Compliance-eisen zijn bedoeld om de transparantie en aansprakelijkheid op het gebied van cyberbeveiliging te vergroten. Naarmate de cyberdreigingen toenemen, neemt ook het aantal compliance-frameworks en de specificiteit van de beveiligingscontroles, het beleid en de activiteiten die deze omvatten toe.
Voor CISO's en hun teams betekent dit dat compliance een tijdrovend proces is waar veel op het spel staat en dat sterke organisatorische en communicatieve vaardigheden vereist, naast expertise op het gebied van beveiliging.
We hebben gebruik gemaakt van het CISO-breinvertrouwen om hun mening te krijgen over de beste manieren om de vereisten voor gegevensbeveiliging en privacynaleving te benaderen. In deze blog delen ze strategieën om de pijn van het omgaan met het complianceproces te verminderen, inclusief risicobeheer en afstemming van belanghebbenden.
Lees verder voor aanbevelingen om compliance van een ‘noodzakelijk kwaad’ te veranderen in een strategisch instrument dat u helpt cyberrisico’s te beoordelen, budget en buy-in te verwerven en het vertrouwen van klanten en aandeelhouders te vergroten.
Welke CISO's geven het meeste om compliance?
Hoe CISO's tegen cybersecurity-compliance aankijken, kan sterk variëren, afhankelijk van de bedrijfsgrootte, geografie, sector, datagevoeligheid en volwassenheidsniveau van het programma. Als u bijvoorbeeld een beursgenoteerd bedrijf in de Verenigde Staten bent, heeft u geen andere keuze dan aan meerdere regelgeving te voldoen en risicobeoordelingen en corrigerende actieplannen bij te houden.
Als u een overheidsinstantie bent of aan een overheidsinstantie verkoopt, moet u aan specifieke nalevingsvereisten in de publieke sector voldoen. Banken, gezondheidszorgorganisaties, infrastructuurbedrijven, e-commercebedrijven en andere ondernemingen moeten branchespecifieke nalevingsregels volgen.
Beveiliging staat niet gelijk aan compliance.
Zelfs als u niet in een van deze categorieën valt, zijn er veel redenen waarom u best practices op het gebied van beveiliging moet demonstreren, zoals het aanvragen van SOC-certificering of het aanvragen van een cyberbeveiligingsverzekering. Voor alle organisaties bieden brede cybersecurity-complianceframeworks zoals NIST CSF en ISO modellen om te volgen en structuren voor het communiceren van resultaten.
Dat gezegd hebbende: ‘beveiliging is niet hetzelfde als compliance’ is een mantra die vaak wordt gehoord onder CISO’s. Het feit dat u aan de regels voldoet, betekent zeker niet dat u veilig bent. Zeer volwassen cyberbeveiligingsorganisaties kunnen compliance als het absolute minimum beschouwen en veel verder gaan dan de vereiste componenten om hun organisaties te beschermen.
Compliance als business enabler
Hoewel een CISO cyberbeveiligingsinvesteringen en -praktijken kan aanbevelen om aan de compliance-eisen te voldoen, zijn zij niet de ultieme beslisser. Daarom is een belangrijke verantwoordelijkheid van een CISO het communiceren van het risico van niet-naleving en het samenwerken met andere bedrijfsleiders om te beslissen welke initiatieven prioriteit moeten krijgen. Risico omvat in deze context niet alleen technisch risico, maar ook bedrijfsrisico.
Steve Zalewski, voormalig CISO van Levi Strauss, gebruikt graag de ‘wortel en stok’-metafoor. “Audit en compliance zijn van oudsher de stok achter de deur die ervoor zorgt dat je iets moet doen.” deelt hij op de Defense-in-Depth-podcast: “maar maken [you] 'doen' betekent niet dat het bedrijf op één lijn ligt met de waarde van het doen ervan.“Om wrijving te voorkomen, raadt hij aan mensen de zakelijke waarde van conforme cyberbeveiliging te laten zien.”Er moet een wortelcomponent zijn om ze het gevoel te geven dat ze een keuze hebben,” hij zegt.
Leiderschap moet de kosten en baten van het garanderen van naleving afwegen tegen de potentiële kosten van niet-naleving
Stel dat een organisatie niet volledig voldoet aan de best practices op het gebied van beveiliging voor privilegebeheer. Hoewel niet-naleving zou kunnen resulteren in boetes van toezichthouders en rechtszaken voor aandeelhouders, kunnen de onderliggende beveiligingslekken een nog grotere impact op het bedrijf hebben, zoals downtime, betalingen via ransomware en omzetverlies. Het voldoen aan compliance-eisen kan daarentegen bedrijfswaarde opleveren, zoals snellere verkopen, sterkere partnerschappen of lagere cyberverzekeringstarieven.
Als onderdeel van een alomvattend risicobeheerprogramma moeten raden van bestuur en leidinggevend leiderschap de kosten en baten van het garanderen van naleving van de potentiële kosten van niet-naleving afwegen. In sommige gevallen kunnen zij besluiten dat een bepaald risiconiveau aanvaardbaar is en ervoor kiezen geen aanvullende waarborgen te implementeren. In andere gevallen kunnen ze verdubbelen.
Hoe CISO's compliance-frameworks gebruiken om hun cybersecurity-roadmap te plannen
Sommige CISO's gebruiken compliance-frameworks als methodologie voor technieken en processen die ze in hun cyberbeveiligingsprogramma kunnen opnemen. In wezen informeren ze de programmaprioriteiten en stellen ze een boodschappenlijst op voor onmisbare oplossingen die aansluiten bij het programma dat ze proberen te bouwen.
Op de Audience First-podcast ziet Brian Haugli, voormalig Fortune 500 CISO, een verschil tussen compliance-afhankelijk zijn en het gebruik van compliance-frameworks als leidraad voor geïnformeerd risicobeheer.
“Wij kunnen niet zwart-wit zijn. We moeten op risico gebaseerde beslissingen kunnen nemen, door te zeggen: 'Ik zal dit risico accepteren, omdat ik het me niet kan veroorloven om het nu te sluiten. Maar ik zal deze dingen doen om de risico's te beperken tot een niveau dat voldoende laag is en mij in staat stelt ze te accepteren.“
CISO's hebben partners nodig op het gebied van compliance
CISO's zitten niet alleen in de compliance-boot. Ze moeten partnerschappen opbouwen met juridische teams, privacyfunctionarissen en audit- of risicocommissies om de veranderende nalevingsvereisten te begrijpen en te beslissen hoe ze deze moeten aanpakken.
Soms vereisen deze interne partners dat beveiligingsteams strengere controles implementeren, maar ze kunnen ook een pauze inlassen. Zoals een CISO van een snelgroeiende technologieleverancier ons vertelde: “Eerlijk gezegd weegt Legal zwaarder dan mij, elke dag van de week. Ze vertellen mij wat ik wel en niet kan doen. Ik zou heel graag ieders gedrag willen monitoren, maar de privacywetgeving zegt dat dat niet kan.“
Complianceteams doen veel dingen waar beveiligingsingenieurs en analisten niet de tijd of de middelen voor hebben. Ze houden de beveiliging verantwoordelijk en controleren nogmaals of de controles werken zoals verwacht. Ze fungeren als tussenpersonen tussen beveiligingsteams, toezichthouders en auditors om naleving aan te tonen, of dat nu betekent dat het verzamelen van bewijsmateriaal via handmatige beveiligingsvragenlijsten of via technologie-integraties gebeurt.
Voor een certificering in de publieke sector moeten bijvoorbeeld beveiligingscontroles worden gemonitord, geregistreerd en bewaard gedurende ten minste zes maanden aan gegevens om te bewijzen dat ze hebben gedaan wat ze zeiden dat ze gingen doen.
Tools en bronnen die compliance ondersteunen
Risicoregisters zijn nuttig bij het op één lijn brengen van alle belanghebbenden door alle risico's te documenteren en deze op prioriteit te ordenen. Als iedereen naar dezelfde informatie kijkt, kunt u passende maatregelen overeenkomen. Als onderdeel van een risicobeheerprogramma worden beleid, normen en procedures regelmatig beoordeeld en worden eventuele wijzigingen goedgekeurd vóór implementatie.
Met behulp van tools zoals GRC-systemen en continue monitoring van de naleving kunnen organisaties lopende beveiligingsactiviteiten volgen en resultaten rapporteren. GRC-systemen kunnen een koppeling maken met SIEM's om logbestanden en kwetsbaarheidsscanners te verzamelen die aantonen dat de controles zijn voltooid. “In plaats van spreadsheets door elkaar te gooien, hebben we verschillende connectoren gebouwd die kunnen worden geïntegreerd met ons GRC-platform om te bewijzen dat we aan de regels voldoen.“, legt de tech-CISO uit. “Ze brengen alle certificeringen in één enkel venster in kaart, dus als een auditor binnenkomt, laten we hem of haar een scherm zien waarop staat: 'Hier is het bewijs.'''
Naast tooling vertrouwen veel bedrijven op derde partijen om compliance-beoordelingen uit te voeren. Ze kunnen een interne nalevingsaudit uitvoeren vóór een externe audit om er zeker van te zijn dat er geen verrassingen zijn als toezichthouders langskomen.
Eén keer voldoen, op velen van toepassing
De meeste organisaties hebben talloze compliance-instanties waaraan ze verantwoording moeten afleggen, evenals cyberverzekeraars, klanten en partners. Hoewel naleving een last kan zijn, is het goede nieuws dat er technieken bestaan om het beoordelingsproces te stroomlijnen. “Als je naar alle grote compliance-instanties kijkt, is ongeveer 80% van de vereisten hetzelfde.zegt de CISO van een SaaS-aanbieder.U kunt zich aansluiten bij een raamwerk als NIST en overal dezelfde praktijken toepassen.“
Privileged Access Management (PAM)-vereisten zoals wachtwoordbeheer, Multi-Factor Authentication (MFA) en op rollen gebaseerde toegangscontroles zijn bijvoorbeeld gebruikelijk in compliance-frameworks. U kunt dieper ingaan op de details om te zien hoe PAM wordt weergegeven in verschillende nalevingsvereisten op Delinea.com.
Opkomende compliance-eisen
Compliance is een veranderlijke ruimte met vereisten die evolueren om veranderende risicopatronen en zakelijke omstandigheden aan te pakken. CISO's wenden zich tot compliance-instanties voor advies over het beheersen van opkomende cyberrisico's, zoals kunstmatige intelligentie.
In de toekomst verwachten CISO's dat het garanderen van compliance een nog groter deel van hun werk zal gaan uitmaken. Nu de sector met steeds grotere bedreigingen wordt geconfronteerd, is compliance een belangrijk onderdeel van een strategische en alomvattende aanpak van cyberbeveiligingsrisicobeheer.
Voor meer informatie over dit onderwerp, bekijk Delinea's 401 Access Denied podcastaflevering: Securing Compliance: Expert Insights met Steven Ursillo
Heeft u een stapsgewijze handleiding nodig voor het plannen van uw strategische reis naar bevoorrechte toegangsbeveiliging?
Begin met een gratis, aanpasbare PAM-checklist.
