Ponieważ liderzy bezpieczeństwa starają się zapobiegać coraz bardziej zaawansowanym cyberatakom, stają przed równoczesnym wyzwaniem, jakim jest zapewnienie zgodności ze złożonym otoczeniem regulacyjnym, który zmienia się w zależności od regionu. Nieosiągnięcie obu tych celów może mieć poważne konsekwencje finansowe i markowe - co oznacza, że wielu liderów IT zwraca się o pomoc do zewnętrznych dostawców. Dla przedsiębiorstw wyzwanie związane z zarządzaniem przepisami dotyczącymi cyberbezpieczeństwa jest tak poważne, że Światowe Forum Ekonomiczne wezwało do globalnej harmonizacji przepisów dotyczących cyberbezpieczeństwa.

Przepisy pomagają zapewnić bezpieczeństwo przedsiębiorstwom i konsumentom. Jednak nowe wymagania oznaczają, że firmy muszą znaleźć wiedzę specjalistyczną, aby je zrozumieć, a także ulepszyć systemy informatyczne, jeśli uznają to za konieczne.

Zobacz również:

• Generatywna sztuczna inteligencja przeraża CISO. Mimo to jej wdrażanie nie zwalnia tempa
• Cyberobrona? Mamy w planach

Nowelizacja dyrektywy w sprawie bezpieczeństwa sieci i informacji – NIS2 – weszła w życie w styczniu 2023 r., nakładając na organy zarządzające odpowiedzialność za środki zielonego światła w celu radzenia sobie z zagrożeniami dla cyberbezpieczeństwa oraz wprowadzając zaostrzone obowiązki w zakresie zgłaszania incydentów.

(…)

W Europie proponowana przez KE ustawa o odporności cybernetycznej zakłada wprowadzenie obowiązkowych wymogów cyberbezpieczeństwa dla producentów i sprzedawców produktów lub oprogramowania z komponentem cyfrowym, od elektronicznych niań po urządzenia IoT.

„Szybkość i rygorystyczność konieczności dostosowania się zarówno do istniejących, jak i przyszłych przepisów stworzyły rodzaj błędnego koła zgodności”, mówi Mike Pimlott, wiceprezes ds. globalnych zarządzanych usług bezpieczeństwa w NTT. „Firmy już cierpią z powodu przeciążenia informacjami regulacyjnymi, więc ich zdolność do zachowania zgodności jest rozciągnięta do granic możliwości”. Pimlott dodaje: „Jesteśmy blisko sytuacji, w której zakłócenia związane z przestrzeganiem przepisów faktycznie przyczyniają się do narażenia na ryzyko cybernetyczne, prowadząc do naruszeń danych, które w konsekwencji mogą skłonić rządy do wprowadzenia większej liczby regulacji”.

Sytuacja komplikuje się, gdy oceny postawy cybernetycznej organizacji ujawniają kolejne luki w zabezpieczeniach, zarówno technologiczne, jak i proceduralne.

„Bezpieczeństwo danych jest tego najlepszym przykładem”, wyjaśnia Pimlott. „W ramach audytu opartego na regulacjach firma może odkryć, że ma zasoby danych, o których nie wiedziała, i że aktywa te zaczęły podlegać z mocą wsteczną nowym przepisom dotyczącym ochrony".

Pimlott dodaje: "Teraz firma musi uwzględnić te dodatkowe dane w swoich kosztach ogólnych - i działać szybko, aby zapewnić, że te aktywa są odpowiednio zabezpieczone, w przeciwnym razie nie będą zgodne. Kolejne zadanie dla przepracowanych CISO i ich zespołów".

Pimlott podejrzewa, że rosnące obciążenia regulacyjne spowodują, że przedsiębiorstwa ponownie przemyślą swoją strategię zarządzania ryzykiem cybernetycznym. „Tradycyjnie organizacje są świadome, że ich infrastruktura ma znane luki w zabezpieczeniach o większym lub mniejszym znaczeniu” - wyjaśnia. „Są również ostrzegani o nowych lukach w zabezpieczeniach wykrytych przez dostawców ich rozwiązań, którzy dostarczają dla nich poprawki. Tak więc ich inżynierowie bezpieczeństwa - wraz ze swoimi partnerami technicznymi - pracują nad tymi znanymi lukami, naprawiając je jak najszybciej”.

Jest to ustalony sposób rozwiązania długotrwałego problemu. Oznacza to, że firmy nie muszą zrywać i wymieniać infrastruktury tylko dlatego, że nie jest ona całkowicie zabezpieczona. Ale ten model łagodzenia może nie być wykonalny w erze zwiększonej regulacji cybernetycznej, sugeruje Pimlott.

„Jednym z pytań, które zadadzą organizacje, jest, czy powinny nadal radzić sobie z lukami w zabezpieczeniach poprzez łatanie poprawek?. W którym momencie powinni zdecydować, że takie podejście drenuje nasze zasoby i wiedzę - a my nadal nie jesteśmy w pełni bezpieczni i ryzykujemy karą ze strony organu regulacyjnego!", mówi Pimlott.

Pimlott uważa, że osiągnięto punkt zwrotny, w którym argumentem jest modernizacja do nowej infrastruktury - sprzętu i oprogramowania - która jest wstępnie zabezpieczona, ponownie najnowsze znane zagrożenia i została przygotowana do zgodności z najnowszymi przepisami. W międzyczasie przedsiębiorstwa mogą korzystać z dodatkowych zasobów wsparcia za pośrednictwem partnerów technologicznych, takich jak usługi zarządzanego wykrywania i reagowania (MDR) NTT.

„Zaletą MDR jest to, że oprócz uwolnienia wewnętrznych ekspertów ds. Bezpieczeństwa IT, aby mogli skupić się na projektach o większej wartości dodanej, klient może skalibrować zakres potrzebnego wsparcia bezpieczeństwa, dzięki czemu korzysta tylko z tego, czego wymaga jego infrastruktura”, wyjaśnia Pimlott. Dodaje, że usługi MDR można skonfigurować pod kątem wymagań regulacyjnych danego rynku lub branży, zapewniając dalszą zgodność z przepisami.

Źródło: CSO

Skróty pochodzą od redakcji polskiej.