揭开法规遵循的神秘面纱

面向安全领导者和IT决策者 介绍 监管框架和标准的制定是为了解决管理信息技术和保护数据方面的挑战和要求。这些框架和标准不仅随着时间的推移而演变，而且还受到技术进步和新出现的网络安全威胁的影响。框架和标准的发展主要受到以下因素的推动 ： 显然，面对网络威胁，组织需要具备复原力，确保能够继续运营并从中断中迅速恢复。随着收集和处理的个人数据数量不断增加，保护这些数据免受网络威胁和数据泄露的需求也日益强烈。网络事件不仅会对经济产生重大影响，导致经济损失，破坏更广泛经济领域对数字服务的信任，而且在某些情况下还会造成生命损失，尤其是在医疗保健行业成为攻击目标的情况下。 •监管机构强调，组织需要对其网络安全实践负责，并遵守特定的标准和法规。 •高级网络威胁越来越频繁，破坏性也越来越大。复杂程度通常仅限于国家支持的威胁，但现在却掌握在机会主义者和黑客分子手中。 •对社会和经济运作至关重要的关键基础设施和基本服务（例如，医疗保健、能源、金融）。这包括联邦立法，如2022年3月的《关键基础设施网络事件报告法》(CIRCA)。 法规遵循对于建立组织复原力至关重要。能够全面把握自身风险的企业认识到，合规不仅仅是一项复选框活动，而是整体安全战略的基本组成部分。通过遵守法规和实施安全最佳实践，企业可以更好地抵御大多数网络事件并迅速恢复。这种方法确保了当危机来袭时，快速恢复的基础已经到位。 •不同部门和地区的网络安全实践缺乏统一性。不一致的方法会导致安全漏洞和合规挑战。 •美国总统于2021年5月通过了关于改善国家网络安全的行政命令。 如果公司的数字基础架构受到攻击，其影响可能远不止是数据丢失。停机、核心功能丧失、潜在的销售中断以及人们对组织的看法都是网络事件可能造成的影响。 在这些可能性中，对人类生命的影响是最重要的考虑因素。在金融服务行业（FSI）和医疗保健（HC）行业，网络威胁可能会对个人层面产生改变生活的影响，包括账单、支付和医疗服务等关键服务。诸如此类的担忧和风险是企业通过遵守行业法规来改善安全态势的充分理由。 为什么合规性很重要 合规性涉及遵守适用于组织所在行业和地区的法律和法规。投诉有助于减少对企业的影响，从赎金支付造成的收入损失到运营中断、数据泄露、监管罚款和声誉损害。合规标准正在迅速变化，并将继续变化。今天为实现当前目标而制定的法规在未来可能行不通。跟上新的框架和法规及其新的期望是保护企业的不二法门。 此类法规与框架协同工作。例如，框架为遵守法规奠定了基础，而法规则推动了框架的采用。框架还可帮助企业超越最低法规要求，便于合规和审计，同时法规可确保各部门的基线安全保持一致。一些广泛使用的框架包括 ： 法规与框架 法规和框架之间的核心区别在于您想要实现的目标。框架提供了一套结构化的指南、最佳实践和标准，各组织可利用这些指南、最佳实践和标准来管理和改善其网络安全状况。不同的是，法规是由政府或监管机构实施的法律要求，目的是在各组织中强制执行网络安全实践的最低标准。一些广泛使用的法规包括 ： •NIST网络安全框架（CSF）—提供了一种管理网络安全风险的全面方法。•CIS控制—一套抵御网络威胁的最佳实践。•COBIT—提供IT管理和治理框架，重点关注IT（包括网络安全）的控制目标。 •GDPR（《通用数据保护条例》）—欧盟数据保护和隐私法规。•HIPAA（《健康保险可携性和责任法案》）—美国关于保护医疗保健信息的法规。•SOX（Sarbanes-Oxley Act）—美国对金融惯例和公司治理的监管。•PCI DSS（支付卡行业数据安全标准）—保护信用卡交易的标准。•FISMA（联邦信息安全管理法案）—美国保护政府信息的法律。 框架提供了管理网络安全的最佳实践，而法规则强制执行最低标准，以确保跨部门的基线安全。 风险管理与合规 GRC工具概述及其优点 ： GRC工具旨在帮助组织自动化和管理合规性的各个方面，包括政策制定、风险评估、审计跟踪和事件响应。这些工具具有以下几个主要优势 ： 基于风险的方法始于彻底的风险评估。此过程应涉及各种利益相关者的意见，包括安全团队、IT人员、法律专家和业务领导者。 •集中式合规管理 ：GRC工具允许组织将合规活动整合到一个平台中。•合规任务自动化 ：通过自动执行日常合规任务（例如监控访问日志或生成审计报告），GRC工具可以释放宝贵的时间。•增强的可视性和报告 ：GRC工具提供了合规状态的实时可见性，使安全领导者更容易跟踪进展、找出差距，并向监管机构和审计人员证明合规性。•持续监控和改进 ：GRC工具支持对合规活动的持续监控，使组织能够主动识别和解决问题，而不是被动地解决问题。 例如，考虑到数据的敏感性和数据泄露的潜在后果（例如患者数据丢失和HIPAA规定的监管罚款），医疗保健提供商可能会将保护电子病历（EHR）确定为重中之重。通过优先考虑EHR安全性，提供商可以将其合规工作集中在实施减轻最重大风险的控制上。 随着监管要求的复杂性不断提高，组织越来越多地转向治理、风险管理和合规（GRC）工具来简化其合规流程、提高可见性并确保持续监控和改进。 基于风险的合规方法可针对每个组织的独特风险调整安全工作，确保优先处理关键威胁。 为什么采用合规法规非常重要 了解组织的风险以及如何应对这些风险并不是为了找错。相反，找到事实很重要，这样你才能帮助你的组织保护和向前发展。虽然高管们可能认为他们的组织已经做好了准备并具有网络复原力，但实际情况可能大相径庭—这将组织置于风险之中。 全球合规性 纵观全球网络立法，共有150多个国家/地区制定了某种网络立法。其中一些包括欧盟的DORA以及英国的NIS/NIS2。日本有《金融服务法》，中东有《国家电子安全法》和《迪拜金融城数据保护法》。在全球范围内，各国可以参考NIST。美国人一提到勒索软件和监管罚款，就会想到安全与交易委员会(SEC)。尽管有多种监管选择，但只有不到100个国家/地区制定了关键基础设施法规。这表明，许多国家并没有在高层次上处理安全问题，尽管非常需要关注这些关键的基础设施环境。具体到医疗保健行业，包括研究和生物技术，各国往往有不同的规定。 确保董事会层面的参与和承诺是实现合规的主要途径。为了降低风险，企业需要在整个组织内营造一种合规文化。管理层有责任按照规定实施流程和技术。重要的是要退一步，确保法律法规在公司所处行业和地域的背景下得到遵守。 随着行业的不断发展和变化，合规和法规标准也会随之改变。但是，您不希望公司在合规性方面落后，因为这样您就会面临疏忽的风险，而这正是高管或董事会成员需要承担惩罚措施责任的时候。停机或勒索软件攻击可能会造成经济处罚和声誉损失。但是，企业在满足不同法规遵循方面越成熟，就越有可能迅速恢复。 合规法规可确保您的组织为网络事件做好准备，董事会层面的参与对于培养安全文化至关重要。 在金融业，主要法规之一是GLBA，即《格雷姆—里奇—比利雷法案》。该法案要求向消费者提供金融产品或服务（如贷款、金融或投资建议或保险）的金融公司向客户解释其信息共享做法并保护敏感数据。如果金融公司不遵守框架或法规，他们就有可能面临潜在的成本风险，如重大经济损失、罚款、经济稳定性和声誉受损。 金融服务和医疗行业的差异 企业必须不断适应新的法规，以保持合规性，并在不断变化的网络安全威胁面前保持领先。 在美国，《关键基础设施网络事件报告法》(CIRCA)列出了16个关键行业，这些行业必须遵守不同的法规。当人们想到关键行业时，他们通常会想到水坝、电网，当然还有医疗保健。医疗保健和金融服务在全球人民的日常生活中发挥着关键作用。如果考虑到缺乏安全合规性可能会对医疗机构造成的负面影响，那么这种影响会影响到人们的生活。 HIPPA是人们在提到医疗合规性时会想到的主要法规之一。HIPAA隐私规则建立了保护某些健康信息的国家标准，而HIPAA安全规则建立了一套国家安全标准，用于保护以电子形式保存或传输的某些健康信息。如果医疗保健提供商没有得到适当的保护或不合规，那么在发生赎金攻击时，他们的患者数据就有可能被泄露。 合规性绝非一次性考虑。法规要求并不是一成不变的 ；随着新威胁的出现和法规的更新，这些要求也在不断变化。因此，需要实施一些最佳实践，以确保贵公司始终驾驭所有重要框架和法规。 定期审核和评估 在攻击期间，关键不在于您是否制定了事件响应计划。你必须知道你的计划会奏效。确保这一点的最佳方法之一是通过测试。测试组织的计划并证明测试成功是确保合规性的方法。 确保合规的关键步骤 在研究组织可以实施哪些法规来达到投诉的目的时，重要的是要采取全面的方法。组织的每个部分都可能触及环境的另一个方面。规划和深思熟虑将在确保组织合规方面发挥巨大作用。需要考虑的步骤包括 ： 持续监控 •制定风险管理流程 ：这涉及识别可能影响企业的所有潜在IT风险以及评估企业的脆弱性。•分析风险并确定优先次序 ：这可以通过制定风险缓解策略和培训您的员工来实现。•制定事件响应计划 ：在该计划中，您可考虑风险转移等因素，同时保持对环境的可视性和洞察力。•建立安全文化 ：这可以是让所有相关的利益相关者参与进来，选择正确的技术，并且永远不要忘记记录、记录、记录。 持续监控是有效合规管理的关键组成部分。GRC工具通过与现有的安全基础设施（如SIEM（安全信息和事件管理）系统）集成来促进持续监控，以实时跟踪合规性。 例如，受SOX约束的金融服务公司可以使用GRC工具来持续监控对财务系统的访问，确保只有授权人员才能访问敏感的财务数据。通过将GRC工具集成到其网络安全策略中，组织可以简化其合规工作，降低不合规风险，并确保其安全实践与监管要求同步发展。 制定风险管理流程，确定风险的优先级，并建立安全文化，以保持合规性并增强弹性。 结论 法规遵循的未来将以恢复力为重点，企业需要预测新法规，并建立适应性强、积极主动的合规计划。 监管环境是动态的，监管变化的步伐不太可能放缓，尤其是在政府和监管机构对技术的快速进步做出反应的情况下。考虑到这一点，组织的方向是调整安全框架并继续满足法规遵从性。次要目标是实现安全最佳实践的标准化，使组织达到可接受的安全态势。 仅仅实现合规是不够的 ；面对不断变化的威胁和法规，企业必须努力维护和加强其合规计划。安全领导者和IT决策者在这一过程中发挥着至关重要的作用，他们需要指导组织实施合规战略，这不仅关乎避免处罚，也关乎打造更强大、更具网络弹性的组织。通过将合规融入组织的运营和文化结构中，并在面对变化时保持消息灵通和敏捷，组织就能在复杂的监管环境中充满信心并取得成功。 总之，监管合规是一个持续的旅程，需要不断的努力、适应和协作。