新思科技建议在远程办公环境中重视合规审计培训
扫描二维码
随时随地手机看文章
随着国内外与信息安全有关的法律法规的颁布以及软件安全行业标准的出台,企业在构建安全、高质量的软件的同时需要遵守相关法律法规和标准,否则将面临巨额罚款。因此,企业必须意识到不合规所带来的风险并加强对团队的合规审计培训。
受疫情影响,许多企业几乎已经开启完全远程办公的模式。他们不得不为过去线下当面进行的活动进行重新规划。例如,在不确定时期,许多合规审计已经通过在线方式进行。这种转变要求企业调整他们所做的准备和计划。
但是即使在形势不明朗的时期,保持敏锐以及对安全知识、计划和响应的追踪仍是企业的责任。企业的安全团队必须以新的方式为这些审计做准备。现在许多都进行远程管理,团队必须意识到潜在的缺陷和风险。
某些审计活动可能会疏忽了一些漏洞风险,在报告中予以通过;但是对于企业的安全性而言,风险不会因为报告通过而消失。因为您的审计师疏忽了,不代表黑客会看漏,他们可能在一天之后就尝试利用这个漏洞进行非法活动。有鉴于此,从开发人员到管理人员,对您的团队进行必要的安全知识和培训更加重要,这不仅需要通过合规审计,而且需要超过这个标准。在安全法规和合规方面力争达到更高标准是保护您的企业、员工和客户的最佳方法之一。
培训如何提高合规率?
根据对行业专家的一项调查,针对行业标准和法规如支付卡行业数据安全标准(PCI DSS)的安全审计的合规率一直在下降。例如,PCI DSS的合规性自2012年首次下降以来,从2018年的42%下降至2019年的26%。合规下降的原因有很多,但是10%的受访者表示,导致合规失败的一个关键因素是合规教育的减少或取消。
同时,其他的法规,比如面向医疗服务行业的HIPAA法案,它本身并没有一个通过或未通过的规定。但是为了合规,当雇佣员工或者政策/程序发送重大变化时,他们需要接受有关安全主题的培训和最佳实践,包括社会工程、密码和加密。
然而,在核对清单上打勾的一次性训练并不能满足HIPAA法案对合规性的要求。尽管HIPAA法案没有规定应该多久进行一次合规培训以保持合规,负责监督HIPAA法案的组织在最近的一则简讯中表示,每月的安全更新和半年一次的培训对于许多医疗机构满足要求都非常有效。
数据泄露成本增加
企业不遵守这些法规的话可能遭受重罚,其中包括罚款和吊销许可证和证明。
除了因不合规而受到的直接处罚之外,由于不及时了解安全审计培训而带来的更大的商业影响还包括数据泄露的增加。因此,培训不仅使企业能适应最新的法规,而且还减少信息丢失的可能性。
研究已经量化了这些影响。例如,在过去的14年,完全符合PCI DSS要求的企业没有发生过任何一例数据泄露事件。
eLearning满足企业的特定需求
由于大部分员工无法进行课堂式培训或者在现场进行安全信息的巩固培训,企业应该转向并加强使用在线课程来帮助员工提升安全知识。eLearning课程和在线讲师指导培训(vILT)都是帮助企业满足合规培训需求的一些不错的选择。
eLearning提供比以往更重要的优势,包括按需访问、特定角色培训(比如开发人员、架构师、DevOps经理、安全从业人员、执行人员),以及适用于特定合规标准的培训(如PCI DSS)。而且eLearning培训可以帮助覆盖特定垂直领域的法规,比如金融服务和汽车。另外,vILT与面对面授课很相似,可以在线与小组成员互动。由于不同的企业需要不同类型的课程,eLearning和vILT提供灵活性以满足这些需求。
eLearning课程可以覆盖适用于企业的法规或标准的培训需求内容深度,有与PCI DSS、《通用数据保护条例》(GDPR)、《加利福尼亚州消费者隐私法案》(CCPA)等等相关的特定合规课程。如果企业需要更具深度或广度的合规或安全培训,可以选择完整的eLearning课程目录或者单点学习课程。完整的安全目录涵盖从基础和防御策略到特定的编程架构/语言和云平台。
按需eLearning合规课程不仅非常适合开发人员,eLearning还适用于其他角色。比如GDPR合规培训适用于开发和项目经理以及CISOs和其他高层管理人员。
eLearning集成到IDE
伴随着 “向左移”,开发团队在软件开发生命周期早期承担更多的安全责任,他们不得不在代码提交之前加入合规性培训。为了满足这一需求,按需eLearning直接通过新思科技的Code Sight插件集成到开发人员的集成开发环境(IDE)中。eLearning还与Coverity Connect和Seeker集成。这些集成使得eLearning课程的演示内容能结合团队的需求。因此,集成直接支持开发团队“向左移”,并且确保他们可以获取满足其安全和合规需求的相关培训。
不要错过安全培训,以备不时之需
随着许多企业开展远程办公,合规审计培训也发生了变化。远程办公场所改变了工作流程并且带来了新的挑战,但是安全合规的需求并不会因此而减少。
eLearning可以帮助企业在不确定的时期更加专注于合规和法规培训的需求。通过在线培训来强调诸如PCI DSS、GDPR和新的CCPA等特定的法规和标准,如金融服务和汽车的垂直行业,或者如软件安全原则的通用培训基础知识。