«Изнутри наружу»: как новая стратегия безопасности облегчит комплаенс

Переход в вопросах безопасности от стратегии «снаружи внутрь» к стратегии «изнутри наружу» позволяет организации легко адаптироваться к постоянно меняющемуся регуляторному фону, даже с учетом ограниченности ресурсов. Джон Кларк из Optiv предлагает компаниям переосмыслить свои стратегии для повышения гибкости.

Комплаенс, Новости: «Изнутри наружу»: как новая стратегия безопасности облегчит комплаенс
Фото: Shutterctock

Принятие на территории Евросоюза Общего регламента защиты данных (GDPR) в апреле 2016 года (вступил в силу 25 мая 2018 года) положило начало мировым дискуссиям о правах и правилах защиты данных потребителей. С тех пор дискуссии не утихли. Например, в США в попытках найти общенациональное законодательное решение рассматривается прецедент калифорнийского закона о защите прав потребителей CCPA – аналога GDPR.

Новые законы, посвященные вопросам защиты данных, не приходят на смену, а дополняют ряд уже существующих нормативных документов о защите данных. В связи с этим встает вопрос: не проще ли комплаенс-офицерам и отделам внутреннего контроля пользоваться единым и понятным регламентом, чем постоянно подстраиваться под многочисленные нормы?

По пути упрощения

Результаты опросов профессионалов в области безопасности, подготовленных Optiv, говорят о том, что в целом они предпочитают следовать единому, национальному или общемировому, законодательству в области защиты данных. В реальности же им приходится подстраиваться под множество разных правовых актов, что добавляет определенные риски с учетом сложности современных информационных систем и требований к кибербезопасности.

Модель «снаружи внутрь» означает, что компании позволяют последним регуляторным обновлениям полностью определять свою систему безопасности. В таком случае компании фокусируются на едином правиле или законе, с риском потерять общую картину рисков безопасности. Это, в свою очередь чревато брешами в системе защиты данных и дополнительными рисками для бизнеса. Каждый отдельный закон не должен выступать основой всей системы безопасности – его функция, как правило, локальна и ограничена.

Другой подход предлагает модель «изнутри наружу». Здесь конкретные риски для бизнеса подсказывают, как выстраивать всю архитектуру безопасности. Применение этой стратегии начинается с комплексной оценки рисков, анализа недостатков в системах, а также выделения тех данных, которые больше всего подвержены риску. На основе уже уникальных рисков компании ответственные сотрудники разрабатывают общую стратегию безопасности.

Оптимизация через единообразие

Таким образом, организация может одновременно оптимизировать внутренние системы и располагать гибкостью по отношению к меняющейся внешней регуляторной средой. Учитывая, что на заре цифровой эпохи законодательство в области зашиты данный, по всей видимости, будет только усложняться, с предложенной стратегией для организации это уже не будет иметь значения. С единой внутренней стратегией каждый новый нормативный акт будет только уточнять систему безопасности, а не полностью ее менять.