культуры безопасности, как и вы. Убедитесь, что вы управляете потенциальными рисками и всегда проводите комплексную проверку всех партнеров, чтобы гарантировать, что их уровень безопасности и соответствия требованиям постоянно поддерживается на уровнях, приемлемых для вашей организации. Оцените их историю и репутацию, убедитесь, что они понимают ваши требования соответствия, и оцените их в отношении управления конкретной организацией, рисков и требований соответствия. Убедитесь, что они поставили все галочки, прежде чем привлекать их.
3. Поощряйте бизнес-культуру, ориентированную на безопасность и соответствие нормативным требованиям.
Во-первых, вовлеките и подключите заинтересованные стороны высшего уровня, чтобы надзор за соблюдением требований осуществлялся сверху. Это означает, что к этому с большей вероятностью будут относиться серьезно, и это повысит ответственность. Если это борьба, это может помочь сформулировать цену несоблюдения, которая не только связана с денежными штрафами, но и повлияет на бизнес на других уровнях, включая отношения с клиентами и доверие, потерю конкурентного преимущества и влияние на бренд и репутацию. Если руководство не слушало раньше, это заставит их прислушаться! Вовлекайте всех. Сделайте соблюдение требований всей организацией, чтобы каждый знал свою роль, и поощряйте культуру кибербезопасности и соблюдение требований, подчеркивая важность безопасности и соответствия требованиям всегда (а не только тогда, когда необходимы изменения).
Обучайте сотрудников всем аспектам защиты данных и предоставляйте им ресурсы для обеспечения конфиденциальности данных. Продолжайте обучать и обучать всех, чтобы это стало привычным, и вся организация была постоянно готова. При этом безопасность и соответствие требованиям становятся приоритетом, а не помехой. Каждый должен понимать план соответствия, процедуры и то, что от него ожидается. Поэтому обязательно предоставьте необходимую информацию, сделайте обучение веселым и запоминающимся и примените ее на практике.
4. Новым технологиям нужны новые навыки
По мере того, как меняются технологии и инициативы, меняются и навыки, необходимые для их поддержки. Это означает, что вам необходимо убедиться, что у вас есть необходимые наборы навыков для поддержки этих изменений, чтобы обеспечить соответствие требованиям. Это может потребовать найма или заключения контрактов с людьми с определенными талантами, которых не хватает вашим ресурсам. Полезны люди с набором навыков соответствия и технологий, а также навыки анализа данных, кибербезопасности, киберрисков и искусственного интеллекта (особенно когда люди и автоматизация начинают работать бок о бок). У вас должны быть доступные навыки или план, чтобы получить их, когда это необходимо. По возможности работайте с отраслевыми экспертами.
5. Сделайте безопасность и защиту данных приоритетом
Кибератаки вызывают беспокойство, и лучший способ снизить этот риск — сосредоточить усилия на надлежащей защите организации и ее данных. Защита на основе данных поощряется многоуровневым подходом к обеспечению безопасности для решения как можно большего количества потенциальных проблем. Изучите свою среду и активы данных, чтобы получить консолидированное представление о рисках и спланировать эффективную стратегию по минимизации риска киберугроз. Контроль доступа имеет основополагающее значение для защиты данных. Разработайте процедуры для управления тем, кто, как и когда получает доступ — не только для соблюдения требований, но и для снижения киберрисков и защиты отношений с клиентами. Обеспечьте шифрование и запретите доступ для устройств без безопасного доступа.
Кроме того, разработайте план аварийного восстановления и координируйте эффективные задачи восстановления, делегируя обязанности и ответственность обученным командам, чтобы свести к минимуму потенциальные сбои в работе в случае возникновения инцидента. Проверьте и отработайте свой план! Делая это, вы можете определить любые области, в которых могут возникнуть проблемы, где ваш план, возможно, не работает должным образом, и эти проблемы могут быть устранены до любого фактического инцидента или катастрофы. Наличие практических средств контроля, включая протоколы управления для контроля доступа к данным, а также для управления и защиты данных. В конечном счете, если вы сможете эффективно и непрерывно управлять данными, которые вы обрабатываете, и защищать их, вы отметите многие пункты соответствия требованиям.
Разработайте процедуры для управления тем, кто, как и когда получает доступ — не только для соблюдения требований, но и для снижения киберрисков и защиты отношений с клиентами.
6. Обеспечение соблюдения, мониторинг и отчетность
Контроль доступа и защита данных должны быть приоритетом. Однако, если он не применяется, это все равно, что его не иметь. Обеспечьте соблюдение установленных вами политик защиты данных и соответствия требованиям, а также средств контроля. Убедитесь, что они выполняются! Благодаря общению со своими сотрудниками и предоставлению им необходимого программного обеспечения и приложений можно лучше управлять теневыми ИТ. Имейте строгие политики BYOD и полицию и применяйте их. Ограничьте доступ к загружаемым приложениям и разрешите загрузку только утвержденного программного обеспечения и приложений.
Управляйте, отслеживайте и отчитывайтесь, чтобы вы могли контролировать поведение в своей организации. Последовательность важна, и любые отклонения или нарушения должны быть эффективно устранены, чтобы воспрепятствовать любым нарушениям в будущем. Мониторинг и отчетность имеют основополагающее значение для плана соответствия, чтобы определить, насколько эффективно то, что вы делаете, и определить, какие улучшения необходимы для поддержания соответствия. Рассмотрите возможность инвестирования в технологии и услуги, которые позволят вашей организации выявлять проблемы и реагировать на них в режиме реального времени, чтобы снизить риск и обеспечить постоянное соответствие требованиям.
Повысьте эффективность с помощью автоматизированных процессов и средств контроля. Внедрите процедуры, позволяющие проводить аудит вашей инфраструктуры на предмет соответствия требованиям, сканировать на наличие уязвимостей и осуществлять постоянный мониторинг для защиты от внутренних и внешних угроз для выявления, оценки и устранения существующих угроз и отслеживания новых. Ведение точных записей для аудитов.
У соблюдения требований нет недостатков, поэтому работайте над этим планом соответствия.
Общественность, заказчики и клиенты больше, чем когда-либо, осведомлены о безопасности. Более того, организации сталкиваются с более тщательным контролем, чем когда-либо прежде, в результате различных нормативных требований, которые они должны соблюдать, как обязательных, так и не предусмотренных мандатом. План соответствия поможет вам правильно организовать эту часть вашего бизнеса и не только устранит любые юридические проблемы, но и улучшит деловые операции и безопасность, а также укрепит связи с общественностью и доверие. Достижение соответствия в любой области полезно, и пока защита данных является неотъемлемой частью вашей корпоративной культуры, вы всегда будете двигаться в правильном направлении. Да, будут времена, когда будут возникать пробелы, но бдительность и включение подходящих передовых практик соответствия в процессы и рабочий процесс могут помочь вам выявить их, эффективно устранить их и двигаться дальше и вверх.
Безопасность и соответствие требованиям требуют устойчивости — как и ваш план соответствия — так что продолжайте в том же духе!