1715178742
2024-05-07 12:02:11
企業がサイバー攻撃から直面する脅威についての認識が高まっています。
によると アリアンツの 2024 年のリスク バロメーター、ランサムウェア攻撃、データ侵害、IT 中断などのインシデントは、世界的なリスクとして断然トップにランクされています。
同様に、見てみると、 PwC の 2024 年グローバル デジタル トラスト インサイト調査、経営幹部のほぼ半数 (47%) がクラウド中心のサイバー脅威について積極的に懸念しており、回答者の 36% が前年に 100 万ドルを超えるデータ侵害を経験しており、27% から増加しています。
これは深刻化する問題であり、世界中の規制当局が、企業の回復力と安全性を高めるためにガイドラインを更新および強化することで対処しようと取り組んでいます。
ここで、欧州連合は最近特に注目を集めており、まもなくさまざまな企業に法律として適用される 2 つの重要なサイバーセキュリティ コンプライアンスの変更を発表しました。
その 1 つ目は NIS2 指令です。 2023年1月に発効したこの指令は、以前のEU指令の拡大版であり、重要なインフラや不可欠なサービスの運営者に対し、より堅牢なセキュリティポリシーの策定を義務付けている。
一方、2 つ目はデジタル オペレーショナル レジリエンス法 (DORA) です。 2025 年 1 月に法的拘束力を持つ予定で、金融機関とその重要なサードパーティ技術サービス プロバイダーが ICT システムに実装する必要がある技術標準を確立します。
主観的な規制の問題
これらのフレームワークの背後にあるメッセージも同様です。つまり、不可欠なサービスを提供する組織はサイバーセキュリティを優先し、混乱の可能性を減らすためにデジタル脅威からより包括的に保護する必要があるということです。
彼らの推論は正当です。 しかし、多くの企業がそれを望んでいないようです。
NIS2 と DORA の両方に関する最大の問題の 1 つは、エンドユーザーに成功への青写真を提供せずに、セキュリティと回復力の促進に過度に重点を置いているという事実です。 企業が目指すべき成果に過度に注意を払うあまり、最終目標を達成するために企業がとるべき行動について明確な段階的なガイダンスを提供できていない。
これは部分的には、すべてのビジネスは異なるという認識によるものです。 それぞれの組織が独自のデジタル フットプリントをよりよく理解しているため、企業にとってはガイドラインを自社にとって意味のある方法で解釈することがより合理的であると考えられています。
これは DORA の場合によく当てはまり、企業はビジネス クリティカルなサービスとしての資格を定義するだけでなく、その相互接続された依存関係を正確に特定する責任を負います。
残念ながら、このように規制を自由に解釈できるようにすると、混乱や矛盾が生じ、組織と監査人の両方にとって環境が複雑になる可能性があります。
たとえば、金融分野では、同様のサービスを提供する 2 つの企業が、ビジネスに不可欠なサービスの定義とそれに対応する依存関係に関してまったく異なる視点を持っている可能性があります。
「なぜ」を超えて「どのように」に目を向ける
NIS から NIS2 への移行でいくつかの改善が見られました。 ガイダンスが少し改善されただけでなく、曖昧さも減りました。 しかし、私の見解では、それはまだ完璧には程遠いです。
これらのフレームワークは、状況やその要件についてよくわかっていない企業のサイバーセキュリティ コンプライアンスを大幅に簡素化するためにさらに前進する必要があると私は考えています。
このような措置は建設など他の分野でも講じられている。 家を建てたい場合、英国の建築基準法は、従う必要がある明確で厳格なガイドラインを提供します。
NIS2 と DORA が同じ方向に進むことが重要です。 もちろん、建設などの業界で達成されたものを再現するほど簡単ではありません。 ただし、世界中の他の主要市場では、より支援的なサイバーセキュリティ フレームワークが導入され、成功した例がすでに見られています。
オーストラリアのエッセンシャル 8 は顕著な例として機能します。 より堅牢なセットアップを実現するための基礎となる 8 つの重要なセキュリティ優先事項の重要性を強調するだけでなく、基本的な成熟レベルとより高度な成熟レベルの両方を達成するための段階的なガイダンスも組織に提供します。
玄関ドア用に新しい鍵を購入することを想像してみてください。鍵がかかっているときだけ家が安全になると言われるだけでは十分ではありません。 また、セキュリティ効果を最大限に高めるために、最適な構成と運用方法に関するガイダンスも必要になります。
こうした期待は、サイバーフレームワークを検討する際にも変わらないはずです。 エンドユーザーがガイドラインを真に理解し、効果的に従うために、規制当局はベストプラクティスを達成する方法を正確に概説する必要があります。
コンプライアンス違反による罰則を超えた価値を理解する
DORA と NIS2 によって義務付けられた強化されたコンプライアンス要件に効果的に対応する方法に取り組んでいる企業は、いくつかの手順を実行できます。
英国または EU に拠点を置く組織はそれぞれの法律を遵守する必要がありますが、より規範的なフレームワークの指導原則と行動ポイントは、組織が意思決定プロセスに情報を提供するのに役立ちます。
オーストラリアのエッセンシャル・エイトなどのフレームワークを遵守する企業と同じ道をたどることで、企業は主観的な解釈から脱却し、監査人に明確な論理痕跡を提供すると同時に、コンプライアンスへの取り組みに対する自信を高めることができます。
ただし、サイバーセキュリティコンプライアンスを単なるチェックボックスの実行に縮小すべきではありません。
規制要件が強化されるのには理由があります。サイバー脅威が増大する中、組織は効果的に身を守るために必要な制御とポリシーを導入する必要があります。
この変化は負担ではなく、むしろチャンスとして捉えられるべきです。 IT がかつてはビジネスのコストとしてのみ認識されていましたが、現在ではビジネスを実現するものとして認識されているのと同様に、サイバーセキュリティも同様の変革を遂げています。 セキュリティは業務を直接合理化したり収益を倍増させるわけではありませんが、投資を保護し、ビジネスの継続性を確保するための重要なツールです。
セキュリティ ガイドラインに従うことは、違反した罰金を回避することではありません。 と IBMのレポート 現在、データ侵害の平均は組織に 445 万ドルの損失をもたらしており、それよりもはるかに有害な結果からビジネスを守るには、効果的なセキュリティ対策が不可欠です。
このような壊滅的な損失を回避するには、セキュリティを優先することが不可欠です。 このアプローチを採用することで、組織は自然に、進化しエスカレートするコンプライアンス要件に適切に対応できるようになります。
ダニエル・ラティマーは、次の地域副社長です。 いつも。
続きを読む
CISO と CCO が出会うとき: サイバー リスク管理をリードする – セキュリティとコンプライアンスのリーダーは緊密に連携して、組織全体のサイバー リスク管理を効果的に主導する必要があります
注意すべきソーシャル エンジニアリング攻撃の種類 – ここでは、組織にとって最も脅威となるソーシャル エンジニアリング攻撃と、それを阻止する方法について探ります。
効果的なサイバーセキュリティ脅威監視の鍵 – 現在および将来の脅威に応じて進化する強力なサイバーセキュリティ脅威監視戦略は、長期的な全社的な保護を実現するために不可欠です。
#NIS2 #と #DORA #は企業のサイバーセキュリティを向上させることができますか
,fit(1200:))
