Hvorfor tilsynsmyndigheder favoriserer en konvergeret tilgang til cyberrobusthed
Indholdsfortegnelse:
I takt med at det digitale økosystem udvider sig eksponentielt, og cyberkriminelle forsøger at udnytte sikkerhedshuller i det, fortsætter regulatorer med at lægge pres på virksomheder for at udvikle omfattende cyberrisikostrategier og holder dem ansvarlige, når tingene går galt.
I erkendelse af, at cybertrusler er mangesidede og globale af natur, anlægger tilsynsmyndigheder en mere ensartet tilgang til overholdelse af cyberrisikoregler. Et perfekt eksempel er Den Europæiske Unions lov om digital operationel modstandsdygtighed, som pålægger blokdækkende overholdelse af et fælles sæt cybersikkerhedsregler.
Internationalt samarbejde om cyberrobusthed, især inden for områder som kunstig intelligens (AI), vokser også. For eksempel, i september 2024, Storbritannien, USA og Canada annoncerede planer at samarbejde om forskning i cybersikkerhed og kunstig intelligens.
På grund af fremkomsten af konvergerede cyberreguleringer forventes virksomheder på tværs af alle brancher nu at udvikle, håndhæve og regelmæssigt vurdere omfattende IT-risikokontroller og -politikker. Cybereksperter advarer om, at disse ikke længere kan være en enkeltstående øvelse med afkrydsningsfelter.
En konvergeret tilgang til cyberrobusthed
En hurtig stigning i sofistikerede cybertrusler og en voksende afhængighed af digitale teknologier fra virksomheder får globale regulatorer til at tilpasse sig kerneområder som databeskyttelse, cyberrobusthed og risikostyring, ifølge Anu Kapil, senior produktchef hos det amerikanske IT-sikkerhedsfirma Qualys.
Hun argumenterer for, at ved at anlægge en samlet tilgang til regler for privatliv, cybersikkerhed og AI, drager regulatorer fordel af strømlinet tilsyn og håndhævelse af grænseoverskridende ansvarlighed. Samtidig kan virksomheder bruge et standardiseret sæt af rammer for centraliseret compliance.
Sam Peters, Chief Product Officer hos ISMS.online, gentager lignende tanker og bemærker, at regulatorer verden over i stigende grad samarbejder om cyberreguleringer på tværs af domæner som reaktion på spredningen af komplekse digitale trusler, geopolitiske udfordringer og voksende brugerforventninger til ansvarlighed.
Peters siger, at tilsynsmyndighederne ved at gøre det håber at slå ned på de nuværende siloer, der findes inden for områder som cybersikkerhed, databeskyttelse og kunstig intelligens. Disse siloer gør det sværere for organisationer at spotte og afbøde cybertrusler.
Men ved at eliminere de førnævnte siloer, fremme mere ensartede IT-regler og støtter sig til eksisterende risikostandarder som ISO 27001, mener han, at regulatorer kan bidrage til at accelerere tværsektoriel innovation og mindske cyberrisici.
Der bliver ikke gjort nok
Selvom branchestandarder som NIS2, DOR og ISO 27001 er blevet mere ensartede i den seneste tid, har Mark Weir, regional direktør for Storbritannien og Irland hos cybersecurity solutions provider Check Point-software, antyder, at der stadig er et stykke vej igen, før de bliver virkelig "konsistente" og "omfattende" på globalt plan.
Han siger især, at manglen på formelle retningslinjer og styring af kunstig intelligens gør det sværere for organisationer at bruge denne teknologi korrekt. For eksempel er kunstnere bekymrede for, at AI kan krænke deres ophavsrettigheder, medmindre teknologien er reguleret korrekt.
Men det er ikke kun tilsynsmyndighederne, der er skyld i det. Selvom brancheorganisationer som National Cyber Security Centre advarer om den voksende risiko for cybertrusler og udsteder retningslinjer for at imødegå dem, siger Weir, at mange organisationer ikke formår at omsætte dem til praksis. Han er især bekymret over manglen på cybersimuleringer og -øvelser i virksomheders cybermodstandsdygtighedsplaner.
Han fortæller ISMS.online: "Uden proaktiv planlægning og regelmæssig testning mindskes sandsynligheden for en vellykket genopretning efter et cyberangreb betydeligt, hvilket ofte resulterer i serviceafbrydelser, datatab og underminering af kundernes tillid."
Hvad konvergerede cyberregler betyder for virksomheder
Det er klart, at efterhånden som nye brancheregler dukker op, og eksisterende politikker konvergerer, har virksomheder intet andet valg end at tage deres regulatoriske forpligtelser alvorligt. For Peters betyder det at implementere tilstrækkelige IT-risikokontroller, styre dem robust og være ansvarlig, når tingene går galt.
Med cyber- og AI-trusler, der dukker op i hastig vækst, siger han, at virksomheder ikke har råd til at behandle compliance som en "engangstjekliste". I stedet skal de udvikle en kultur med løbende forbedringer for at sikre, at deres cybermodstandsdygtighedsplaner virkelig er effektive.
Peters siger, at virksomheder, der behandler cyberrobusthed som en "strategisk" og "løbende" øvelse på tværs af alle afdelinger, vil være de mest succesfulde. Han forklarer: "De, der gør det rigtigt, får en konkurrencefordel: hurtigere markedsadgang, stærkere kundetillid og reduceret eksponering for bøder eller omdømmeskade."
Kapil er enig i, at organisationer i lyset af konvergerede cyberregler vil risikere at mislykkes ved ikke løbende at stræbe efter compliance. Hun opfordrer virksomheder til at etablere fleksible cybersikkerhedspolitikker, regelmæssigt overvåge dem og være forberedte på at reagere på improviserede revisionsanmodninger fra tilsynsmyndigheder.
Hun fortæller ISMS.online: "For at gøre dette effektivt kan virksomheder automatisere indsamling af bevismateriale, proaktivt vurdere kontrolhuller og holde sig opdateret på udviklende regler på tværs af flere områder."
En smartere og integreret tilgang til cyberrobusthed
Når det kommer til at reagere på øgede regulatoriske krav om konvergeret cybercompliance og styrke deres cyberforsvar, opfordrer Peters virksomheder til at erstatte manuelle og fragmenterede compliance-tilgange med en, der er smartere og mere integreret.
I praksis siger Peters, at dette betyder at centralisere risiko, compliance og governance i ét miljø, der nemt kan skaleres, tager højde for eksisterende og nye brancheregler og giver indsigt i risici på tværs af forskellige områder af virksomheden.
En måde at gøre dette på, ifølge Peters, er implementeringen af et informationssikkerhedsstyringssystem, der overholder kravene i en anerkendt branchestandard som ISO 27001. Han forklarer, at sådanne standarder ikke kun er bevidst etableret, men også er designet til at fremme grænseoverskridende cybercompliance på en struktureret og tilpasningsdygtig måde.
"Ved at anvende ISO 27001 som fundament får virksomheder en systematisk måde at identificere, vurdere og afbøde risici på, og afgørende er det, at strukturen understøtter inkluderingen af yderligere rammer, hvad enten det drejer sig om privatliv, AI-etik, modstandsdygtighed eller sektorspecifikke mandater," siger Peters.
Han tilføjer, at virksomheder efter at have implementeret en ISMS-platform kan integrere anbefalingerne fra andre rammer – såsom ISO 22301 for forretningskontinuitet og/eller ISO 42001 for AI – i deres forskellige compliance-indsatser. Han tilføjer: "Dette forenkler styringen og gør det nemmere at påvise compliance på tværs af flere standarder og regioner."
Ligesom Peters advarer Kapil virksomheder mod at håndtere forskellige IT- og cyberregler separat, da det resulterer i "ineffektive og risikable" siloer. Hun går ind for en centraliseret tilgang, hvor virksomheder udvikler tværgående politikker, der er i overensstemmelse med rammer som NIST, ISO og GDPR.
I betragtning af at de lovgivningsmæssige forpligtelser konstant udvikler sig, understreger hun vigtigheden af løbende at overvåge politikker – en opgave, der kan strømlines ved hjælp af automatiseringsværktøjer. Hun tilføjer: "Med en integreret tilgang til politikrevision kan de reducere manuelt arbejde, forbedre nøjagtigheden og samordne risiko- og compliance-indsatsen under én platform."
Fremtiden for cyberreguleringer
Kapil forventer, at branchereguleringerne vil blive endnu strengere i lyset af et hurtigt voksende og stadig mere voldsomt cybertrusselslandskab. Hun mener, at der vil være et øget pres på virksomheder for at bevise, at de løbende og i realtid håndterer disse risici ved hjælp af en integreret cyberrisikostrategi. At starte dette nu vil hjælpe dem med at blive "mere agile, revisionsparate og bedre beskyttet mod regulatoriske og cyberrisici", tilføjer hun.
Alan Jones, administrerende direktør og medstifter af udbyderen af sikker kommunikation, YEO Messaging, er enig i, at fremtiden for compliance af cyberrisikoregler vil være mere integreret. Han forventer at se flere virksomheder adoptere denne tendens ved at autentificere brugere i realtid og implementere zero-trust-arkitekturer.
Efterhånden som flere organisationer udvikler, implementerer og bruger AI-systemer, har Satish Swargam, ledende konsulent for DevSecOps og sikker udvikling hos et applikationssikkerhedsfirma, Sort And, forudsiger, at fremtidige cybersikkerhedsregler og compliance-politikker vil blive udformet omkring denne teknologi.
Ikke blot vil branchereguleringer have til formål at afbøde de trusler, som AI-modeller udgør, men modellerne i sig selv kan også strømline overholdelse af cybersikkerhedsregler. Faktisk siger Swargam, at AI har evnen til at "adressere sikkerhedsrisici i den rette kontekst".
Virksomheder drager stor fordel af nye teknologier som AI; de står dog også over for betydelige etiske og cybersikkerhedsmæssige risici, der vokser i omfang og er mere sofistikerede. På grund af dette skal virksomheder vurdere disse risici i overensstemmelse hermed for at beskytte deres medarbejdere, kunder og i sandhed deres omdømme. Og det vil holde tilsynsmyndighederne tilfredse.
