合規(guī)審計培訓對企業(yè)來說非常重要,從開發(fā)人員到管理人員,企業(yè)加強對團隊的合規(guī)知識和培訓,可以避免因不合規(guī)而導致的直接處罰以及信息丟失的風險。在遠程辦公環(huán)境中,企業(yè)也不能忽視合規(guī)審計培訓。
受疫情影響,許多企業(yè)幾乎已經(jīng)開啟完全遠程辦公的模式。他們不得不為過去線下當面進行的活動進行重新規(guī)劃。例如,在不確定時期,許多合規(guī)審計已經(jīng)通過在線方式進行。這種轉變要求企業(yè)調(diào)整他們所做的準備和計劃。
但是即使在形勢不明朗的時期,保持敏銳以及對安全知識、計劃和響應的追蹤仍是企業(yè)的責任。企業(yè)的安全團隊必須以新的方式為這些審計做準備。現(xiàn)在許多都進行遠程管理,團隊必須意識到潛在的缺陷和風險。
某些審計活動可能會疏忽了一些漏洞風險,在報告中予以通過;但是對于企業(yè)的安全性而言,風險不會因為報告通過而消失。因為您的審計師疏忽了,不代表黑客會看漏,他們可能在一天之后就嘗試利用這個漏洞進行非法活動。有鑒于此,從開發(fā)人員到管理人員,對您的團隊進行必要的安全知識和培訓更加重要,這不僅需要通過合規(guī)審計,而且需要超過這個標準。在安全法規(guī)和合規(guī)方面力爭達到更高標準是保護您的企業(yè)、員工和客戶的最佳方法之一。
培訓如何提高合規(guī)率?
根據(jù)對行業(yè)專家的一項調(diào)查,針對行業(yè)標準和法規(guī)如支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)的安全審計的合規(guī)率一直在下降。例如,PCI DSS的合規(guī)性自2012年首次下降以來,從2018年的42%下降至2019年的26%。合規(guī)下降的原因有很多,但是10%的受訪者表示,導致合規(guī)失敗的一個關鍵因素是合規(guī)教育的減少或取消。
同時,其他的法規(guī),比如面向醫(yī)療服務行業(yè)的HIPAA法案,它本身并沒有一個通過或未通過的規(guī)定。但是為了合規(guī),當雇傭員工或者政策/程序發(fā)送重大變化時,他們需要接受有關安全主題的培訓和最佳實踐,包括社會工程、密碼和加密。
然而,在核對清單上打勾的一次性訓練并不能滿足HIPAA法案對合規(guī)性的要求。盡管HIPAA法案沒有規(guī)定應該多久進行一次合規(guī)培訓以保持合規(guī),負責監(jiān)督HIPAA法案的組織在最近的一則簡訊中表示,每月的安全更新和半年一次的培訓對于許多醫(yī)療機構滿足要求都非常有效。
數(shù)據(jù)泄露成本增加
企業(yè)不遵守這些法規(guī)的話可能遭受重罰,其中包括罰款和吊銷許可證和證明。
除了因不合規(guī)而受到的直接處罰之外,由于不及時了解安全審計培訓而帶來的更大的商業(yè)影響還包括數(shù)據(jù)泄露的增加。因此,培訓不僅使企業(yè)能適應最新的法規(guī),而且還減少信息丟失的可能性。
研究已經(jīng)量化了這些影響。例如,在過去的14年,完全符合PCI DSS要求的企業(yè)沒有發(fā)生過任何一例數(shù)據(jù)泄露事件。
eLearning 滿足企業(yè)的特定需求
由于大部分員工無法進行課堂式培訓或者在現(xiàn)場進行安全信息的鞏固培訓,企業(yè)應該轉向并加強使用在線課程來幫助員工提升安全知識。eLearning課程和在線講師指導培訓(vILT)都是幫助企業(yè)滿足合規(guī)培訓需求的一些不錯的選擇。
eLearning提供比以往更重要的優(yōu)勢,包括按需訪問、特定角色培訓(比如開發(fā)人員、架構師、DevOps經(jīng)理、安全從業(yè)人員、執(zhí)行人員),以及適用于特定合規(guī)標準的培訓(如PCI DSS)。而且eLearning培訓可以幫助覆蓋特定垂直領域的法規(guī),比如金融服務和汽車。另外,vILT與面對面授課很相似,可以在線與小組成員互動。由于不同的企業(yè)需要不同類型的課程,eLearning和vILT提供靈活性以滿足這些需求。
eLearning課程可以覆蓋適用于企業(yè)的法規(guī)或標準的培訓需求內(nèi)容深度,有與PCI DSS、《通用數(shù)據(jù)保護條例》(GDPR)、《加利福尼亞州消費者隱私法案》(CCPA)等等相關的特定合規(guī)課程。如果企業(yè)需要更具深度或廣度的合規(guī)或安全培訓,可以選擇完整的eLearning課程目錄或者單點學習課程。完整的安全目錄涵蓋從基礎和防御策略到特定的編程架構/語言和云平臺。
按需eLearning合規(guī)課程不僅非常適合開發(fā)人員,eLearning還適用于其他角色。比如GDPR合規(guī)培訓適用于開發(fā)和項目經(jīng)理以及CISOs和其他高層管理人員。
eLearning集成到IDE
伴隨著 “向左移”,開發(fā)團隊在軟件開發(fā)生命周期早期承擔更多的安全責任,他們不得不在代碼提交之前加入合規(guī)性培訓。為了滿足這一需求,按需eLearning直接通過新思科技的Code Sight插件集成到開發(fā)人員的集成開發(fā)環(huán)境(IDE)中。eLearning還與Coverity Connect和Seeker集成。這些集成使得eLearning課程的演示內(nèi)容能結合團隊的需求。因此,集成直接支持開發(fā)團隊“向左移”,并且確保他們可以獲取滿足其安全和合規(guī)需求的相關培訓。
不要錯過安全培訓,以備不時之需
隨著許多企業(yè)開展遠程辦公,合規(guī)審計培訓也發(fā)生了變化。遠程辦公場所改變了工作流程并且?guī)砹诵碌奶魬?zhàn),但是安全合規(guī)的需求并不會因此而減少。
eLearning可以幫助企業(yè)在不確定的時期更加專注于合規(guī)和法規(guī)培訓的需求。通過在線培訓來強調(diào)諸如PCI DSS、GDPR和新的CCPA等特定的法規(guī)和標準,如金融服務和汽車的垂直行業(yè),或者如軟件安全原則的通用培訓基礎知識。