Поиск по сайту:

Как перестать быть перегруженным аудитом безопасности

Получить сертификацию по стандарту или соответствовать законодательству о защите данных всегда сложно. Соблюдение стандартов может показаться вам на беговой дорожке внутренних аудитов. Вот как избежать выгорания внутреннего аудита.

Требования к веб-соответствию

Если ваша организация собирает, обрабатывает или передает личные данные, вы должны соблюдать законодательство о конфиденциальности данных. Это может быть законодательство, принятое вашим собственным правительством, или это может быть иностранное законодательство, в зависимости от того, где субъекты данных — люди, чьи данные вы обрабатываете, — имеют гражданство. Именно гражданство субъектов данных определяет, какие внешние правила и нормы защиты данных вступают в силу, а не местонахождение вашего бизнеса.

Это законодательство может скоро накопиться. Например, европейским законодательством о защите данных является Общий регламент по защите данных. Если вы обрабатываете какие-либо персональные данные, относящиеся к европейским гражданам, вам необходимо соблюдать GDPR. Великобритания вышла из Европейского экономического союза 31 января 2021 года. Законодательством о защите данных в Соединенном Королевстве теперь является Закон Великобритании о защите данных (2018 года) (DPA2018). Вторая глава DPA2018 содержит слегка измененную версию GDPR ЕС. Поэтому, если вы обрабатываете личные данные британских граждан, вам также необходимо соблюдать это законодательство.

В США Закон штата Калифорния о конфиденциальности потребителей (CCPA) защищает личные данные и права субъектов данных жителей Калифорнии. В Неваде и Мэн есть собственное законодательство, и многие другие штаты, в том числе Нью-Йорк, Мэриленд, Массачусетс, Гавайи и Северная Дакота, внедряют или рассматривают возможность принятия собственных законов о защите данных и конфиденциальности.

Помните, что важно не то, где вы находитесь, а то, где проживают субъекты данных, и это определяет, нужно ли вам учитывать их местные законы о защите данных. Существуют исключения для некоторых из них, в зависимости, например, от количества личных записей, которые вы обрабатываете, и оборота вашей организации. Но вам все равно нужно пересмотреть законодательство, чтобы увидеть, обязаны ли вы его соблюдать или нет.

Возможно, вам потребуется соблюдать другое профессиональное или отраслевое законодательство, например Закон о переносимости и подотчетности медицинского страхования (HIPAA), Правило защиты конфиденциальности детей в Интернете (COPPA) или Закон Грэмма-Лича-Блайли (GLBA).

Хотите обрабатывать платежи по кредитным картам? Вы должны соответствовать стандарту безопасности данных индустрии платежных карт.

Кроме того, существуют необязательные стандарты, которые вы можете выбрать для принятия и соблюдения, например, европейский стандарт ISO 27001, стандарт Cyber Essentials в Великобритании или концепция кибербезопасности Национального института стандартов и технологий (NIST) в США. Вы можете быть вынуждены приобрести один из них, если этого требует ваша профессиональная организация, или достаточно крупный клиент требует, чтобы его поставщики были сертифицированы в соответствии с признанным стандартом кибербезопасности.

Многие организации добровольно принимают подобные стандарты и работают в соответствии с ними, чтобы:

  • Выгода от структуры и управления, которые обеспечивает платформа.
  • Чтобы продемонстрировать, что они серьезно относятся к кибербезопасности и что личные данные клиентов будут должным образом защищены.
  • Как деловое отличие или как «я тоже». Если все ваши конкуренты имеют сертификацию, вам нужно будет последовать их примеру.
  • Разрешить им участвовать в торгах по правительственным, военным или другим контрактам, которые требуют от организаций, участвующих в торгах, соблюдения определенных стандартов.

Согласно исследованию, проведенному компанией Telos, занимающейся облачной безопасностью, средняя организация должна соблюдать 13 различных стандартов или правил, связанных с безопасностью и конфиденциальностью данных. Это стоит 3,5 миллиона долларов США в год и потребляет 58 человеко-дней в квартал.

Хомячье колесо обслуживания

Разработка набора политик и процедур является первой частью достижения соответствия или сертификации законодательству или стандарту качества. Второй – обучение и ознакомление персонала с процедурами и процессами. Последним шагом является работа в соответствии с этими политиками и процедурами и обслуживание системы.

Разработка и внедрение в конечном итоге подходят к концу, как и большая часть обучения персонала. Новые сотрудники пройдут обучение в рамках вводного курса, но обучение существующего персонала в конечном итоге будет завершено. Однако техническое обслуживание системы никогда не заканчивается.

Вы должны:

  • Отслеживайте несоответствия и принимайте меры по исправлению процессов или переподготовке персонала, чтобы несоблюдение не повторялось.
  • Убедитесь, что ваши сотрудники соблюдают процедуры и ведется соответствующий контрольный журнал.
  • Отслеживайте законодательство и стандарты на наличие изменений и поправок и соответствующим образом обновляйте свои политики и процедуры.
  • Знайте о новом законодательстве по мере его принятия, часто в других юрисдикциях, которое может повлиять на ваши законные основания для сбора, обработки или передачи личных данных.

При наличии нескольких стандартов или наборов законодательных актов, которые необходимо соблюдать, это создает довольно большую рабочую нагрузку. Цикл внутренних аудитов и корректирующих действий может быть постоянной фоновой задачей. И неизбежно будет много совпадений между различными структурами и много повторений в типах действий, необходимых для поддержания того, что на самом деле является системами управления качеством для конфиденциальности и защиты данных.

Это может привести к тому, что аудиты будут проводиться на словах и будут проводиться как раздражение, которое необходимо проводить как можно быстрее, а не так тщательно, как они того требуют. Что вы можете сделать, чтобы избежать «выгорания» аудита соответствия?

Создание главного контрольного реестра

Различное законодательство и стандарты могут требовать технологических решений для некоторых вопросов, таких как брандмауэры и защита конечных точек, но большинство их требований связаны с контролем, достигаемым с помощью управления. Это оперативные средства контроля и гарантии, которые необходимо ввести в действие с помощью политик и процедур, чтобы обеспечить соблюдение каждого пункта или раздела законодательства.

Создайте список всех элементов управления из каждой из платформ, которые вы должны поддерживать. Установите, чего пытается достичь каждый элемент управления. У них будут имена, которые варьируются от фреймворка к фреймворку, но вы можете определить дубликаты, посмотрев, что они контролируют. В каждом случае выберите наиболее строгую версию этого элемента управления и добавьте ее в новый список.

Этот новый список сформирует базовый уровень, по которому вы сможете провести аудит. Если ваш внутренний аудит проходит успешно, и вы проводите аудит в соответствии с элементами управления в своем основном списке, аудит каждой отдельной структуры также будет пройден. Такая структура, как Контроль безопасности и конфиденциальности NIST для информационных систем и организаций , может помочь в создании вашего основного списка в формальной, проверяемой форме.

Ваша частота аудита должна быть установлена структурой, которая требует наиболее частых аудитов. Вы сможете тратить меньше времени на аудит, зная, что все фреймворки охватываются одним аудитом.

Ресурсы для внутреннего аудита

Внутренние аудиты не просто связывают тех, кто проводит аудит и изучает результаты. Руководители отделов, руководители групп или назначенные ими заместители втягиваются в поиск и предоставление доказательств, подтверждающих аудиторам соблюдение всех обязательных процедур. Специально уполномоченная команда аудиторов, наделенная соответствующими полномочиями, снимает это бремя с других.

Вы не хотите, чтобы их рассматривали как аудиторскую тайную полицию. Будет намного продуктивнее, если они будут рассматриваться как совместная единица, которая здесь, чтобы устранить болевые точки аудита. Если доказательство не может быть найдено или его недостаточно, аудиторская группа должна зарегистрировать инцидент, а также помочь исправить проблему. Со временем вы обнаружите, что они идеально подходят для того, чтобы стать сторонниками аудита и отстаивать стандарты безопасности и соблюдение законодательства в вашей организации.

Конечно, многие организации не в состоянии оправдать наличие специальной команды. Часто ответственность может быть разделена между подходящим набором сотрудников в качестве дополнения к их основной работе.

Другой вариант — отдать внутренний аудит на аутсорсинг. Это может звучать как противоречие в терминах, но это может быть простым решением. Вы должны найти аудиторов, которые знакомы с каждой из структур, которым вы должны соответствовать, и которые понимают, что они будут проводить внутренние аудиты по вашему основному контрольному списку.

Поскольку они являются внешней организацией, у них не будет доступа к сети и других привилегий, которые были бы у внутренней команды. Однако маловероятно, что они смогут помочь исправить проблемы или помочь улучшить доказательства низкой степени. Однако именно потому, что они являются внешней организацией, другие сотрудники могут относиться к ним более серьезно.

Необходимое зло

Аудиторское выгорание влияет как на аудиторов, так и на тех, кого они проверяют. Использование главного контрольного списка для аудита позволяет вам проводить аудит в соответствии с самыми строгими требованиями всех ваших фреймворков и при этом снизить накладные расходы на аудит. Это также гарантирует, что вы всегда будете готовы к ежегодным аудитам и выборочным проверкам.