COVID-19 potrebbe aver rallentato gli affari, ma non ha rallentato il tempo. Il rispetto delle scadenze per dimostrare la conformità alle normative sulla sicurezza informatica e agli standard di certificazione in condizioni di pandemia si sta rivelando una sfida per alcune aziende.
Un sondaggio su 100 CISO nordamericani condotto lo scorso giugno e i cui risultati sono stati rilasciati il 15 settembre ha rilevato che anche nell'era del coronavirus, i professionisti della sicurezza si stanno preparando per 3,3 audit in media nei prossimi sei-12 mesi, mentre cercano la conformità con più quadri e standard, come quelli imposti da aka Health Information Trust Alliance, o HITRUST (51% degli intervistati), HIPAA (45%), Payment Card Industry (41%) e California Consumer Privacy Act aka CCPA ( 41 per cento).
Eppure, mentre cercheranno queste date sul calendario, i CISO devono fare i conti con strumenti, budget e manodopera inadeguati. Tra i CISO che hanno partecipato al sondaggio, commissionato dalla società di conformità cloud automatizzata Shujinko, due terzi hanno affermato di non gradire i loro attuali set di strumenti di preparazione all'audit. Alla domanda su come migliorare il processo di preparazione dell'audit, gli intervistati hanno indicato una migliore automazione, comunicazione e collaborazione come le loro prime tre preferenze.
"Questo sondaggio mostra chiaramente che i CISO delle principali aziende sono intrappolati tra l'incudine e l'incudine quando si tratta di audit di sicurezza e conformità nella seconda metà del 2020 e desiderano strumenti automatizzati che li aiutino a scovarli. Sfortunatamente, semplicemente non sono in grado di trovarli ", ha affermato Scott Schwan, CEO e co-fondatore di Shujinko. "I team stanno mettendo insieme script, fogli di calcolo condivisi, sistemi di ticketing e un miscuglio di altre applicazioni da provare a gestire, con conseguenti inefficienza, preparazione lunga e visibilità limitata".
Altri esperti del settore concordano sul fatto che le aziende si stanno affrettando a rispettare le scadenze per la conformità del cyber audit a causa delle complicazioni di COVID-19. Per i principianti, la pandemia ha distolto l'attenzione dei CISO mentre si affrettavano a convertire le operazioni in un modello di lavoro da casa. In secondo luogo, l'improvvisa proliferazione di nuovi strumenti e infrastrutture WFH ha potenzialmente introdotto una nuova lista di rischi di non conformità.
In queste condizioni di tensione, le aziende sono a rischio di degrado del controllo di sicurezza, ha avvertito Jeremy Huval, chief compliance officer di HITRUST. Inoltre, ha aggiunto, l'introduzione di modifiche significative alla propria attività alla luce di COVID-19 potrebbe effettivamente innescare ulteriori controlli, perché "molte normative e framework di sicurezza e privacy richiedono alle organizzazioni di eseguire valutazioni del rischio non solo con una frequenza prestabilita, ma anche quando significative si verificano cambiamenti. "
Di particolare interesse, ha affermato Huval, sono i controlli manuali, "che sono intrinsecamente a maggior rischio di essere trascurati o abbandonati del tutto rispetto alle loro controparti automatizzate". Ma le fonti di non conformità potrebbero anche provenire da "sistemi implementati e capacità stabilite sotto costrizione", perché sono stati installati con una mentalità "ne abbiamo bisogno più che con la mentalità abbiamo bisogno di proteggerla".
"Sì, COVID-19 ha certamente causato ritardi tra le organizzazioni attivamente coinvolte nelle attività di valutazione HITRUST", ha affermato Andrew Hicks, vicepresidente dell'assicurazione del rischio e responsabile nazionale della pratica HITRUST presso Frazier e Deeter, LLC. "Questi ritardi sono stati in gran parte ridotti negli ultimi due o tre mesi da quando le organizzazioni hanno ora scoperto modi alternativi per eseguire attività di valutazione a distanza, ma all'inizio del COVID-19 a marzo, le attività di valutazione sono state paralizzate come organizzazioni e il loro controllo proprietari, hanno lavorato per modificare le loro operazioni aziendali per supportare una forza lavoro remota al 100% ".
"Rispetto a HITRUST, le organizzazioni hanno requisiti annuali che potrebbero essere a rischio se non fossero in grado di completare i requisiti di manutenzione e / o ricertificazione richiesti", ha aggiunto Hicks.
Paul Breitbarth, direttore, politica e strategia di TrustArc, ha convenuto che il passaggio improvviso alle operazioni di lavoro da casa ha cambiato il gioco per molte organizzazioni e "ha causato una ridefinizione delle priorità degli sforzi dei dipartimenti di conformità: valutare il lavoro da casa strumenti per videoconferenze domestiche e web, implementazione di sicurezza aggiuntiva come VPN, ecc. Ciò distoglierà l'attenzione dagli sforzi di conformità continui e regolari ".
Lavorare in remoto rende anche la cooperazione e la collaborazione all'interno di un'organizzazione "più lente e complesse", ha aggiunto, "soprattutto quando sono necessari brainstorming per trovare soluzioni creative per le sfide di conformità".
Il dott.Zulfikar Ramzan, chief digital officer presso RSA, ha affermato che una sfida di conformità particolarmente difficile per le aziende ai sensi di COVID-19 è come rispondere in modo efficiente alle richieste di accesso dei soggetti interessati (DSAR) da parte di individui che richiedono di sapere come i loro dati vengono archiviati e gestiti .
“Rispondere ai DSAR richiede un certo coordinamento tra più parti. Una forza lavoro distribuita e remota serve solo ad esacerbare la situazione ", ha detto Ramzan. "Ad aggravare la sfida, le organizzazioni spesso hanno una finestra di tempo limitata per rispondere."
Ai sensi del Regolamento generale sulla protezione dei dati dell'UE (GDPR), le DSAR generalmente devono ricevere una risposta entro un mese, mentre il CCPA concede 45 giorni.
Ci sono, ovviamente, conseguenze per le mancanze di conformità, comprese costose sanzioni finanziarie imposte dalle autorità di regolamentazione del governo o la perdita della certificazione, che è costosa da riconquistare.
Le organizzazioni "sanno fin troppo bene che mentre ottenere una certificazione per la protezione delle informazioni è difficile, perderne una può essere più difficile", ha affermato Huval. “Perdere una tale certificazione significa molto di più che tirare un timbro dai materiali di marketing e aggiornare il sito Web, poiché può seminare dubbi nelle menti dei clienti e di altre parti interessate. Per molti, garanzie dimostrabili di sicurezza e privacy sono un prerequisito per fare affari ".
Ma Breitbarth non pensa che la maggior parte delle aziende si lascerà perdere lo status di certificazione. "Non solo potrebbe essere un affare costoso – la ricertificazione è generalmente meno costosa della certificazione iniziale – ma causerebbe anche altri problemi, soprattutto nelle relazioni B2B, [poiché] molte organizzazioni richiedono certificazioni come parte degli accordi di sicurezza".
Non aspettarti clemenza dagli organismi di normalizzazione
È improbabile che gli organismi di certificazione e le agenzie di regolamentazione trascurino o facciano eccezioni per violazioni della conformità e audit falliti. Anche se COVID-19 è una valida scusa, c'è poco spazio di manovra o margine di manovra per l'errore.
"Diffidare di qualsiasi meccanismo di garanzia basato su standard allentati", ha detto Huval. “Le certificazioni e i rapporti di garanzia hanno valore solo per la loro affidabilità, non per la flessibilità dell'ente di certificazione. L'allentamento dei requisiti mina il valore delle certificazioni e dei rapporti di garanzia e avviene a spese delle parti che fanno affidamento ".
"Allo stesso modo, non è consigliabile fare affidamento sui rapporti di garanzia degli organismi di certificazione che offrono estensioni globali a un periodo di validità della certificazione", ha aggiunto Huvan. "Scribacchiare la data di scadenza su un cartone del latte e scriverne una nuova non fa scadere il latte più lentamente."
Con questo in mente, "HITRUST ha deciso di non rinunciare universalmente ai requisiti di tempistica del programma di assicurazione HITRUST, poiché ciò va contro l'integrità complessiva del nostro programma di garanzia e l'affidabilità delle certificazioni HITRUST CSF [Common Security Framework]. Tuttavia, abbiamo agito rapidamente per comunicare le opzioni di valutazione che hanno aiutato a soddisfare le esigenze del mercato pur mantenendo la nostra integrità e affidabilità di cui sopra ".
Per contribuire ad alleviare l'onere per le organizzazioni sanitarie, HITRUST ha rinunciato al suo obbligo di condurre valutazioni di certificazione convalidate in loco, consentendo invece la valutazione a distanza. E ad aprile l'azienda ha introdotto il suo " Bridge Certificate " come soluzione temporanea per le organizzazioni che non possono rispettare le scadenze di ricertificazione, dimostrando che il suo ambiente di controllo con ambito non si è degradato ed è improbabile che lo faccia fino alla scadenza del certificato tra 90 giorni.
Le organizzazioni che perdono la certificazione HITRUST CSF potrebbero non essere in grado di soddisfare alcuni dei suoi obblighi contrattuali o partecipare ad attività di condivisione delle informazioni sanitarie, osserva HITRUST.
Troy Leach, vicepresidente senior e responsabile del coinvolgimento per le informazioni di mercato e il coinvolgimento degli stakeholder presso il PCI Security Standards Council (PCISSC), che sviluppa gli standard del settore dei pagamenti ma non li applica, ha affermato che la sua organizzazione ha istituito le proprie misure per aiutare. PCISSC ha creato una pagina web che offre risorse e annunci progettati per aiutare le organizzazioni a mantenere le pratiche di sicurezza durante la pandemia.
"Stiamo sicuramente vivendo in tempi senza precedenti", ha detto Leach. "La nostra missione è ascoltare e collaborare con il settore dei pagamenti globale e fornire linee guida, standard e programmi che rimangano rilevanti per proteggere i dati di pagamento".
In risposta alla pandemia, PCISSC sta " fornendo estensioni di rivalutazione per qualificarsi per le soluzioni P2PE [Point-to-Point Encryption] , rivedendo le date per le implementazioni dei blocchi chiave ed estendendo la data di scadenza per il rollout del PIN Transaction Security Point-of-Interaction ( PTS POI) versione 3 ”, ha affermato Leach, osservando che la pagina COVID-19 del PCISSC contiene anche una guida per eseguire valutazioni di conformità a distanza.
Alcuni organismi di normalizzazione globali sono stati un po 'più indulgenti. La Commissione irlandese per la protezione dei dati a marzo ha affermato di aver compreso che i DSAR sarebbero difficili da incontrare in tempo per le organizzazioni. E mentre i tempi di risposta dettati dal GDPR non possono essere modificati, l'agenzia ha affermato che prenderebbe in considerazione circostanze attenuanti relative al COVID-19 quando vengono presentati reclami.
Sempre a marzo, l'autorità olandese per la protezione dei dati (AP) ha affermato che, caso per caso, estenderebbe il termine per le organizzazioni per rispondere alle richieste del regolatore.
Il Brasile ha anche recentemente rinviato l'applicazione della legge brasiliana sulla protezione dei dati generali, o LGPD, fino all'agosto 2021, ma la legge stessa ha comunque avuto effetto, qualsiasi individuo la cui privacy è stata violata potrebbe ancora cercare rimedi una volta arrivata la data di applicazione.
Il rovescio della medaglia, l'applicazione di alcuni standard diventerà effettivamente più rigorosa, "dati i maggiori rischi di elaborazione illegale dei dati, ad esempio, attraverso la raccolta di dati sanitari dei dipendenti prima che possano tornare al lavoro", ha affermato Breitbarth, aggiungendo che "COVID specifico -19 L'azione di contrasto correlata è stata probabilmente avviata da più organismi di regolamentazione ".
Non esiste una formula magica: mettiti al lavoro
Se sperare in un salvataggio da parte degli organismi di normalizzazione non è realistico, tutto ciò che resta è che le organizzazioni si mettano al lavoro – e si spera che abbiano già iniziato.
Huval ha detto che le aziende dovrebbero iniziare a porre domande rilevanti sulle "persone, processi e cambiamenti tecnologici provocati in risposta alla pandemia", compresi quali sono i rischi con una forza lavoro remota e se sono in atto controlli per mitigarli.
"Ad essere onesti, non ci sono soluzioni rapide alla conformità", ha affermato Breitbarth. "Non è solo un esercizio da spuntare: richiede un lavoro effettivo su base continuativa … Ciò a cui le aziende dovrebbero mirare è la conformità continua, costruendo un programma di conformità alla privacy responsabile, con revisioni regolari e, se necessario, aggiornamenti dei segmenti del programma. In questo modo, anche se accade qualcosa come COVID-19, hai un programma su cui puoi fare affidamento. "
Breitbarth ha continuato: "Per le aziende che non hanno ancora sviluppato un programma completo di conformità alla privacy, si consiglia di iniziare con una valutazione delle lacune: quali sono i requisiti legali che devono rispettare e quali sono le politiche e le procedure già in posto. Una volta fatto ciò, possono iniziare a sviluppare un programma di riparazione per colmare eventuali lacune, inclusa una pianificazione.
Ramzan ha convenuto che la conformità stradale non è facile. “Non c'è polvere fata sulla privacy e sulla sicurezza informatica che possa essere spruzzata sulle organizzazioni per alleviare i loro problemi. Per avere programmi efficaci sulla privacy e sulla sicurezza dei dati, le organizzazioni devono introdurre questi elementi nella fase iniziale e creare le giuste basi ", ha affermato.
“Al centro di questi sforzi c'è la comprensione delle pipeline di dati e dei flussi di informazioni. Le aziende dovrebbero creare un flusso di dati e un'architettura di governance che facilitino l'implementazione di privacy, sicurezza informatica e controlli dei rischi efficaci. Le organizzazioni dovranno disporre di misure efficaci per ridurre le possibilità di un incidente di sicurezza informatica o di privacy dei dati e avranno bisogno di modi per dimostrare agli altri di aver implementato le misure giuste. I programmi per la sicurezza dei dati e la privacy sono sforzi deliberati, non possono essere individuati dal nulla ".
Il tentativo dei team di sicurezza post per completare gli audit di conformità sotto COVID è apparso per primo su SC Media .