Miksi kyberturvallisuuden ammattilaiset kamppailevat vaatimustenmukaisuuden kanssa?
Sisällysluettelo:
Säännösten noudattaminen on kyberturvatiimien kasvava prioriteetti, kun he kohtaavat kasvavia kyberturvallisuusriskejä, lisäävät teknologian käyttöä ja kamppailevat liikkuakseen nopeasti kehittyvässä lainsäädäntöympäristössä. Lakien, kuten UK Data Protection Act 2018 ja EU AI Act, sisältämien säännösten noudattamatta jättäminen voi johtaa merkittäviin sakkoihin. Mutta koska kyberturvallisuustiimit ovat jo ylikuormitettuja ja ylimmän johdon painostuksen alaisia, se on kaukana yksinkertaisesta.
Tässä alan standardeilla voi olla suuri merkitys säädöstenmukaisuuden tehostamisessa.
Vaatimustenmukaisuus ei ole helppoa
Vaatimusten noudattaminen on kasvava haaste monille kyberturvallisuuden ammattilaisille. Jonkin sisällä Tuore tutkimus Infosecurity Europen johtamasta 200 teknologian päätöksentekijästä lähes puolet (44 %) myöntää, että heillä on vaikeuksia noudattaa kyberturvallisuuslainsäädäntöä, koska se on liian vaikea ymmärtää ja sen toteuttaminen vie liian aikaa.
Se paljastaa, että 12 olemassa olevasta ja syntymässä olevasta kyberturvallisuusmääräyksestä Yhdysvaltain Sarbanes-Oxley Act (SOX) on yksi monimutkaisimmista toteuttaa. Itse asiassa 41 % vastaajista kuvaili sitä "erittäin monimutkaiseksi". Samaan aikaan 75 % kyberturvallisuuden ammattilaisista uskoo, että Yhdistyneen kuningaskunnan tietosuojalaki, EU:n kyberturvallisuuslaki ja NIS/NIS2 ovat "jokseenkin monimutkaisia" noudattaa.
Muualla tässä tutkimuksessa 24 prosenttia vastaajista sanoo, että EU:n kyberturvallisuuslaki ja Data Security and Protection Toolkit (DSPT) ovat heidän organisaatioilleen tärkeimmät säädökset, ja sen jälkeen tulee Yhdistyneen kuningaskunnan tietosuojalaki (22 %). Hälyttävää kyllä, vain 50 % organisaatioista noudattaa täysin SOX-standardia ja EU:n kyberturvallisuuslakia, mikä kuvaa kyberturvallisuus- ja vaatimustenmukaisuustiimien kohtaamia haasteita nopeasti kehittyvän sääntelyympäristön keskellä.
Nämä ongelmat on korostettu myös ISMS.onlinessa Tietoturvan tila 2024 raportissa, jossa määräysten ja standardien noudattaminen on toiseksi suurin kyberturvatiimien kohtaama haaste (33 %). Toisessa raportin keskeisessä havainnossa lähes puolet (46 %) vastaajista sanoo, että ISO 27001 -standardin noudattaminen voi kestää kuudesta 12 kuukauteen. Ylimääräiset 11 % vaatisi 12–18 kuukautta tämän tavoitteen saavuttamiseksi, ja 5 % vastaajista venyisi yli puoleentoista vuoteen.
Taakka kasvaa
Asianajotoimisto RPC:n yhteistyökumppanin Richard Breavingtonin mukaan yksi tärkeimmistä syistä, miksi kyberturvatiimit pitävät vaatimusten noudattamista niin vaikeana, on alan säännösten kasvava laajuus ja monimutkaisuus.
"Organisaatioihin mahdollisesti vaikuttavan lainsäädännön valtava määrä yhdistettynä siihen, että se muuttuu ja päivitetään nopeasti, tarkoittaa, että vaatimustenmukaisuuden varmistaminen voi olla haaste", hän kertoo ISMS.onlinelle. "Lisäksi nämä määräykset edellyttävät erilaisia teknisiä ja organisatorisia standardeja, jotka eivät välttämättä ole yhtenäisiä."
Steven Wood, IT-tietoturvayrityksen OpenText Cybersecurityn ratkaisukonsultoinnin johtaja, syyttää tätä vaatimustenmukaisuuspäänsärkyä osittain kuluttajateknologian luvattomasta käytöstä, odottamattomista fuusioista, aliinvestoinneista ja jatkuvasta paineesta pysyä kilpailijoiden edellä.
"Uhkamaailman kehittyessä turvallisuustiimien haasteena on turvata dynaamiset IT-ympäristöt noudattaen samalla tiukkoja vaatimustenmukaisuusvaatimuksia", hän kertoo ISMS.online-sivustolle. "Lisäksi kehittyvät uhat, kuten tietojenkalastelu, toimitusketjun hyväksikäyttö, sisäpiiriuhat ja nollapäivän haavoittuvuudet, edellyttävät monitahoista lähestymistapaa kyberturvallisuuteen."
Sean Wright, Featuresspacen sovellusten tietoturvapäällikkö, ehdottaa, että kasvava kyberturvallisuusvaje – johtava haaste, jonka 31 % ISMS.online-tutkimuksen vastaajista havaitsi – tarkoittaa, että monilla organisaatioilla ei yksinkertaisesti ole resursseja noudattaa uusia ja nousevia säädöksiä. .
Hän kertoo ISMS.online-sivustolle, että vaatimusten noudattaminen on harvoin "kertaluonteista" yrityksille – sen sijaan se vaatii jatkuvaa kyberturvatiimien huomiota. Hän lisää, että olemassa olevien lakien jatkuvat muutokset – uusien säännösten käyttöönoton ohella – lisäävät venyneiden kyberturvatiimien taakkaa ja työtaakkaa, mikä helpottaa keskeisten yksityiskohtien huomaamatta jättämistä tai huomiotta jättämistä.
Vaatimustenmukaisuuden tehostaminen
RPC:n Breavington uskoo, että organisaatiot voisivat virtaviivaistaa prosessia delegoimalla "merkittävän noudattamissuunnitelman" luomisen ja toteuttamisen erityiskoulutetuista ammattilaisista koostuvan tiimin tehtäväksi.
Nämä asiantuntijat ottaisivat johdon asiaankuuluvien määräysten tunnistamisessa, tärkeimpien lakivaatimusten ymmärtämisessä ja organisaation täydellisen noudattamisen varmistamisessa, hän sanoo.
"Mahdollisuuksien mukaan kannattaa yrittää löytää johdonmukaisia teknisiä standardeja, jotka mahdollistavat noudattamisen kaikkialla, vaikka se merkitsisi mahdollisesti joidenkin säännösten edellyttämää ylitystä", hän väittää.
Työntekijöiden kouluttaminen viimeisimmistä tietoturva-, sosiaalisen suunnittelun ja vaatimustenmukaisuuden trendeistä voi myös auttaa organisaatioita noudattamaan paremmin kyberturvallisuusmääräyksiä ja suojelemaan mainetta, OpenText Cybersecurity's Wood väittää.
"Kattavat työntekijöiden koulutusohjelmat ovat elintärkeitä, jotta voidaan estää ihmisten haavoittuvuuksien hyödyntäminen", hän sanoo.
Featuresspacen Wright kehottaa kyberturvatiimejä ottamaan käyttöön "vakavia" ja "toistettavia" prosesseja täyttääkseen jatkuvat sääntelyvelvoitteet. Hän myös rohkaisee heitä automatisoimaan "toistettavia kohteita", jotta nämä sitoumukset eivät kuluta tärkeitä kyberturvallisuusresursseja.
Yritykset voivat lisätä kyberturvallisuuden noudattamisohjelmiensa tehokkuutta varmistamalla, että jokainen tiimin jäsen ymmärtää näiden säännösten tärkeyden, hän jatkaa. Tämä varmistaa, että vaatimusten noudattamisesta "ei tule vain turvallisuustiimin ponnisteluja, vaan koko yrityksen laajuista työtä".
ISO 27001:n merkitys
Ottamalla käyttöön maailmanlaajuisesti tunnustetun alan standardin, kuten ISO 27007, organisaatiot voivat kehittää parhaita käytäntöjä, joita tarvitaan kyberturvallisuuden parantamiseksi ja viime kädessä viranomaisten vaatimusten täyttämiseksi.
RPC:n Breavington selittää, että nämä akkreditoinnit on helppo päivittää ja ne osoittavat organisaation jatkuvan sitoutumisen säännösten noudattamiseen. Hän ehdottaa, että tämä on tehokkaampi lähestymistapa kuin "monien ja mahdollisesti vähemmän erityisten lakien ja sääntelyvaatimusten seuraaminen".
Wright näkee myös ISO 27007:n noudattamisen arvon, koska uskoo, että sen avulla organisaatiot voivat parantaa asiakkaiden luottamusta kyberturvallisuuteen ja vaatimustenmukaisuuteen. Hän lisää, että tekniset ratkaisut, kuten tietoturvan hallintajärjestelmä (ISMS), mahdollistaisivat niiden virtaviivaistamisen ja joidenkin vaatimustenmukaisuusvaatimusten täyttämisen – ja näin tehden "vapauttaisivat resursseja" loppuun palaneilta ja ylityöllistyneiltä kyberturvatiimeiltä.
Ottaen huomioon mahdolliset taloudelliset ja mainevaikutukset, alan säännösten noudattamatta jättäminen ei ole vaihtoehto. Mutta käyttäjien tietoisuusohjelmien, alan parhaiden käytäntöjen ja uusimpien automatisoitujen kyberturvallisuustyökalujen avulla organisaatioilla on ainakin tapa vähentää taakkaa.
