我如何學會不再擔心並愛上合規性
在當今世界中,合規性至關重要。維持信任和提高企業聲譽毫無商量餘地,並與網路安全標準密不可分。然而,根據我們所有的經驗,合規性並非最容易構建和維護的程式。作為網路安全領導者,我們需要瞭解如何遵循越來越多的法規、法律和標準——其中大部分都讓人感覺不合時宜。這種複雜性讓實現、維護和證明合規性感覺像是一種負擔。
Cloudflare 投入了大量資源來瞭解合規要求、實施正確的安全程序和控制、監視環境中的變化,並執行評估來證明我們的合規性。在我的職業生涯早期,我將這類工作視為一種負擔。然而,在從事網路安全 20 年後,我最終不再擔憂,並學會了熱愛合規性,因為它讓我們作為一個社群實現了某些東西,而不是奪走了某些東西。
影像來源:《奇愛博士》或《我如何學會不再擔心並且愛上炸彈》
將合規性與基於結果的安全方法結合起來
由於長期以來未能意識到網路安全威脅的重要性,導致世界對根本不安全的技術的依賴成為一種常態。長期以來,我們一直認為,速度和成本比安全性和隱私權更有價值。這是策略的失敗,管理的失敗,能力的失敗,而最重要的是想像力的失敗。
在國防部和國家安全局,我們極為關注「任務」,對很多人而言,這是基於結果的解決重大問題的方法。它錯誤地暗示了無視合規性而支持全力進攻。根據我的經驗,情況並非如此。結果與合規性始終齊頭並進,不僅可以降低營運風險,還能提高思考能力和創造能力。
我們網路安全領導者有責任將政策和策略作為基本起點來增強安全性、建立信心和新關係。如果我們採取這種方法,則可以套用面向任務的解決方案來解決保護使用者資料、確保智慧財產安全、避免金融盜竊以及在某些情況下預先防止實體損害等問題。
基於合規性來增強安全性
建立信任很難,失去卻很容易。當然,不遵守法規可能意味著罰款,但也會失去客戶及合作夥伴的信任和信心。
我們都知道,合規要求往往會設計方塊核取運用,而不是降低營運風險。出於這個原因,我認為,在受到嚴格監管以及遭受攻擊最多的領域(如醫療保健、金融服務和國家安全)實施網路安全,對我們所有人而言都是一個有望成功的藍圖。在這些領域,組織所做的不僅僅是核取方塊:他們會自願達到比法規要求更高的標準。
當我們達到標準時,我們的網路安全工作就開始了。作為一種工具,合規性讓我們能夠明確自己的工作,環顧四周,看看我們可以信任誰,並開始處理消除威脅的艱巨工作。我們經常聽說 SOC 報告或 ISO 認證應該可以阻止違規行為,但違規仍在發生。為什麼?答案是,遵循架構和標準只是一種讓我們更快地發現問題的方式。對於公司或團隊而言,這種方式永遠無法防止發生事件和暴露。這就需要一種更加全面的網路安全方法,一種基於技術控制的方法。
Cloudflare 遵循主要法規和標準,並且贏得了多項重要認證。我們欣然接受了合規性以便創造機會。但我們並不會止步於此。我們將繼續專注於我們的使命,來打造一個更出色、更安全的網際網路。我們透過實施進階的安全功能,來確保我們的業務、合作夥伴以及客戶的安全,從而超越了合規性。Cloudflare 旨在帮助您和您的客戶提高網際網路安全性。瞭解認證來帮助我們維持這種安全性。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
Oren Falkowitz — @orenfalkowitz
Cloudflare 安全長
重點
閱讀本文後,您將能夠瞭解:
如何將合規性視為推動因素而非負擔
架構和標準永遠不會消除事件或暴露
實施超越基本合規性的先進安全性,為業務、合作夥伴及客戶保駕護航