Требования соответствия призваны повысить прозрачность и подотчетность в области кибербезопасности. По мере роста киберугроз растет и количество систем обеспечения соответствия, а также специфика средств контроля безопасности, политик и действий, которые они включают.
Для CISO и их команд это означает, что соблюдение требований - это трудоемкий процесс с высокими ставками, требующий сильных организационных и коммуникативных навыков в дополнение к опыту в области безопасности.
Мы обратились к CISO brain trust, чтобы узнать их мнение о наилучших способах подхода к соблюдению требований безопасности данных и конфиденциальности. В этом блоге они делятся стратегиями, позволяющими облегчить процесс соблюдения требований, включая управление рисками и согласование действий с заинтересованными сторонами.
Читайте дальше о рекомендациях по превращению комплаенса из "необходимого зла" в стратегический инструмент, который поможет вам оценить киберриски, получить бюджет и поддержку, а также повысить доверие клиентов и акционеров.
Какие CISO больше всего заботятся о соблюдении требований?
Отношение CISO к соблюдению требований кибербезопасности может сильно различаться в зависимости от размера их компании, географии, сектора, чувствительности данных и уровня зрелости программы. Например, если вы являетесь публичной компанией в Соединенных Штатах, у вас не будет иного выбора, кроме как соблюдать множество правил, а также поддерживать оценку рисков и планы корректирующих действий.
Если вы являетесь государственным учреждением или занимаетесь продажей в одно из них, вам необходимо соблюдать особые требования государственного сектора. Банки, организации здравоохранения, инфраструктура, компании электронной коммерции и другие предприятия должны соблюдать отраслевые правила соответствия.
Даже если вы не попадаете ни в одну из этих категорий, существует множество причин, по которым вам необходимо продемонстрировать передовые методы обеспечения безопасности, например, получить сертификат SOC или подать заявку на страхование кибербезопасности. Для всех организаций широкие рамки соблюдения требований кибербезопасности, такие как NIST CSF и ISO, предоставляют модели для подражания и структуры для передачи результатов.
Тем не менее, "безопасность не означает соответствие требованиям" - это мантра, которую часто слышат среди CISO. Конечно, то, что вы соблюдаете требования, не означает, что вы в безопасности. Организации с высоким уровнем зрелости в области кибербезопасности могут рассматривать соблюдение требований как минимум и выходить далеко за рамки необходимых компонентов для защиты своих организаций.
Комплаенс как фактор развития бизнеса
Хотя CISO может рекомендовать инвестиции и методы в области кибербезопасности для соответствия требованиям соответствия, они не являются лицом, принимающим окончательное решение. Таким образом, ключевой обязанностью CISO является информирование о риске несоблюдения и работа с другими руководителями компании для принятия решения о том, каким инициативам отдать приоритет. Риск в данном контексте включает в себя не только технический риск, но и бизнес-риск.
Стив Залевски, бывший CISO Levi Strauss, любит использовать метафору "кнута и пряника". "Аудит и комплаенс исторически были палкой, которая заставляла вас что-то делать, - делится он в подкасте Defense-in-Departure, -но заставлять [вас] делать это не означает, что бизнес осознает ценность этого." Чтобы избежать трений, он рекомендует показывать людям ценность для бизнеса соблюдения требований кибербезопасности. "Должен быть компонент пряника, чтобы они почувствовали, что у них есть выбор в этом вопросе", - говорит он.
Допустим, организация не в полной мере соответствует передовой практике обеспечения безопасности в области управления привилегиями. Хотя несоблюдение может привести к штрафам регулирующих органов и судебным искам акционеров, лежащие в их основе пробелы в безопасности могут оказать еще большее влияние на бизнес, включая простои, выплаты программ-вымогателей и потерю доходов. С другой стороны, соблюдение требований комплаенса может принести пользу бизнесу, например, ускорить продажи, укрепить партнерские отношения или снизить тарифы киберстрахования.
В рамках комплексной программы управления рисками советы директоров и исполнительное руководство должны взвесить затраты и выгоды от обеспечения соблюдения с потенциальными издержками несоблюдения. В некоторых случаях они могут решить, что определенный уровень риска является приемлемым, и отказаться от внедрения дополнительных мер предосторожности. В других случаях они могут удвоить свои усилия.
Как CISO используют механизмы соблюдения требований для планирования своей дорожной карты по кибербезопасности
Некоторые CISO используют рамки соблюдения требований в качестве методологии для включения методов и процессов в свои программы кибербезопасности. По сути, они определяют приоритеты программы и составляют список необходимых решений, которые соответствуют программе, которую они пытаются создать.
В подкасте Audience First Брайан Хогли, бывший исполнительный директор Fortune 500, видит разницу между зависимостью от соблюдения требований и использованием систем соблюдения требований для руководства информированным управлением рисками.
CISO нуждаются в партнерах по соблюдению требований
CISO работают не в одиночку. Они должны налаживать партнерские отношения с юридическими группами, сотрудниками по защите конфиденциальности и комитетами по аудиту или рискам, чтобы понимать меняющиеся требования соответствия и решать, как их выполнять.
Иногда этим внутренним партнерам требуется, чтобы группы безопасности внедрили более строгий контроль, но они также могут ввести перерывы. Как сказал нам один из CISO быстрорастущего поставщика технологий: "Честно говоря, юридические вопросы перевешивают меня каждый день недели. Они говорят мне, что я могу, а что нет. Я бы хотел иметь возможность отслеживать поведение каждого, но законы о конфиденциальности говорят, что я не могу этого делать."
Команды по обеспечению соответствия делают многое, на что у инженеров по безопасности и аналитиков нет времени или ресурсов. Они несут ответственность за безопасность, дважды проверяя, работают ли средства контроля должным образом. Они действуют как посредники между группами безопасности, регулирующими органами и аудиторами для демонстрации соответствия, означает ли это сбор доказательств с помощью ручных вопросников по безопасности или с помощью технологической интеграции.
Например, для сертификации в государственном секторе средства контроля безопасности должны отслеживаться, регистрироваться и храниться в течение как минимум шести месяцев, чтобы данные подтверждали, что они сделали то, что, по их словам, собирались сделать.
Инструменты и ресурсы, поддерживающие соблюдение
Реестры рисков помогают согласовать действия всех заинтересованных сторон, документируя все риски и упорядочивая их по приоритету. Поскольку все просматривают одну и ту же информацию, вы можете согласовать соответствующие действия. В рамках программы управления рисками политики, стандарты и процедуры регулярно пересматриваются, и любые изменения утверждаются перед внедрением.
Используя такие инструменты, как системы GRC и постоянный мониторинг соответствия, организации могут отслеживать текущие действия по обеспечению безопасности и сообщать о результатах. Системы GRC могут подключаться к SIEMs для сбора журналов и сканеров уязвимостей, которые показывают, что проверки были завершены. "Вместо того, чтобы перемешивать электронные таблицы, мы создали различные соединители, которые интегрируются с нашей платформой GRC, чтобы подтвердить, что мы соблюдаем требования, - объясняет технический директор CISO. "Они отображают все сертификаты на одной панели, поэтому, когда входит аудитор, мы показываем им экран с надписью "Вот доказательства"."
В дополнение к инструментам многие компании полагаются на третьи стороны для проведения оценки соответствия. Они могут провести внутренний аудит соответствия перед внешним, чтобы убедиться в отсутствии неожиданностей, если к ним обратятся регулирующие органы.
Соблюдай один раз, применяй ко многим
У большинства организаций есть многочисленные органы по соблюдению требований, перед которыми они должны отчитываться, а также поставщики услуг по киберстрахованию, клиенты и партнеры. Хотя соблюдение требований может быть обременительным, хорошей новостью является то, что существуют методы, позволяющие упростить процесс оценки. "Если посмотреть на все основные органы по соблюдению требований, то около 80% требований одинаковы", - говорит CISO SaaS-провайдера. "Вы можете согласовать их с такой платформой, как NIST, и применять одни и те же методы во всех них."
Например, требования к управлению привилегированным доступом (PAM), такие как управление паролями, многофакторная аутентификация (MFA) и контроль доступа на основе ролей, являются общими для всех систем обеспечения соответствия. Вы можете углубиться в детали, чтобы увидеть, как PAM отражается в различных требованиях соответствия на сайте Delinea.com.
Новые требования к соответствию
Комплаенс - это подвижное пространство с требованиями, которые развиваются с учетом меняющихся моделей рисков и условий ведения бизнеса. CISO обращаются к органам комплаенса за рекомендациями по управлению возникающими киберрисками, такими как искусственный интеллект.
В дальнейшем CISO ожидают, что обеспечение соответствия станет еще большей частью их работы. Поскольку отрасль сталкивается с постоянно растущими угрозами, соблюдение требований является ключевой частью стратегического и комплексного подхода к управлению рисками кибербезопасности.
Подробнее по этой теме читайте в выпуске подкаста Delinea "401 отказано в доступе": Обеспечение соответствия: экспертные соображения со Стивеном Урсилло
Вам нужно пошаговое руководство по планированию вашего стратегического пути к обеспечению безопасности привилегированного доступа?
Начните с бесплатного настраиваемого контрольного списка PAM.
Для CISO и их команд это означает, что соблюдение требований - это трудоемкий процесс с высокими ставками, требующий сильных организационных и коммуникативных навыков в дополнение к опыту в области безопасности.
Мы обратились к CISO brain trust, чтобы узнать их мнение о наилучших способах подхода к соблюдению требований безопасности данных и конфиденциальности. В этом блоге они делятся стратегиями, позволяющими облегчить процесс соблюдения требований, включая управление рисками и согласование действий с заинтересованными сторонами.
Читайте дальше о рекомендациях по превращению комплаенса из "необходимого зла" в стратегический инструмент, который поможет вам оценить киберриски, получить бюджет и поддержку, а также повысить доверие клиентов и акционеров.
Какие CISO больше всего заботятся о соблюдении требований?
Отношение CISO к соблюдению требований кибербезопасности может сильно различаться в зависимости от размера их компании, географии, сектора, чувствительности данных и уровня зрелости программы. Например, если вы являетесь публичной компанией в Соединенных Штатах, у вас не будет иного выбора, кроме как соблюдать множество правил, а также поддерживать оценку рисков и планы корректирующих действий.
Если вы являетесь государственным учреждением или занимаетесь продажей в одно из них, вам необходимо соблюдать особые требования государственного сектора. Банки, организации здравоохранения, инфраструктура, компании электронной коммерции и другие предприятия должны соблюдать отраслевые правила соответствия.
Даже если вы не попадаете ни в одну из этих категорий, существует множество причин, по которым вам необходимо продемонстрировать передовые методы обеспечения безопасности, например, получить сертификат SOC или подать заявку на страхование кибербезопасности. Для всех организаций широкие рамки соблюдения требований кибербезопасности, такие как NIST CSF и ISO, предоставляют модели для подражания и структуры для передачи результатов.
Тем не менее, "безопасность не означает соответствие требованиям" - это мантра, которую часто слышат среди CISO. Конечно, то, что вы соблюдаете требования, не означает, что вы в безопасности. Организации с высоким уровнем зрелости в области кибербезопасности могут рассматривать соблюдение требований как минимум и выходить далеко за рамки необходимых компонентов для защиты своих организаций.
Комплаенс как фактор развития бизнеса
Хотя CISO может рекомендовать инвестиции и методы в области кибербезопасности для соответствия требованиям соответствия, они не являются лицом, принимающим окончательное решение. Таким образом, ключевой обязанностью CISO является информирование о риске несоблюдения и работа с другими руководителями компании для принятия решения о том, каким инициативам отдать приоритет. Риск в данном контексте включает в себя не только технический риск, но и бизнес-риск.
Стив Залевски, бывший CISO Levi Strauss, любит использовать метафору "кнута и пряника". "Аудит и комплаенс исторически были палкой, которая заставляла вас что-то делать, - делится он в подкасте Defense-in-Departure, -но заставлять [вас] делать это не означает, что бизнес осознает ценность этого." Чтобы избежать трений, он рекомендует показывать людям ценность для бизнеса соблюдения требований кибербезопасности. "Должен быть компонент пряника, чтобы они почувствовали, что у них есть выбор в этом вопросе", - говорит он.
Допустим, организация не в полной мере соответствует передовой практике обеспечения безопасности в области управления привилегиями. Хотя несоблюдение может привести к штрафам регулирующих органов и судебным искам акционеров, лежащие в их основе пробелы в безопасности могут оказать еще большее влияние на бизнес, включая простои, выплаты программ-вымогателей и потерю доходов. С другой стороны, соблюдение требований комплаенса может принести пользу бизнесу, например, ускорить продажи, укрепить партнерские отношения или снизить тарифы киберстрахования.
В рамках комплексной программы управления рисками советы директоров и исполнительное руководство должны взвесить затраты и выгоды от обеспечения соблюдения с потенциальными издержками несоблюдения. В некоторых случаях они могут решить, что определенный уровень риска является приемлемым, и отказаться от внедрения дополнительных мер предосторожности. В других случаях они могут удвоить свои усилия.
Как CISO используют механизмы соблюдения требований для планирования своей дорожной карты по кибербезопасности
Некоторые CISO используют рамки соблюдения требований в качестве методологии для включения методов и процессов в свои программы кибербезопасности. По сути, они определяют приоритеты программы и составляют список необходимых решений, которые соответствуют программе, которую они пытаются создать.
В подкасте Audience First Брайан Хогли, бывший исполнительный директор Fortune 500, видит разницу между зависимостью от соблюдения требований и использованием систем соблюдения требований для руководства информированным управлением рисками.
CISO нуждаются в партнерах по соблюдению требований
CISO работают не в одиночку. Они должны налаживать партнерские отношения с юридическими группами, сотрудниками по защите конфиденциальности и комитетами по аудиту или рискам, чтобы понимать меняющиеся требования соответствия и решать, как их выполнять.
Иногда этим внутренним партнерам требуется, чтобы группы безопасности внедрили более строгий контроль, но они также могут ввести перерывы. Как сказал нам один из CISO быстрорастущего поставщика технологий: "Честно говоря, юридические вопросы перевешивают меня каждый день недели. Они говорят мне, что я могу, а что нет. Я бы хотел иметь возможность отслеживать поведение каждого, но законы о конфиденциальности говорят, что я не могу этого делать."
Команды по обеспечению соответствия делают многое, на что у инженеров по безопасности и аналитиков нет времени или ресурсов. Они несут ответственность за безопасность, дважды проверяя, работают ли средства контроля должным образом. Они действуют как посредники между группами безопасности, регулирующими органами и аудиторами для демонстрации соответствия, означает ли это сбор доказательств с помощью ручных вопросников по безопасности или с помощью технологической интеграции.
Например, для сертификации в государственном секторе средства контроля безопасности должны отслеживаться, регистрироваться и храниться в течение как минимум шести месяцев, чтобы данные подтверждали, что они сделали то, что, по их словам, собирались сделать.
Инструменты и ресурсы, поддерживающие соблюдение
Реестры рисков помогают согласовать действия всех заинтересованных сторон, документируя все риски и упорядочивая их по приоритету. Поскольку все просматривают одну и ту же информацию, вы можете согласовать соответствующие действия. В рамках программы управления рисками политики, стандарты и процедуры регулярно пересматриваются, и любые изменения утверждаются перед внедрением.
Используя такие инструменты, как системы GRC и постоянный мониторинг соответствия, организации могут отслеживать текущие действия по обеспечению безопасности и сообщать о результатах. Системы GRC могут подключаться к SIEMs для сбора журналов и сканеров уязвимостей, которые показывают, что проверки были завершены. "Вместо того, чтобы перемешивать электронные таблицы, мы создали различные соединители, которые интегрируются с нашей платформой GRC, чтобы подтвердить, что мы соблюдаем требования, - объясняет технический директор CISO. "Они отображают все сертификаты на одной панели, поэтому, когда входит аудитор, мы показываем им экран с надписью "Вот доказательства"."
В дополнение к инструментам многие компании полагаются на третьи стороны для проведения оценки соответствия. Они могут провести внутренний аудит соответствия перед внешним, чтобы убедиться в отсутствии неожиданностей, если к ним обратятся регулирующие органы.
Соблюдай один раз, применяй ко многим
У большинства организаций есть многочисленные органы по соблюдению требований, перед которыми они должны отчитываться, а также поставщики услуг по киберстрахованию, клиенты и партнеры. Хотя соблюдение требований может быть обременительным, хорошей новостью является то, что существуют методы, позволяющие упростить процесс оценки. "Если посмотреть на все основные органы по соблюдению требований, то около 80% требований одинаковы", - говорит CISO SaaS-провайдера. "Вы можете согласовать их с такой платформой, как NIST, и применять одни и те же методы во всех них."
Например, требования к управлению привилегированным доступом (PAM), такие как управление паролями, многофакторная аутентификация (MFA) и контроль доступа на основе ролей, являются общими для всех систем обеспечения соответствия. Вы можете углубиться в детали, чтобы увидеть, как PAM отражается в различных требованиях соответствия на сайте Delinea.com.
Новые требования к соответствию
Комплаенс - это подвижное пространство с требованиями, которые развиваются с учетом меняющихся моделей рисков и условий ведения бизнеса. CISO обращаются к органам комплаенса за рекомендациями по управлению возникающими киберрисками, такими как искусственный интеллект.
В дальнейшем CISO ожидают, что обеспечение соответствия станет еще большей частью их работы. Поскольку отрасль сталкивается с постоянно растущими угрозами, соблюдение требований является ключевой частью стратегического и комплексного подхода к управлению рисками кибербезопасности.
Подробнее по этой теме читайте в выпуске подкаста Delinea "401 отказано в доступе": Обеспечение соответствия: экспертные соображения со Стивеном Урсилло
Вам нужно пошаговое руководство по планированию вашего стратегического пути к обеспечению безопасности привилегированного доступа?
Начните с бесплатного настраиваемого контрольного списка PAM.
