Waarom Reguleerders 'n Gekonvergeerde Benadering tot Kuberveerkragtigheid Bevorder
INHOUDSOPGAWE:
Namate die digitale ekosisteem eksponensieel uitbrei en kubermisdadigers sekuriteitsgate daarbinne probeer benut, plaas reguleerders steeds druk op besighede om omvattende kuberrisikostrategieë te ontwikkel en hou hulle aanspreeklik wanneer dinge verkeerd loop.
Omdat kuberbedreigings veelsydig en globaal van aard is, volg reguleerders 'n meer eenvormige benadering tot voldoening aan kuberrisiko-vereistes. 'n Perfekte voorbeeld is die Europese Unie se Wet op Digitale Operasionele Veerkragtigheid, wat blokwye nakoming van 'n gemeenskaplike stel kuberveiligheidsreëls afdwing.
Internasionale samewerking oor kuberveerkragtigheid, veral op gebiede soos kunsmatige intelligensie (KI), groei ook. Byvoorbeeld, in September 2024 het Brittanje, die VSA en Kanada aangekondig planne om saam te werk aan kuberveiligheid en KI-navorsing.
As gevolg van die toename in gekonvergeerde kuberregulasies word daar nou van besighede in alle industrieë verwag om omvattende IT-risikobeheermaatreëls en -beleide te ontwikkel, af te dwing en gereeld te assesseer. Kuberkenners waarsku dat dit nie meer 'n enkele, afmerk-blokkie-oefening kan wees nie.
'n Gekonvergeerde Benadering tot Kuberveerkragtigheid
'n Vinnige toename in gesofistikeerde kuberbedreigings en 'n groeiende afhanklikheid van digitale tegnologieë deur besighede spoor globale reguleerders aan om hulself te verenig op kerngebiede soos databeskerming, kuberveerkragtigheid en risikobestuur, volgens Anu Kapil, senior produkbestuurder by die Amerikaanse IT-sekuriteitsfirma Qualys.
Sy voer aan dat reguleerders, deur 'n verenigde benadering tot privaatheids-, kuberveiligheid- en KI-regulasies te volg, voordeel trek uit vaartbelynde toesig en die afdwinging van grensoverschrijdende aanspreeklikheid. Intussen kan besighede 'n standaardstel raamwerke vir gesentraliseerde nakoming gebruik.
Sam Peters, hoofprodukbeampte van ISMS.online, herhaal soortgelyke gedagtes en merk op dat reguleerders wêreldwyd toenemend saamwerk aan domeinoorskrydende kuberregulasies in reaksie op die verspreiding van komplekse digitale bedreigings, geopolitieke uitdagings en groeiende gebruikersverwagtinge vir aanspreeklikheid.
Peters sê reguleerders hoop om sodoende die huidige silo's wat bestaan in gebiede soos kuberveiligheid, dataprivaatheid en KI, vas te vat. Hierdie silo's maak dit moeiliker vir organisasies om kuberbedreigings raak te sien en te verminder.
Maar deur die bogenoemde silo's uit te skakel, meer konsekwente IT-regulasies te bevorder en steun op bestaande risikostandaarde soos ISO 27001, glo hy dat reguleerders kan help om sektoroorskrydende innovasie te versnel en kuberrisiko's te verminder.
Nie genoeg word gedoen nie
Alhoewel bedryfstandaarde soos NIS2, DOR en ISO 27001 die afgelope tyd meer in lyn gebring het, het Mark Weir, streekdirekteur vir die VK en Ierland by die verskaffer van kuberveiligheidsoplossings, gesê. Check Point sagteware, dui daarop dat daar nog 'n entjie om te gaan is voordat hulle werklik "konsekwent" en "omvattend" op 'n wêreldwye skaal word.
Hy sê veral dat 'n gebrek aan geformaliseerde riglyne en bestuur vir kunsmatige intelligensie dit moeiliker maak vir organisasies om hierdie tegnologie gepas te gebruik. Kunstenaars is byvoorbeeld bekommerd dat KI hul kopiereg kan skend tensy die tegnologie gepas gereguleer word.
Maar reguleerders is nie net te blameer nie. Alhoewel bedryfsliggame soos die Nasionale Kubersekuriteitsentrum waarsku oor die groeiende risiko van kuberbedreigings en riglyne uitreik om dit teen te werk, sê Weir dat baie organisasies dit nie in die praktyk toepas nie. Hy is veral bekommerd oor die gebrek aan kubersimulasies en -oefeninge in korporatiewe kuberveerkragtigheidsplanne.
Hy sê vir ISMS.online: “Sonder proaktiewe beplanning en gereelde toetsing verminder die waarskynlikheid van 'n suksesvolle herstel van 'n kuberaanval aansienlik, wat dikwels lei tot diensonderbrekings, dataverlies en die ondergang van kliëntevertroue.”
Wat Gekonvergeerde Kuberregulasies Vir Besighede Beteken
Wat duidelik is, is dat soos nuwe bedryfsregulasies na vore kom en bestaande beleide saamvloei, besighede geen ander keuse het as om hul regulatoriese verpligtinge ernstig op te neem nie. Vir Peters beteken dit om voldoende IT-risikobeheer te implementeer, dit robuust te bestuur en aanspreeklik te wees wanneer dinge verkeerd loop.
Met kuber- en KI-bedreigings wat vinnig opduik, sê hy dat besighede dit nie kan bekostig om voldoening soos 'n "eenmalige kontrolelys" te behandel nie. In plaas daarvan moet hulle 'n kultuur van voortdurende verbetering ontwikkel om te verseker dat hul kuberveerkragtigheidsplanne werklik effektief is.
Peters sê besighede wat kuberveerkragtigheid as 'n "strategiese" en "deurlopende" oefening dwarsdeur alle departemente behandel, sal die suksesvolste wees. Hy verduidelik: "Diegene wat dit regkry, kry 'n mededingende voordeel: vinniger marktoegang, sterker kliëntevertroue en verminderde blootstelling aan regulatoriese boetes of reputasieskade."
Kapil stem saam dat organisasies, in die lig van gekonvergeerde kuberregulasies, hulself vir mislukking sal stel deur nie voortdurend nakoming te benader nie. Sy moedig besighede aan om aanpasbare kuberveiligheidsbeleide te vestig, dit gereeld te monitor en voorbereid te wees om te reageer op geïmproviseerde ouditversoeke van reguleerders.
Sy sê vir ISMS.online: “Om dit effektief te doen, kan maatskappye bewysinsameling outomatiseer, beheergapings proaktief assesseer en in lyn bly met ontwikkelende regulasies oor verskeie domeine.”
'n Slimmer en Geïntegreerde Kuberveerkragtigheidsbenadering Neem
Wanneer dit kom by die reaksie op verhoogde regulatoriese eise vir gekonvergeerde kuber-nakoming en die versterking van hul kuberverdediging, dring Peters daarop aan dat besighede handmatige en gefragmenteerde nakomingsbenaderings vervang met een wat slimmer en meer geïntegreerd is.
In die praktyk, sê Peters, beteken dit die sentralisering van risiko, nakoming en bestuur in een omgewing wat maklik geskaal kan word, bestaande en opkomende bedryfsregulasies in ag neem, en insig bied in risiko oor verskillende areas van die besigheid.
Een manier om dit te doen, volgens Peters, is die implementering van 'n inligtingsekuriteitsbestuurstelsel wat voldoen aan die vereistes van 'n erkende bedryfstandaard soos ISO 27001. Hy verduidelik dat sulke standaarde nie net doelbewus vasgestel word nie, maar ook ontwerp is om grensoverschrijdende kubernakoming op 'n gestruktureerde en aanpasbare wyse te fasiliteer.
“Deur ISO 27001 as fondament aan te neem, kry besighede 'n sistematiese manier om risiko's te identifiseer, te assesseer en te verminder, en van kardinale belang ondersteun die struktuur daarvan die insluiting van bykomende raamwerke, hetsy vir privaatheid, KI-etiek, veerkragtigheid of sektorspesifieke mandate,” sê Peters.
Hy voeg by dat besighede, nadat hulle 'n ISMS-platform aangeneem het, die aanbevelings van ander raamwerke – soos ISO 22301 vir besigheidskontinuïteit en/of ISO 42001 vir KI – in hul verskillende voldoeningspogings kan integreer. Hy voeg by: “Dit vereenvoudig bestuur en maak dit makliker om voldoening oor verskeie standaarde en streke heen te demonstreer.”
Soos Peters, waarsku Kapil besighede teen die afsonderlike hantering van verskillende IT- en kuberregulasies, aangesien dit lei tot "ondoeltreffende en riskante" silo's. Sy is ten gunste van 'n gesentraliseerde benadering waarin maatskappye departementele beleide ontwikkel wat in lyn is met raamwerke soos NIST, ISO en GDPR.
Aangesien regulatoriese verpligtinge voortdurend ontwikkel, beklemtoon sy die belangrikheid van die voortdurende monitering van beleide – ’n taak wat met behulp van outomatiseringsinstrumente gestroomlyn kan word. Sy voeg by: “Met ’n geïntegreerde beleidsouditbenadering kan hulle handwerk verminder, akkuraatheid verbeter en risiko- en nakomingspogings onder een platform belyn.”
Die Toekoms van Kuberregulasies
Kapil verwag dat bedryfsregulasies vooruitskouend selfs strenger sal word in die lig van 'n vinnig groeiende en toenemend fel kuberbedreigingslandskap. Sy glo dat daar toenemende druk op besighede sal wees om te bewys dat hulle hierdie risiko's voortdurend en intyds aanpak deur 'n geïntegreerde kuberrisikostrategie te gebruik. Deur dit nou te begin, sal hulle help om "meer rats, ouditgereed en beter beskerm teen regulatoriese en kuberrisiko's" te word, voeg sy by.
Alan Jones, uitvoerende hoof en medestigter van die veilige kommunikasieverskaffer YEO Messaging, stem saam dat die toekoms van kuberrisiko-nakoming meer geïntegreerd sal wees. Hy verwag dat meer besighede hierdie tendens sal aanneem deur gebruikers intyds te verifieer en zero-trust-argitekture te implementeer.
Namate meer organisasies KI-stelsels ontwikkel, implementeer en gebruik, het Satish Swargam, hoofkonsultant vir DevSecOps en veilige ontwikkeling by 'n toepassingsekuriteitsfirma, gesê. Swart eend, voorspel dat toekomstige kuberveiligheidsregulasies en voldoeningsbeleide rondom hierdie tegnologie ontwerp sal word.
Nie net sal bedryfsregulasies daarop gemik wees om die bedreigings wat deur KI-modelle inhou, te verminder nie, maar die modelle self kan ook die nakoming van kuberveiligheid stroomlyn. Trouens, sê Swargam, KI het die mag om "sekuriteitsrisiko's binne die regte konteks aan te spreek".
Besighede trek groot voordeel uit opkomende tegnologieë soos KI; hulle staar egter ook beduidende etiese en kuberveiligheidsrisiko's in die gesig wat in skaal en gesofistikeerdheid toeneem. As gevolg hiervan moet besighede hierdie risiko's dienooreenkomstig assesseer in 'n poging om hul werknemers, kliënte en inderdaad hul reputasie te beskerm. En dit sal reguleerders gelukkig hou.
