Come ho imparato a smettere di preoccuparmi e ad amare la compliance

Nel mondo di oggi, la conformità è essenziale. Mantenere la fiducia e far crescere la reputazione di un'azienda non è negoziabile ed è indissolubilmente legato agli standard di sicurezza informatica. Tuttavia, la conformità, probabilmente in tutte le nostre esperienze, non è il programma più facile da costruire e mantenere. In qualità di leader della sicurezza, dobbiamo sapere come aderire a una gamma in espansione di regolamenti, leggi e standard, la maggior parte dei quali sembra incongrua. Questa complessità rende il raggiungimento, il mantenimento e la dimostrazione della conformità un vero e proprio peso.

Cloudflare dedica un numero significativo di risorse per comprendere i requisiti di conformità, implementare i giusti processi e controlli di sicurezza, monitorare i cambiamenti nel nostro ambiente e condurre valutazioni che dimostrino la sua conformità. In un momento precedente della mia carriera, avrei visto tale sforzo come una imposizione. Tuttavia, dopo 20 anni di sicurezza informatica, sono finalmente arrivato a smettere di preoccuparmi e ad imparare ad amare la conformità per ciò che ci consente di realizzare come comunità, non per ciò che ci toglie.

Fonte dell'immagine: Il dottor Stranamore - Ovvero: come ho imparato a non preoccuparmi e ad amare la bomba

Unire la conformità con un approccio alla sicurezza basato sui risultati

La lunga incapacità di cogliere l'entità della minaccia alla sicurezza informatica ha portato a un mondo che ha normalizzato la dipendenza da tecnologie fondamentalmente non sicure. La velocità e il costo per troppo tempo hanno prevalso sui valori della sicurezza e della privacy. Questo è stato un fallimento della politica, un fallimento della gestione, un fallimento delle capacità e soprattutto un fallimento dell'immaginazione.

All'interno del Dipartimento della Difesa e dell'Agenzia di sicurezza nazionale, ci siamo concentrati molto sulla "missione", che per molti è un approccio basato sui risultati per risolvere problemi critici. Implica erroneamente un disprezzo per la conformità a favore di un assalto a tutto campo. Nella mia esperienza, non è mai stato così. I risultati e la conformità sono sempre stati percorsi paralleli che portano alla riduzione del rischio operativo, oltre a una migliore capacità di pensiero e maggiore creatività.

Noi leader della sicurezza informatica abbiamo la responsabilità di allineare la politica e la strategia come punto di partenza fondamentale per migliorare la sicurezza, creare fiducia e creare nuove relazioni. Se adottiamo questo approccio, possiamo applicare soluzioni mirate ai problemi di protezione dei dati degli utenti, protezione della proprietà intellettuale, prevenzione dei furti finanziari e, in alcuni casi, prevenzione dei danni fisici.

Basarsi sulla conformità per rafforzare la sicurezza

È difficile creare fiducia ma è molto facile perderla. Il mancato rispetto delle normative potrebbe significare multe, certo, ma anche la perdita della fiducia e della fiducia di clienti e partner.

Sappiamo tutti che i requisiti di conformità spesso creano esercizi di controllo delle caselle invece della riduzione del rischio operativo. Per questo motivo, vedo la pratica della sicurezza informatica all'interno di campi altamente regolamentati e altamente mirati come l'assistenza sanitaria, i servizi finanziari e la sicurezza nazionale come un forte progetto per tutti noi. In questi campi, le organizzazioni non si limitano a selezionare le caselle: si attengono volontariamente a standard ancora più elevati rispetto a quelli richiesti dalle normative.

Il nostro lavoro di sicurezza inizia quando soddisfiamo gli standard. Come strumento, la conformità ci consente di esprimere il nostro lavoro, guardarci intorno e vedere di chi possiamo fidarci e iniziare ad affrontare il duro lavoro di eliminazione delle minacce. Sentiamo spesso dire che un rapporto SOC o una certificazione ISO dovrebbero fermare le violazioni, ma le violazioni continuano a verificarsi. Perché? La risposta è che la conformità con strutture e standard è solo un modo per riconoscere prima quando qualcosa non va. Non sarà mai un modo per le aziende o i team di prevenire incidenti ed esposizione. Ciò richiede un approccio ancora più completo alla sicurezza informatica, basato sui controlli tecnici.

In Cloudflare, rispettiamo le normative e gli standard chiave e abbiamo ottenuto una serie di importanti certificazioni. Stiamo abbracciando la conformità per le opportunità che può creare. Ma non ci fermiamo qui. Rimaniamo concentrati sulla nostra missione di creare un Internet migliore e più sicuro. Stiamo andando oltre la conformità implementando funzionalità di sicurezza avanzate che manterranno al sicuro la nostra attività, i nostri partner e i nostri clienti. Cloudflare è stata creata per aiutare le aziende e i loro clienti a sentirsi più sicuri su Internet. Scopri le certificazioni che ci aiutano a preservare questa sicurezza.

Punti chiave

Dopo aver letto questo articolo sarai in grado di capire:

• Come considerare la conformità come un vantaggio e non come un onere

• I framework e gli standard non elimineranno mai gli incidenti o l'esposizione dei dati

• L'implementazione di una struttura di sicurezza avanzata che supera i requisiti di conformità è in grado di tenere al sicuro aziende, partner e clienti