ますますリスク回避的な規制環境の管理

リスクの管理と軽減は、CIO やサイバーセキュリティの幹部を含む、世界中の CEO やその他の上級幹部にとって最優先事項です。 実際のところ、テクノロジーの実装とそれらがもたらす潜在的なサイバーセキュリティの脆弱性からリスクを切り離すことは不可能です。

IT に関連するリスク管理の最大の課題の 1 つは、データのプライバシーとセキュリティに関する政府および業界の規制の増加です。 すべての規制を順守することは、特に金融サービス会社、医療機関、政府機関などの規制の厳しい組織にとって困難です。

特定のセクターに対応する規制の一部は、何年も前から施行されています。 たとえば、金融サービスでは、Gramm-Leach-Bliley Act (GLBA) により、金融会社は顧客データを保護し、顧客とのすべてのデータ共有慣行を開示する必要があります。

医療分野では、医療保険の携行性と説明責任に関する法律 (HIPAA) により、患者の同意または認識なしに患者の健康に関する機密情報が開示されないよう保護する必要があります。 業界のリスク管理とテクノロジーのリーダーは、1996 年に法律が制定されて以来、HIPAA コンプライアンスに取り組んできました。

米国連邦政府では、政府機関は連邦リスクおよび承認管理プログラム (FedRAMP) に対処する必要があります。これは、クラウド製品とサービスのセキュリティ評価、承認、および継続的な監視に対する標準化されたアプローチを提供する政府全体のイニシアチブです。

また、小売業やその他のセクターでは、企業は、大手カード会社のブランドのクレジット カードを扱う組織向けのサイバー セキュリティ基準である Payment Card Industry Data Security Standard (PCI DSS) に準拠する必要があります。 カード ブランドによって義務付けられ、Payment Card Industry Security Standards Council によって管理される PCI 標準は、クレジット カード詐欺を減らすためにカード所有者データに関する管理を強化するために作成されました。

最近では、EU 市民に関するデータのプライバシーを保護するために、2018 年に欧州連合 (EU) で一般データ保護規則 (GDPR) が制定されました。 GDPR の主な目的は、個人データに対する個人の管理と権利を強化することです。 また、2018 年には、カリフォルニア州の住民のプライバシー権と消費者保護を強化するために、カリフォルニア州消費者プライバシー法 (CCPA) が同州で制定されました。

他の多くの州では、データ保護とプライバシーに関連する保留中の法律があり、これらのいくつかは近い将来に制定される可能性があります.

次に、組織が消費者データを保持および使用する方法を規制する連邦オンライン プライバシー法案である米国データ プライバシーおよび保護法 (ADPPA) があります。 超党派の法案は、委員会のマークアップを可決した最初のアメリカの消費者プライバシー法案です。 ADPPA は、組織が消費者データを維持および使用する方法を規制します。 データの最小化、個人の所有権、私的行動権など、いくつかの主要な原則があります。 各組織のプログラムを評価する負担は、組織の負担になります。

最初の連邦ユーザー データ プライバシー法である ADPPA は、CCPA やコロラド プライバシー法などの州法に大きく取って代わります。

私たちは、政府、組織、消費者、ビジネス パートナー、そして実際に規制当局がリスク回避の傾向を強め、セキュリティに対する意識を高めたいという欲求を感じている環境の真っ只中にいます。

特に規制当局は、事実上すべての業界の組織に対して、データとその使用方法に関する透明性と制御可能性の向上を求めています。

リスクの管理方法

このようなデータ プライバシーに関する規制活動が行われている中で、組織はどのようにしてコンプライアンスを維持できるのでしょうか?

最も重要なことの 1 つは、会社に適用される既存および新たな規制を認識することです。 これは、規制産業では言うまでもありません。 しかし、実際には、組織に適用されるすべての最新の規制活動を把握するなど、規制状況の評価にリソースを費やす必要があります。

コンプライアンス活動を評価および調整できるチームを作成します。 このチームがリスク管理、コンプライアンス、監査、データ ガバナンスの責任者であるか、その他の幹部であるかにかかわらず、CIO と CISO が関与する必要があります。これは、IT インフラストラクチャに関わるデータ プライバシーが非常に多いためです。 他の利害関係者には、法務部門と人事部門を含める必要があります。

今日のビジネスでは、データが非常に包括的なエンティティであるため、組織のさまざまな側面の間で緊密かつ継続的な調整が不可欠です。

もう 1 つの重要な組織的慣行は、必要なコンプライアンスの専門家を雇うことです。 今日のテクノロジー関連のスキルと同様に、人材を見つけて維持することは困難な場合があります。 これが不可能であることが判明した場合、企業のデータ プライバシーの問題を処理するコンサルティング会社は無数にあります。

もちろん、データ プライバシーのコンプライアンスを確保するのに役立つ適切なツールとサービスにアクセスできることも重要です。 これらのツールは、広く分散されたインフラストラクチャ コンポーネント全体で非常に短い時間内に脆弱性とコンプライアンスの露出を特定できる必要があります。

一部の企業は、さまざまなオペレーティング システム、アプリケーション、およびセキュリティ構成とポリシーに対して脆弱性とコンプライアンスの評価を実施しています。 これらは、露出を排除し、全体的なセキュリティを強化し、監査の準備を簡素化するために必要なデータを提供します。

ITコンサルティングおよびサービス会社のアクセンチュアによると、コンプライアンス機能は成熟しており、反応的で助言的な役割から、ビジネスの積極的なパートナーへと移行しています。

同社が 2022 年 5 月に発表した調査によると、企業全体でコンプライアンス責任を共有する文化を確立することへの取り組みが強化されています。 同社が 860 人のコンプライアンス リーダーを調査したところ、ほぼ半数がコンプライアンス スタッフのスキルアップを計画して、企業全体にコンプライアンスの文化を推進する計画を立てており、約 40% がこの目標を達成するために新しいテクノロジーに投資する計画を立てていることがわかりました。

回答者の半数以上が、最先端のテクノロジーを使用してコンプライアンス機能を強化していると述べており、93% は、人工知能やクラウドなどの新しいテクノロジーによって、人的タスクの自動化、標準化、およびプロセスの効果と効率の向上により、コンプライアンスが容易になると述べています。

組織のリスクを評価します。 タニウムのリスク評価. カスタマイズされたリスク レポートには、リスク スコア、提案された実装計画、同業他社との比較などが含まれます。

Leave a Comment

Your email address will not be published. Required fields are marked *