Waarom sukkel kuberveiligheidsvoordele met nakoming?
INHOUDSOPGAWE:
Reguleringsvoldoening is 'n groeiende prioriteit vir kuberveiligheidspanne, aangesien hulle toenemende kuberveiligheidsrisiko's in die gesig staar, hul gebruik van tegnologie verhoog en sukkel om 'n vinnig-ontwikkelende wetgewende landskap te navigeer. Versuim om te voldoen aan die regulasies wat vervat is in wette soos die Britse Databeskermingswet 2018 en die EU KI-wet, kan lei tot aansienlike boetes. Maar met kuberveiligheidspanne wat reeds oorgespanne is en onder druk van senior bestuur is, is dit ver van eenvoudig.
Dit is waar industriestandaarde 'n groot rol kan speel om te help om regulatoriese voldoening te stroomlyn.
Voldoening is nie maklik nie
Nakoming is 'n groeiende uitdaging vir baie kuberveiligheidspersoneel. In 'n onlangse opname van 200 tegnologiebesluitnemers wat deur Infosecurity Europe uitgevoer is, erken byna die helfte (44%) hulle sukkel om aan kuberveiligheidswetgewing te voldoen omdat dit te moeilik is om te verstaan en te tydrowend om te implementeer.
Dit onthul dat, uit 12 bestaande en opkomende kuberveiligheidsregulasies, die Amerikaanse Sarbanes-Oxley-wet (SOX) van die mees ingewikkelde is om te implementeer. Trouens, 41% van die respondente het dit as “baie kompleks” beskryf. Intussen glo 75% van kuberveiligheidspersoneel dat die Britse Databeskermingswet, EU-wet op kubersekuriteit en NIS/NIS2 “ietwat ingewikkeld” is om na te kom.
Elders in hierdie studie sê 24% van die respondente dat die EU-wet op kubersekuriteit en die Data Security and Protection Toolkit (DSPT) die mees relevante regulasies vir hul organisasies is, gevolg deur die Britse Databeskermingswet (22%). Onrusbarend genoeg voldoen slegs 50% van organisasies ten volle aan SOX en die EU-wet op kuberveiligheid, wat die uitdagings illustreer wat kuberveiligheid- en nakomingspanne in die gesig staar te midde van 'n vinnig-ontwikkelende regulatoriese landskap.
Hierdie kwessies word ook in ISMS.online's uitgelig Die staat van inligtingsekuriteit 2024 verslag, wat voldoening aan regulasies en standaarde beskou as die tweede grootste uitdaging wat kuberveiligheidspanne in die gesig staar (33%). In 'n ander sleutelbevinding uit die verslag sê byna die helfte (46%) van die respondente dat voldoening aan ISO 27001 enige plek van ses tot 12 maande kan duur. 'n Bykomende 11% sal 12-18 maande benodig om hierdie doelwit te bereik, wat strek tot meer as 'n jaar-en-'n-half vir 5% van die respondente.
Die las groei
Een van die hoofredes waarom kuberveiligheidspanne voldoening so moeilik vind, is die groeiende omvang en kompleksiteit van bedryfsregulasies, volgens Richard Breavington, 'n vennoot by die regsfirma RPC.
"Die groot hoeveelheid wetgewing wat organisasies kan raak, tesame met die feit dat hulle verander en vinnig bygewerk word, beteken dit kan 'n uitdaging wees om nakoming te verseker," sê hy aan ISMS.online. “Boonop vereis hierdie regulasies verskillende tegniese en organisatoriese standaarde wat nie noodwendig eenvormig is nie.”
Steven Wood, direkteur van oplossingskonsultasie by die IT-sekuriteitsfirma OpenText Cybersecurity, blameer hierdie nakomingshoofpyn deels op ongemagtigde gebruik van verbruikerstegnologie, onverwagte samesmeltings, onderinvestering en die konstante druk om voor die kompetisie te bly.
“Soos die bedreigingslandskap aanhou ontwikkel, staan sekuriteitspanne voor die uitdaging om dinamiese IT-omgewings te beveilig terwyl hulle aan streng voldoeningsvereistes voldoen,” sê hy aan ISMS.online. “Boonop vereis ontwikkelende bedreigings soos uitvissing, verskaffingskettinguitbuiting, binnebedreigings en nul-dag kwesbaarhede 'n veelsydige benadering tot kuberveiligheid.”
Sean Wright, leier van toepassingsekuriteit by Featurespace, stel voor dat die groeiende gaping in kuberveiligheidvaardighede – 'n leidende uitdaging wat deur 31% van die respondente in die ISMS.online-studie geïdentifiseer is – beteken dat baie organisasies eenvoudig nie die hulpbronne het om aan nuwe en opkomende regulasies te voldoen nie. .
Hy sê aan ISMS.online dat voldoening selde 'n "eenmalige" oefening vir besighede is - eerder die deurlopende aandag van kuberveiligheidspanne vereis. Hy voeg by dat voortdurende veranderinge aan bestaande wette – saam met die instelling van nuwe regulasies – die las en werklading op uitgerekte kuberveiligheidspanne verhoog, wat dit vir hulle makliker maak om sleutelbesonderhede te mis of mis te kyk.
Stroomlyn nakoming
RPC se Breavington glo dat organisasies die proses kan stroomlyn deur die skepping en implementering van 'n "betekenisvolle nakomingsplan" aan 'n toegewyde span spesiaal opgeleide professionele persone te delegeer.
Hierdie kundiges sal die voortou neem om relevante regulasies te identifiseer, sleutelwetlike vereistes te verstaan en te verseker dat hul organisasie ten volle voldoen, sê hy.
"In soverre dit moontlik is, is dit die moeite werd om te probeer om konsekwente tegniese standaarde te vind wat voldoening oor die hele linie sal toelaat, selfs al beteken dit dat dit moontlik verder gaan as wat nodig is vir sommige van die regulasies," voer hy aan.
Om werknemers op te voed oor die jongste inligtingsekuriteit, sosiale ingenieurswese en voldoeningstendense kan ook organisasies help om beter aan kuberveiligheidsregulasies te voldoen en hul reputasies te beskerm, voer OpenText Cybersecurity's Wood aan.
"Omvattende werknemersopvoedingsprogramme is noodsaaklik om te verhoed dat menslike kwesbaarhede uitgebuit word," sê hy.
Wright van Featurespace doen 'n beroep op kuberveiligheidspanne om "robuuste" en "herhaalbare" prosesse te implementeer om deurlopende regulatoriese verpligtinge na te kom. Hy moedig hulle ook aan om “herhaalbare items” te outomatiseer sodat hierdie verpligtinge nie belangrike kuberveiligheidshulpbronne dreineer nie.
Maatskappye kan die doeltreffendheid van hul kuberveiligheidsnakomingsprogramme verhoog deur te verseker dat elke spanlid die belangrikheid van hierdie regulasies verstaan, gaan hy voort. Dit sal verseker dat voldoening “nie net 'n sekuriteitspanpoging word nie, maar 'n ondernemingwye poging”.
Die belangrikheid van ISO 27001
Deur 'n wêreldwye erkende industriestandaard soos ISO 27007 te implementeer, kan organisasies die beste praktyke ontwikkel wat nodig is om hul kuberveiligheidsposisie te verbeter en uiteindelik aan reguleerders se vereistes te voldoen.
RPC se Breavington verduidelik dat hierdie akkreditasies maklik is om op te dateer en sal 'n organisasie se voortdurende verbintenis tot regulatoriese nakoming demonstreer. Hy stel voor dit is 'n meer doeltreffende benadering as om die veelvuldige en moontlik minder spesifieke wetlike en regulatoriese vereistes dop te hou.
Wright sien ook die waarde daarvan om ISO 27007 te volg, en glo dat dit organisasies sal toelaat om kliënte se vertroue in hul benadering tot kuberveiligheid en voldoening te verbeter. Hy voeg by dat tegniese oplossings soos 'n inligtingsekuriteitbestuurstelsel (ISMS) hulle in staat sal stel om te stroomlyn en aan sekere voldoeningsvereistes te voldoen – en sodoende “hulpbronne vry te maak” oor uitgebrande en oorwerkte kuberveiligheidspanne.
Gegewe die potensiële finansiële en reputasie-imperkussies, is nie-nakoming van bedryfsregulasies nie 'n opsie nie. Maar met die hulp van gebruikersbewusmakingsprogramme, beste praktyke in die industrie en die nuutste outomatiese kuberveiligheidsinstrumente, is daar ten minste 'n manier vir organisasies om die las te verminder.
