Računarski tjedni sigurnost smatra da bi se sigurnosni lideri najbolje povukli u mnoštvu novih nacionalnih i multinacionalnih propisa koji utječu na njihov rad i osiguravaju da njihove organizacije ostanu u skladu i zaštićene.
Od
- Adam Stringer, PA Consulting
Objavljeno: 13. jan 2025
Firme nije lako razumjeti kako se pridržavati globalne regulacije sigurnosti i otpornosti; Ne postoji niti jedno mjesto na kojem se svi regulirani i često se spušta u regionalne timove za usklađenost i lideri sigurnosti da tumače politike, što dovodi do nedostatka pridruženih razmišljanja i izuzetno ispruženih pristupa.
Međutim, iako će uvijek biti nijansi zasnovane na geografskoj jurisdikciji gdje firma posluje, postoji nekoliko globalnih regulatornih tema:
- Operativna otpornost i sigurnost sada su važni kao i financijska otpornost
- Transparentnost i pravovremeno izvještavanje su ključni
- Fokus na temeljne cyber kontrole
- Učinite pravu stvar za svoje kupce i ostalo će uslijediti.
Operativna otpornost i sigurnost sada su važni kao i financijska otpornost
Brojni propisi fokusiraju se na potrebu za prepoznavanjem najvažnijih usluga koje firma nudi svom kupcu i tržištima i da ih učini da se osigura prije svega. Primjeri uključuju građevinsku propise o operativnoj otpornosti u Velikoj Britaniji i digitalno operativno zakon o otpornosti (DOORA) u EU.
Ovi propisi su postigli jer postoji uvjerenje da se firme često fokusiraju na financijsku otpornost, ali prekida uzrokovana eksploatacijom ranjivosti ili operativnog kvara. Bilo je mnogo primjera glavnih prekida posljednjih godina uzrokovanih Cyber-u, kao i operativnim i opskrbljivim pitanjima, uključujući Crowdstrike, WannaCry i višestruki prekidi koji utječu na avionsku industriju.
Tvrtke moraju identificirati svoje najvažnije usluge i zaštititi infrastrukturu potrebnu za vođenje. To se obično postiže radnim koliko štete bi bilo uzrokovano prekidom usluge, a zatim bile usluge u skladu s tim. Najvažnije usluge trebaju dobiti najviše ulaganja i zaštite.
Transparentnost i pravovremeno izvještavanje su ključni
Kad stvari pođu po zlu, regulatori su željeni razumjeti detalje. Brojni propisi u globalnoj se fokusiraju na potrebu da se pravovremeno prijavi sigurnost, cyber i otpornost na otpornost. Primjeri uključuju Cyber incident koji se prijavljuju za kritičnu infrastrukturu (Circu) u SAD-u, u SAD-u izveštava o Dori u EU i prekršaj obaveštenja za incidente u vezi sa privatnošću, kao što je u okviru GDPR-a.
Firme bi trebale biti sigurni da mogu pravovremeno prijaviti cyber i operativne incidente, uključujući razumijevanje ko će izraditi i odobriti obavijest i ko će se povezati sa svakim regulatorom. Tada se trebaju biti informisani jer incident napreduje, uključujući ono što organizacija radi na rješavanju incidenta.
Svaka nadležnost može imati različite vremenske okvire za izvještavanje i tako da je zapisnik propisa i zahtjeva za izvještavanje (ažurirano najmanje mjesečno). Postoje alati koji to mogu automatizirati što bi moglo smanjiti napor potrebne za velike globalne organizacije da budu u toku sa zahtjevima za regulatorni izvještaji.
Fokus na temeljne cyber kontrole
Neke su jurisdikcije snažno podržavaju fokus na temeljnim cyber kontrolama. Na primjer, u SAD-u svaka firma koja želi ponuditi usluge oblaka savezne vlade treba ovjeriti pod shemom FedRamp kako bi se osiguralo da su osnovne cyber kontrole na mjestu.
Prepoznati standardi poput ISO27001 i NIST CSF-a postali su fokus za firme koje žele pokazati da oni neprestano poboljšavaju svoje cyber kontrole. Korisni su i za izveštavanje broda gde pripadnici Odbora trebaju razumeti relativna sanber zrelost njihove firme.
Firme bi trebale pregledati zrelost svojih cyber kontrola najmanje godišnje i na priznatim standardima. To je jednako važno za netehničke kontrole; Na primjer, osiguravajući da su timovi obučeni za uočavanje phishing napada, da postoji redovna vježbanja i simulacije za odgovor na incident i da su tendersko-otpornosti za vođenje otpornosti u potpunosti usklađene sa zaštitom firme i njegovih kupaca.
Učinite pravu stvar od strane svojih kupaca i ostalo će slijediti
To je implicitno u većini novih propisa da će se fokus na zaštitu kupaca dovesti do boljih sigurnosnih rezultata u cjelini. Neke su jurisdikcije nestale i pustile su regulaciju kako bi zaštitili ove rezultate (poput potrošačke dužnosti u industriji finansijskih usluga u Velikoj Britaniji).
Često se kada se najgore dogodi, kako firma pomaže svojim kupcima da se bave poremećajem je ključni (ali često zaboravljeni) dio odgovora. Nakon cyber-napada može trajati mjesecima i godinama s gotovo neizbježnim istragama, (neki vođeni regulatornim zahtjevima) koji slijede.
Iako je stara izreka “uvijek banka s bankom koja je upravo opljačkana”, možda je malo zamišljena, postoji element “anti-krhke” u tome, operacije firmi dobivaju snagu s vremenom. Firme se često ocjenjuju snage njihovog odgovora na kupce i tržišta; Oni koji to isprave često su u stanju da pojave jače i otpornije.
Vlade uvijek žele naglasiti važnost smanjenja regulatornih opterećenja i niko ne može tvrditi da regulacija ne bi trebala usporiti inovacije. Međutim, postoji opća percepcija da su javnosti, potrošači i tržišta bili zaštićeni od cyber-a i operativnih utjecaja i regulatora sada se bave tim problemima. To znači da vjerovatno nećemo vidjeti promjenu fokusa od cyber, operativne otpornosti i regulacije lanca opskrbe bilo kada.
Adam Stringer je šef cyber, privatnosti i operativne otpornosti u financijskim uslugama naPA Consulting
Pročitajte više o usklađenosti o regulatoru i standardnim zahtjevima
-
Cisos predstavlja prisustvo odbora za 77% tokom dvije godine
Napisao: Brian McKenna
-
Cyber inovacije za rješavanje povećanja regulacije, opterećenje prijetnjom
-
Vodič za usklađenost DOORA
Napisao: Cliff Saran
-
Gotovo polovina banaka u Velikoj Britaniji postavila je da će propustiti rok DORA
Napisao: Alex Scroxton