我如何学会不再担心并喜欢上合规
当今世界,合规是至关重要的一环。维持信任和增强企业声誉是不可妥协的,与网络安全标准密不可分。然而,在我们的经验中,合规性并不是最容易构建和维护的计划。作为安全领导者,我们需要知道如何遵守不断增加的法规、法律和标准,尽管其中大部分给人不协调的感觉。这种复杂性使得实现、维护和证明合规性感觉像是一种负担。
Cloudflare 投入了大量资源来了解合规性要求,实施正确的安全流程和控制,监测我们的环境变化,并进行证明我们合规性的评估。在我职业生涯的早期阶段,我会把这种努力视为一种税收。然而,在网络安全领域工作 20 年后,我终于不再担心,并学会了热爱合规性,因为它让我们作为一个社区能实现的事情,而不是它所带来的负担。
图片来源: 《奇爱博士》(Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb)
将合规性与基于结果的安全方法结合起来
由于长期未能认识到网络安全威胁的严重性,世界对根本上不安全的技术形成了常态化的依赖。长期以来,速度和成本一直超过了安全和隐私的价值。这是政策、管理、能力、尤其是想象力的失败。
在美国的国防部和国家安全局内部,我们高度关注“使命”,这对许多人来说是解决关键问题的一种基于结果的方法。这错误地暗示全力以赴而无视合规性的情况。根据我的经验,情况从来不是这样的。结果和合规性始终是平行的轨道,能够降低运营风险,并带来更好的思考和更多的创造力。
作为网络安全领导者,我们有责任统一政策和战略,作为增强安全、建立信任和形成新关系的起点。如果采取这种方法,我们可以将面向任务的解决方案应用于保护用户数据、保护知识产权、避免金融盗窃以及在某些情况下先发制人地预防物理损害的问题。
在合规的基础上构建以加强安全性
建立信任很难,失去信任却很容易。不遵守法规可能意味着罚款,还可能会失去客户和合作伙伴的信任和信心。
众所周知,合规要求通常会导致形式主义的做法,而不是降低运营风险。因此,我认为,医疗保健、金融服务和国家安全等受到高度监管且频繁成为攻击目标的领域,其网络安全实践对所有人来说都是一个强大的行动方案。在上述这些领域,组织不仅仅只是勾选方框:它们自愿遵守比法规要求更高的标准。
达到标准后,我们的安全工作才开始。作为一个工具,合规让我们能够描述自己的工作,寻找值得信任的人,并开始着手消除威胁的艰难工作。我们经常听说,SOC 报告或 ISO 认证本应阻止数据泄露,但数据泄露仍然会发生。原因何在?答案是,遵守框架和标准只是一种让我们能够更早发现问题的方式。它永远不会成为企业或团队预防安全事件和数据泄露的方法。这需要一种更全面、基于技术控制的方法来确保网络安全。
Cloudflare 遵循关键法规和标准,并获得了一系列重要认证。我们正在拥抱合规,因其可以创造机会。但我们并未止步于此。我们将继续专注于我们的使命,即构建更好、更安全的互联网。我们正在推动超越合规性,实施先进的安全功能,确保我们的业务、合作伙伴和客户安全无虞。Cloudflare 旨在帮助您和您的客户在互联网上更加安全。了解有助于我们维持这种安全性的认证。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 安全官
关键要点
阅读本文后,您将能够了解:
如何将合规视为赋能因素而非负担?
规范和标准永远无法完全消除事故或风险暴露
实施超越基本合规的高级安全措施,将确保企业、合作伙伴和客户的安全。