サイバーセキュリティハブの最近リリースされたレポートによると、コンプライアンスは継続的な組織プロセスであり、事後対応ではないと見なす必要があります 企業コンプライアンスによるリスクの低減。 無数の業界の規制や法律が経営幹部の意思決定の複雑さを増しているため、CISOは新たに進化するリスクと、サイバーセキュリティへの投資がかつてないほど重要である理由について経営幹部を教育する必要があります。
欲望はそこにあります。 2019年のESGレポートによると、ビジネスリーダーはビジネスプロセス全体に関連するサイバーリスクを高レベルで理解する必要があるため、サイバーセキュリティチームは、セキュリティデータをビジネスメトリックに変換するより良い仕事をする必要があります。 包括的なサイバーリスク管理の差し迫った必要性.
企業のコンプライアンスレポートによると、CISOはセキュリティプログラムとビジネス目標を連携させることで、組織を主導し、サイバーセキュリティとコンプライアンスを確実に連携させることができます。
ガバナンス、リスク管理、コンプライアンス
コンプライアンスとリスクは密接に関連しているため、組織はガバナンス、リスク管理、コンプライアンス(GRC)プログラムの実装を検討して、XNUMXつの分野間の情報共有を改善する必要があります。
「コンプライアンスとリスク軽減の間には共生関係があります」とESGグローバルシニアプリンシパルアナリストのジョンオルチクは述べています。 「コンプライアンス基準が厳しくなるにつれて、リスクをさらに監視、管理、軽減することにも役立ちます。」 リスク管理プログラムは、リアルタイムの要件に対処し、動的な変化を監視し、データを分析し、優先順位とタイミングを変更しながら緩和の決定を下すことができると、オルティックは述べています。「コンプライアンスがこのペースに追いつくとは思えませんが、リアルタイムで、サイバーリスク管理は、組織がコンプライアンスイニシアチブをより適切に監視、管理、監査するのに役立つことは確かです」と彼は付け加えました。
GRCのコンプライアンスの側面は、組織が規定の要件にどのように準拠するかを定義します。 企業のコンプライアンスレポートによれば、管理プロセスは、適用可能な要件を特定し、法律、業界の規制、および会社のポリシーの役割を検討します。 コンプライアンスの状態を評価するためのプロセスも実装する必要があります。 次に、ギャップ分析を実施して、コンプライアンスの達成に関連するリスクと潜在的なコストと非コンプライアンスのリスクと潜在的なコストを特定できます。 エンタープライズコンプライアンスレポートによると、この演習の結果は、是正措置の優先順位付けについてビジネスに通知します。
良いニュースは、2019年のESG調査です。大多数の組織が、来年にはサイバーリスク管理への支出を増やすと予想しています。 しかし、それに伴い、セキュリティリーダーはビジネスリーダーや取締役会のメンバーにより優れた可視性を提供する必要があるとESGは強調しました。 同社によると、これは、追加の通信、継続的な監視、定義された指標、およびより広範なサイバーセキュリティプログラムの組み合わせによって実現される可能性があります。
関連を参照: 規制とコンプライアンスのためのサイバーセキュリティリーダーの準備
コンプライアンスにおけるサイバーセキュリティの役割
組織は、法律や規制に従わない場合、罰金や罰則のリスクがあります。 コンプライアンスを達成するには、州法と連邦法を組み合わせた内部ポリシーが必要です。 ガバナンスは、組織の従業員、従業員、役員、パートナーがコンプライアンスポリシーを完全に認識していることを保証します。
リスク評価がサイバーセキュリティの他の側面で実装されているのと同じように、コンプライアンスで使用すると、データインシデントの可能性とその組織への影響についての認識が高まると、エンタープライズコンプライアンスレポートは述べています。 これらの評価は、サイバー脅威に関連するリスクを効果的に説明するために、役員や取締役会に提示できます。
リスクが低いと認識されている業界 脅威 またはリソースの少ない組織は、コンプライアンスプログラムを優先せず、対象を絞ったセキュリティプログラムに重点を置く可能性があります。 たとえば、組織は、エンドポイント防御戦略ではなく、従業員のセキュリティ意識向上トレーニングに投資する場合があります。 ただし、このトレードオフは組織のリスクを増大させ、チェックされない潜在的な脆弱性を生み出します。
対照的に、コンプライアンスプログラムでは、リスクを増大させる可能性のある資産保護のためのガイドラインが必要です。 コンプライアンス、法務、IT、プライバシーなどの主要なビジネス関係者間のパートナーシップは、サイバーセキュリティの成功に不可欠です。
「セキュリティリーダーは常に、全体的なリスク管理または組織の全体的なリスクを特定する義務を負うリスク担当者と協力する必要があります」とNIH Center for Information TechnologyのCISOであるJothi Dugarは述べています。
オンラインセミナー: 企業のコンプライアンスによるサイバーリスクの低減
規制コンプライアンスフレームワーク
確立された業界の要件、仕様、および政府の法律に組織のプロセスを結び付けるのに役立つ、確立された規制コンプライアンスフレームワークが多数あります。 CISOおよびその他のサイバーセキュリティの専門家は、適切なフレームワークにそれらを一致させるために、組織の特定のニーズを決定する必要があります。
レポートには、サイバーセキュリティの専門家が各フレームワークで果たす役割とともに、いくつかがリストされています。 以下が含まれます:
•サーベンスオクスリー法
•HIPAA / HITECH
•PCI DSS
•NIST
•ISO / IEC 27000
•FedRamp
しかし、NIHのDugarが指摘するように、「単にフレームワークに準拠するだけでは、組織に付加価値はありません」。
機会としてのサイバーセキュリティ–義務ではない
今日、規制されていない業界のようなものは実際にはありませんが、規制されていない業界があります、とデータプライバシーとサイバーセキュリティ法の専門家であるジャマル・ハーテンシュタインは言いました。
したがって、サイバーセキュリティのリーダーは、義務ではなくビジネスチャンスとして規制遵守に取り組む必要があります。 「これは、コンプライアンスを競争上の優位性に変え、規制の緩和された業界が規制を受ける前に業界の競争を勝ち抜くことを意味します」とHartenstein氏は述べています。
サイバーセキュリティのリーダーは、フレームワークを遵守することで、現在規制されていない業界ガイドラインへの準拠をサポートできると彼は助言した。 「これにより、将来立法機関が追いつくときにコンプライアンスの取り組みのコストが削減され、準備が整うので、規制が強化されても、かみ傷がポケットにそれほど害を及ぼすことはありません。」
コンプライアンスにおけるサードパーティのパートナーシップの価値
独立した外部評価は、組織が規制順守プログラムの透明性を実証するのに役立ちます。 ESG Globalのバイスプレジデント兼サイバーセキュリティグループディレクターであるDoug Cahill氏によると、実際には、組織の業界に固有のサイバーセキュリティの専門知識が、エンタープライズクラスのベンダーの最も重要な品質を特定するセキュリティリーダーの最近の調査における主な回答でした。
サイバーリスク管理レポートは、サードパーティが組織に導入されているもののコンプライアンスとセキュリティの評価を実施するために持ち込まれると、偏見なく緩和策を提案できると述べています。
エンタープライズコンプライアンスレポートでは、サイバーセキュリティをコンプライアンスプログラムに統合するための業界の専門家によるベストプラクティスも引用しています。 詳細については、 レポート全体をここからダウンロード.
出典:https://www.cshub.com/security-strategy/articles/the-role-of-cyber-security-in-compliance
