מדוע מקצועני אבטחת סייבר עדיין נאבקים עם באנר תאימות

מדוע מקצועני אבטחת סייבר נאבקים בציות?

עמידה ברגולציה היא בראש סדר העדיפויות של צוותי אבטחת סייבר, שכן הם עומדים בפני סיכוני אבטחת סייבר הולכים וגדלים, מגבירים את השימוש שלהם בטכנולוגיה ומתקשים לנווט בנוף חקיקתי המתפתח במהירות. אי עמידה בתקנות המעוגנות בחוקים כמו חוק הגנת הנתונים של בריטניה 2018 ואמצעי חוק AI של האיחוד האירופי עלול להוביל לקנסות משמעותיים. אבל כשצוותי אבטחת סייבר כבר מתוחים יתר על המידה ותחת לחץ מההנהלה הבכירה, זה רחוק מלהיות פשוט.

זה המקום שבו הסטנדרטים בתעשייה יכולים למלא תפקיד גדול בסיוע לייעל ציות לרגולציה.

ציות לא קל

תאימות היא אתגר הולך וגובר עבור אנשי מקצוע רבים בתחום אבטחת הסייבר. ב סקר שנערך לאחרונה מתוך 200 מקבלי החלטות טכנולוגיות שבוצעו על ידי Infosecurity Europe, כמעט מחציתם (44%) מודים שהם נאבקים לציית לחקיקת אבטחת הסייבר מכיוון שקשה מדי להבנה וגוזל זמן רב מדי ליישום.

הוא מגלה שמתוך 12 תקנות אבטחת סייבר קיימות ומתפתחות, חוק Sarbanes-Oxley האמריקאי (SOX) הוא בין המסובכים ביותר ליישום. למעשה, 41% מהנשאלים תיארו את זה כ"מורכב מאוד". בינתיים, 75% ממומחי אבטחת הסייבר מאמינים שחוק הגנת המידע בבריטניה, חוק אבטחת הסייבר של האיחוד האירופי ו-2 ש"ח/ש"ח הם "מעט מורכבים" לציית אליהם.

במקום אחר במחקר זה, 24% מהמשיבים אומרים שחוק אבטחת הסייבר של האיחוד האירופי ו-DATA Security and Protection Toolkit (DSPT) הם התקנות הרלוונטיות ביותר עבור הארגונים שלהם, ואחריהם חוק הגנת המידע הבריטי (22%). באופן מדאיג, רק 50% מהארגונים תואמים באופן מלא ל-SOX ולחוק אבטחת הסייבר של האיחוד האירופי, מה שממחיש את האתגרים העומדים בפני צוותי אבטחת סייבר ותאימות בתוך נוף רגולטורי המתפתח במהירות.

סוגיות אלה מודגשות גם ב-ISMS.online's מצב אבטחת המידע 2024 דו"ח, המדרג את הציות לתקנות ולתקנים כאתגר השני בגודלו העומד בפני צוותי אבטחת סייבר (33%). בממצא מרכזי נוסף מהדוח, כמעט מחצית (46%) מהמשיבים אומרים שעמידה בתקן ISO 27001 יכולה להימשך בין שישה ל-12 חודשים. 11% נוספים ידרשו 12-18 חודשים כדי להשיג יעד זה, שיתפרשו עד למעלה משנה וחצי עבור 5% מהמשיבים.

הנטל גדל

אחת הסיבות העיקריות לכך שצוותי אבטחת סייבר מתקשים כל כך בציות היא ההיקף והמורכבות ההולכת וגוברת של תקנות התעשייה, לפי ריצ'רד ברוינגטון, שותף בחברת עורכי הדין RPC.

"הכמות העצומה של חקיקה שיכולה להשפיע על ארגונים, יחד עם העובדה שהם משתנים ומתעדכנים במהירות, פירושו שזה יכול להיות אתגר להבטיח ציות", הוא אומר ל-ISMS.online. "בנוסף, תקנות אלו דורשות תקנים טכניים וארגוניים שונים שאינם בהכרח אחידים".

סטיבן ווד, מנהל ייעוץ פתרונות בחברת אבטחת ה-IT OpenText Cybersecurity, מאשים את כאב ראש התאימות הזה בחלקו בשימוש לא מורשה בטכנולוגיה צרכנית, מיזוגים בלתי צפויים, תת השקעה והלחץ המתמיד להישאר לפני המתחרים.

"כשנוף האיומים ממשיך להתפתח, צוותי אבטחה מתמודדים עם האתגר של אבטחת סביבות IT דינמיות תוך עמידה בדרישות תאימות מחמירות", הוא אומר ל-ISMS.online. "בנוסף, איומים מתפתחים כמו פישינג, ניצול שרשרת אספקה, איומים פנימיים ופגיעויות של יום אפס מחייבים גישה רב-גונית לאבטחת סייבר."

שון רייט, מוביל אבטחת יישומים ב-Featurespace, מציע שהפער ההולך וגדל במיומנויות אבטחת סייבר - אתגר מוביל שזוהה על ידי 31% מהנשאלים במחקר ISMS.online - פירושו שלארגונים רבים פשוט אין את המשאבים לציית לתקנות חדשות ומתפתחות. .

הוא אומר ל-ISMS.online כי תאימות היא רק לעתים נדירות תרגיל "חד-פעמי" עבור עסקים - במקום זאת דורש תשומת לב מתמשכת של צוותי אבטחת סייבר. הוא מוסיף כי שינויים מתמידים בחוקים הקיימים - לצד הכנסת תקנות חדשות - מגבירים את העומס ועומס העבודה על צוותי אבטחת סייבר מתוחים, ומקלים עליהם לפספס או להתעלם מפרטים מרכזיים.

ייעול הציות

Breavington של RPC מאמינה שארגונים יכולים לייעל את התהליך על ידי האצלת יצירה ויישום של "תוכנית ציות משמעותית" לצוות ייעודי של אנשי מקצוע שעבר הכשרה מיוחדת.

מומחים אלה יובילו בזיהוי תקנות רלוונטיות, הבנת דרישות משפטיות מרכזיות והבטחת הארגון שלהם תואם באופן מלא, הוא אומר.

"במידת האפשר, כדאי לנסות למצוא תקנים טכניים עקביים שיאפשרו עמידה בכל רחבי הלוח, גם אם זה אומר שעלול להיות מעבר למה שנדרש עבור חלק מהתקנות", הוא טוען.

חינוך עובדים על המגמות העדכניות ביותר של אבטחת מידע, הנדסה חברתית ותאימות יכול לעזור לארגונים לציית טוב יותר לתקנות אבטחת סייבר ולהגן על המוניטין שלהם, טוען ווד של OpenText Cybersecurity.

"תוכניות חינוך מקיפות לעובדים הן חיוניות כדי למנוע ניצול פגיעות אנושיות", הוא אומר.

רייט של Featurespace קורא לצוותי אבטחת סייבר ליישם תהליכים "חזקים" ו"ניתנים לחזרה" כדי לעמוד בהתחייבויות רגולטוריות מתמשכות. הוא גם מעודד אותם לבצע אוטומציה של "פריטים הניתנים לחזרה" כדי שההתחייבויות הללו לא ירוקנו משאבי אבטחת סייבר חיוניים.

חברות יכולות להגביר את האפקטיביות של תוכניות הציות שלהן לאבטחת סייבר על ידי הבטחת שכל חבר צוות מבין את החשיבות של תקנות אלה, הוא ממשיך. זה יבטיח שעמידה בדרישות "לא רק תהפוך למאמץ של צוות אבטחה אלא למאמץ כלל החברה".

החשיבות של ISO 27001

על ידי יישום תקן תעשייתי מוכר עולמי כגון ISO 27007, ארגונים יכולים לפתח את הפרקטיקות הטובות ביותר הנדרשות לשיפור עמדת אבטחת הסייבר שלהם ובסופו של דבר לעמוד בדרישות הרגולטורים.

Breavington של RPC מסביר כי הסמכות אלו פשוטות לעדכון וידגימו את המחויבות המתמשכת של הארגון לציות לרגולציה. הוא מציע שזו גישה יעילה יותר מאשר "מעקב אחר הדרישות המשפטיות והרגולטוריות המרובות והפחות ספציפיות".

רייט גם רואה את הערך במעקב אחר ISO 27007, מתוך אמונה שזה יאפשר לארגונים לשפר את הביטחון של הלקוחות בגישתם לאבטחת סייבר ותאימות. הוא מוסיף כי פתרונות טכניים כמו מערכת ניהול אבטחת מידע (ISMS) יאפשרו להם לייעל ולעמוד בכמה דרישות תאימות - ובכך "לפנות משאבים" על פני צוותי אבטחת סייבר שרופים ועמוקים מדי.

בהתחשב בהשלכות הפיננסיות והמוניטין הפוטנציאליות, אי ציות לתקנות התעשייה אינה אופציה. אבל בעזרת תוכניות מודעות למשתמשים, שיטות עבודה מומלצות בתעשייה וכלי אבטחת הסייבר האוטומטיים העדכניים ביותר, יש לפחות דרך לארגונים להפחית את הנטל.

 

 

מְחַבֵּר

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.

הצג את כל הפוסטים של ניקולס פירן

פוסטים קשורים

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!