安全领导人需要把重点放在最小的努力上,而不是最小的遵从性上

安全领导人需要把重点放在最小的努力上,而不是最小的遵从性上

法规遵从性的鼓声是否足以推动安全计划?

还是将重点放在满足法规遵从性上会分散我们的注意力,分散我们建立所需保护的资源?

这是我最近与益百利数据泄露解决小组副总裁迈克尔·布鲁默(Michael Bruemmer)交谈的话题。Bruemmer在该行业有超过25年的从业经验,他在身份盗窃和欺诈解决领域积累了丰富的业务运营和发展知识,并通过违约前规划和违约响应对各种规模和行业的企业进行了培训。

迈克尔·布鲁默尔的安全镜头:

随着《全球数据保护条例》(GDPR)的临近,该条例将于2018年5月生效,我们看到了一种混合的准备方法。一些公司正在花时间反思自己的隐私和安全政策,而另一些公司则将其视为一种“复选框”做法,即便如此。事实上,Ponemon研究所最近进行的一项题为“全球经济中的数据保护风险与监管”的研究显示,超过一半(59%)的公司不知道他们需要做些什么来遵守法规,而在这样做的错误努力中,34%的公司已经关闭了海外业务。

尽管担心企业整体上缺乏应对GDPR的意识和行动,但预测并不完全悲观。更为乐观的是,40%的受访者表示,他们的公司正在采取措施赶在即将到来的最后期限之前,包括投资新技术或服务、进行合规性评估以及根据该法规任命一名数据保护官员。

这正是我们在安全方面更需要的:积极主动地理解、评估和采取行动。

在一个节奏越来越快的世界里,评估可能被视为不作为。但要求立即取得成果的后果,尤其是在网络安全方面,可能对一个组织的长期成功不利。这种“把事情做好”而不是“把事情做好”的心态创造了这样的条件:人们要求最少的行动和工具来遵守,而不是为组织做出正确的决定。然而,花时间评估的公司却收获了丰厚的回报。例如,2016年一项关于网络犯罪成本的研究发现,评估信息管理和治理实践以及技术需求的公司节省了100万至300万美元。

如果您首先了解了法规、公司持有的敏感数据以及当前的网络安全实践/程序,那么您就能够有所作为。对于安全领导人来说,这意味着要接触到企业领导人,包括C-suite和董事会。不仅仅是询问他们的想法,而是与他们一起工作,更好地了解他们的需求。这还意味着,高管们需要在战略讨论中包括安全主管,以帮助他们了解优先事项并指导重点领域。

归根结底,企业需要停止对无数法规的担忧,努力做到最低限度,而是需要制定一个全面的政策,是的,符合法规,但也要最大限度地为组织和消费者带来利益。我们一次又一次看到的是,准备好的公司不仅在硬成本(如保险费和第三方服务)上省钱,而且在处理整体网络安全的更全面的方式上省钱。例如,适当的评估和准备可以帮助公司证明他们在面临违约时采取了合理和适当的行动,从而可能限制他们的责任并保护他们的声誉。

在提出行动方案之前,我在评估当前环境和监管要求的项目方面有第一手经验。花时间更好地了解情况总是会产生更好的结果。因为我们考虑了趋势和可能的改进,所以它经常会对监管变化产生一些“未来的证据”。

很多工作促使我的副业集中在“最低可行安全性”上——迈克将其概括为获得更好结果的最低努力。我喜欢焦点。

我们如何在行业内通过安全措施来满足法规要求?还是争取最低限度的监管会有更好的好处?

在我们的Facebook页面上发表你的评论,或者把它放到Twitter上,和我(@catalyst)和其他人交谈。

准备…准备…反应!