Как перестать быть перегруженными аудитами безопасности — CloudSavvy IT

Shutterstock / EtiAmmos

Получить сертификат в соответствии со стандартом или в соответствии с законодательством о защите данных всегда сложно. При соблюдении стандартов может показаться, что вы находитесь на беговой дорожке внутренних аудитов. Вот как избежать выгорания внутреннего аудита.

Сеть требований соответствия

Если ваша организация собирает, обрабатывает или передает личные данные, вы должны соблюдать законодательство о конфиденциальности данных. Это может быть закон, принятый вашим собственным правительством, или это может быть закон из-за границы, в зависимости от того, где субъекты данных — люди, данные которых вы обрабатываете, — имеют гражданство. Какие внешние правила и нормы защиты данных вступают в силу, зависит от гражданства субъектов данных, а не от того, где находится ваш бизнес.

Этот закон может скоро накапливаться. Например, европейское законодательство о защите данных — это Общие правила защиты данных. Если вы обрабатываете какие-либо личные данные, касающиеся граждан Европы, вам необходимо соблюдать GDPR. Соединенное Королевство вышло из Европейский экономический союз 31 января 2021 г. Законодательство о защите данных в Соединенном Королевстве теперь является Закон о защите данных (2018) (DPA2018). Вторая глава DPA2018 содержит слегка измененную версию GDPR ЕС. Поэтому, если вы обрабатываете персональные данные британских граждан, вы также должны соблюдать это законодательство.

В США Закон Калифорнии о конфиденциальности потребителей (CCPA) защищает личные данные и права субъектов данных жителей Калифорнии. Невада и Мэн имеют собственное законодательство, и многие другие штаты, в том числе Нью-Йорк, Мэриленд, Массачусетс, Гавайи и Северная Дакота, вводят или рассматривают свои собственные законы о защите данных и конфиденциальности.

Помните, что важно не то, где вы находитесь, а то, где проживают субъекты данных, и определяет, нужно ли вам учитывать их местные законы о защите данных. Для некоторых из них существуют исключения, в зависимости, например, от количества обрабатываемых вами личных записей и оборота вашей организации. Но вам все равно нужно пересмотреть законодательство, чтобы понять, обязаны ли вы его соблюдать.

Возможно, вам придется соблюдать другое профессиональное или отраслевое законодательство, такое как Медицинское страхование Портативность и Акт об ответственности (HIPAA), Правило защиты конфиденциальности детей в Интернете (COPPA) или Закон Грэмма-Лича-Блайли (GLBA).

Хотите обрабатывать платежи по кредитной карте? Вам нужно удовлетворить Стандарт безопасности данных индустрии платежных карт.

Тогда есть дополнительные стандарты, которые вы можете выберите принять и следовать, например, Европейский ISO 27001 стандарт, Великобритания Cyber ​​Essentials стандарт или Национальный институт стандартов и технологий (NIST) Структура кибербезопасности в США Вы можете быть вынуждены получить один из них, если этого требует ваша профессиональная организация или если достаточно крупный заказчик требует, чтобы их поставщики были сертифицированы по признанному стандарту кибербезопасности.

Многие организации добровольно принимают и работают в соответствии с такими стандартами, чтобы:

  • Воспользуйтесь преимуществами структуры и управления, которые предоставляет структура.
  • Чтобы продемонстрировать, что они серьезно относятся к кибербезопасности и что личные данные клиентов будут надлежащим образом защищены.
  • Как отличительный признак бизнеса или как «я тоже». Если все ваши конкуренты имеют сертификаты, вам нужно будет последовать их примеру.
  • Разрешите им участвовать в тендерах на государственные, военные или другие контракты, которые требуют от участвующих организаций соблюдения определенных стандартов.

Согласно проведенным исследованиям компанией облачной безопасности Телос, средняя организация должна соблюдать 13 различных стандартов или нормативных актов, связанных с безопасностью и конфиденциальностью данных. Он стоит 3,5 миллиона долларов США в год и потребляет 58 человеко-дней в квартал.

Колесо обслуживания хомяка

Разработка набора политик и процедур — это первая часть достижения соответствия или сертификации законодательству или стандарту качества. Второй — обучение и ознакомление персонала с процедурами и процессами. Последний шаг — работа в соответствии с этими политиками и процедурами и поддержание системы.

Разработка и внедрение в конечном итоге подходят к концу, как и основная часть обучения персонала. Новые начинающие будут проходить обучение в рамках вводного курса, но обучение для существующего персонала в конечном итоге будет завершено. Однако обслуживание системы никогда не заканчивается.

Вы должны:

  • Отслеживайте несоответствия и действуйте для исправления процессов или переподготовки персонала, чтобы такое несоблюдение не могло повториться.
  • Убедитесь, что ваши сотрудники соблюдают процедуры и что ведется соответствующий контрольный журнал.
  • Следите за изменениями и дополнениями в законодательстве и стандартах и ​​соответствующим образом обновляйте свои политики и процедуры.
  • Помните о новом законодательстве, которое вводится в действие, часто в других юрисдикциях, которое может повлиять на вашу законную основу для сбора, обработки или передачи личных данных.

При наличии множества стандартов или законодательных актов, которые необходимо соблюдать, это создает значительную рабочую нагрузку. Цикл внутреннего аудита и корректирующих действий может быть постоянной фоновой задачей. И неизбежно будет много совпадений между различными структурами и много повторений в типах действий, необходимых для поддержания того, что фактически является системами управления качеством для конфиденциальности и защиты данных.

Это может привести к тому, что ревизии будут на словах и проводиться как раздражение, которое необходимо проводить как можно быстрее, а не так тщательно, как они того требуют. Что можно сделать, чтобы избежать выгорания комплаенс-аудита?

Создать главный контрольный регистр

Различное законодательство и стандарты могут потребовать технологических решений для некоторых проблем, таких как межсетевые экраны и защита конечных точек, но большинство их требований обеспечивается средствами контроля. управление. Это операционные средства контроля и гарантии, которые необходимо ввести в действие с помощью политик и процедур, чтобы обеспечить соблюдение каждого пункта или раздела законодательства.

Создайте список всех элементов управления из каждой платформы, которую вы должны поддерживать. Определите, чего пытается достичь каждый элемент управления. У них будут разные имена от фреймворка к фреймворку, но вы можете определить дубликаты, посмотрев, что они контролируют. В каждом случае выберите наиболее строгую версию этого элемента управления и добавьте ее в новый список.

Этот новый список сформирует основу, по которой вы сможете проводить аудит. Если ваш внутренний аудит прошел успешно, и вы проводите аудит по элементам управления в своем главном списке, аудит каждой отдельной структуры также будет пройден. Фреймворк, такой как NIST Безопасность и конфиденциальность информационных систем и организаций может помочь в создании вашего основного списка формальным и контролируемым образом.

Частота вашего аудита должна определяться структурой, которая требует наиболее частых аудитов. Вы сможете тратить меньше времени на аудит, зная, что все фреймворки охватываются одним аудитом.

Ресурсы для внутреннего аудита

Внутренний аудит не просто связывает тех, кто проводит аудит, и пытается изучить его результаты. Руководители отделов, руководители групп или их назначенные заместители вовлекаются в поиск и предоставление доказательств, чтобы доказать аудиторам, что все обязательные процедуры соблюдаются. Специально наделенная соответствующими полномочиями команда аудиторов снимает это бремя с других.

Вы же не хотите, чтобы их рассматривали как контрольную тайную полицию. Будет намного продуктивнее, если они будут рассматриваться как единое целое, призванное устранять болевые точки аудита. Если доказательства не могут быть обнаружены или их недостаточно, аудиторской группе необходимо зарегистрировать инцидент, а также помочь исправить проблему. Со временем вы обнаружите, что они идеально подходят для того, чтобы стать сторонниками аудита и отстаивать стандарты безопасности и соблюдение законодательства в вашей организации.

Конечно, многие организации не могут оправдать выделенную команду. Часто ответственность может быть разделена между подходящим отобранным персоналом в дополнение к их основной должностной роли.

Другой вариант — привлечь сторонних поставщиков для внутреннего аудита. С точки зрения терминологии это может звучать как противоречие, но это может быть простое решение. Вы должны найти аудиторов, которые знакомы с каждой из структур, которым вы должны соответствовать, и которые понимают, что они будут проводить внутренний аудит по вашему основному контрольному списку.

Поскольку они являются внешней сущностью, у них не будет доступа к сети и других привилегий, которые были бы у внутренней группы. Однако они вряд ли смогут помочь исправить проблемы или улучшить доказательства низкого качества. Однако именно потому, что они являются внешней организацией, другие сотрудники могут воспринимать их более серьезно.

Необходимое зло

Выгорание из-за аудита влияет как на аудиторов, так и на проверяемых. Использование главного контрольного списка для аудита позволяет выполнять аудит в соответствии с наиболее строгими требованиями всех ваших фреймворков и при этом сокращать накладные расходы на аудит. Это также гарантирует, что вы всегда будете готовы к ежегодным аудитам и выборочным проверкам.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *