Kariyerimin çoğunda, büyük uluslararası finansal hizmetler şirketlerinde güvenlik ve risk fonksiyonlarında çalıştım. Bu kuruluşlar, çok sayıda ülkede faaliyet gösteren çok uluslu küresel kurumlardı. Bu kuruluşlarda yaygın olarak karşılaşılan zorluklardan biri, her bir yetki alanının bilgi ve siber güvenlik düzenlemelerine uymamızı sağlamaktı. Uygulamada, bu çalışma, bazı durumlarda, her biri siber güvenlik en iyi uygulaması için kendi standart beklentileriyle gelen 250’den fazla düzenleyici makamla ilişkilerin yönetilmesini içeriyordu.
Aradan geçen yıllarda, siber güvenlik hem işletmeler hem de tüketiciler için katlanarak daha önemli hale geldi ve bunun sonucunda veri gizliliği ve güvenlik düzenlemeleri, işletmelerin uyumluluğu sağlamasına yardımcı olacak standart çerçeveler gibi çoğaldı.
Bugün ortalama bir küresel finansal hizmetler şirketiniz, GDPR (AB), CCPA (ABD) ve PIPL (Çin) dahil olmak üzere genel veri gizliliği düzenlemeleriyle ve çok daha fazlasıyla mücadele etmek zorundadır (yaklaşık 194 ülke korumayı sağlamak için yasalar çıkarmıştır). veri ve gizlilik).
Ayrıca firmalar, FFIEC değerlendirmesi (ABD), MAS’ın TRM gereklilikleri (Singapur), CPS 234 zorunlulukları (Avustralya) ve diğerleri gibi çeşitli sektöre özgü gerekliliklere de uymak zorundadır. Aynı şekilde finansal hizmetler de, SOCI Yasası (Avustralya) ve NIS Direktifi (Birleşik Krallık) dahil olmak üzere, uymaları gereken kendi düzenlemeleriyle birlikte, genellikle ulusların “kritik altyapısının” bir parçası olarak kabul edilir.
Karmaşık Güvenlik Politikası Düzenlemelerinin Durumu
Özellikle önemli yeni kurallar, düzenlemeler ve en iyi uygulamalar ortaya çıkmaya devam ederken, gizlilik ve siber güvenlik yasalarına ve standartlarına uymak büyük bir sorumluluktur. İşletmelerin standartları uygulamalarına ve uyumluluğu sağlamalarına yardımcı olması için genellikle güvenlik ve risk ortaklarına başvuracakları göz önüne alındığında, bu yalnızca düzenlemelere tabi olanlar için değil, aynı zamanda onları destekleyen kuruluşlar için de bir yüktür.
Tabii ki, çok az kişi düzenlemenin kötü bir şey olduğunu iddia edebilir. En düşük ortak paydayı ortaya çıkarır ve kuruluşları harekete geçmeye yönlendirir. Ancak küresel düzenleyici ortamın şaşırtıcı karmaşıklığı, uyumluluğu maliyetli ve çok zaman alan bir mesele haline getiriyor (şirketlerin siber güvenlik bütçelerinin %40’a kadarını yasal uyumluluk raporları göndermek için harcadığı düşünülüyor).
Standartlara gelince, NIST CSF, ISO 27001 ve ISO 27002 ve NERC CIP gibi çerçevelerin çoğalması, kuruluşların hangisini standartlaştıracaklarını ve yaptıklarında diğer standartlarla uyumu nasıl göstereceklerini merak etmelerine neden olabilir. İşletmelerin güvenlik kontrollerini kendilerine sunulan farklı çerçeveler arasında eşlemesine yardımcı olmak için eksiksiz bir küçük ev endüstrisi inşa edildi.
Çeşitli yetki alanlarındaki güvenlik gereksinimlerini karşılaması gereken şirketler, çoğu zaman, ne kadar kaynak harcarlarsa kullansınlar, kasıtsız bir uyum hatası için yasal işlem riskini ortadan kaldıramayacaklarını fark ederler. Sadece bu da değil, güvenlik uzmanları çeşitli düzenleyici kurumların siber kurallarının nüanslarını ayıklamak için çok fazla zaman harcadıklarında, aksi takdirde şirketlerinin karşı karşıya olduğu gerçek risklerle mücadele etmeye odaklanabilecekleri zaman kaybedilmiş olur. Düzenleyici ağaçlara odaklandıkları için ormanda ortaya çıkan tehditleri kaçırabilirler. Sonuçta, uyumlu olmak ve güvenli olmak çok farklı iki şeydir.
Politika Uyumlaştırması İçin İleriye Dönük Bir Yol
Çok daha büyük ölçüde küresel düzenleyici uyumlaştırmanın zamanı geldi. Teorik olarak, uyumlaştırma için altın standart, farklı yetki alanlarının düzenleyici gereksinimlerinin veya hükümet politikalarının aynı olmasını içerecektir. Bununla birlikte, konunun muazzam karmaşıklığı, yetki alanları arasındaki yetenek ve olgunluk farkları ve ulus devletler arasında yaygın işbirliği gerekliliği göz önüne alındığında, bu düzeyde bir uyumlaştırmanın mümkün olması muhtemel değildir. Ancak bu, ilerleme kaydedilemeyeceği anlamına gelmez. İşte uyumlaştırmanın izleyebileceği birkaç olası yol:
- İlkelere dayalı bir yaklaşım. İlk adım olarak, hükümetler ve düzenleyiciler, kişisel verilerin kutsallığı ve bütünlüğü ile vatandaşların veri onayı ve şeffaflık hakları gibi düzenlemeye bilgi sağlamak için üzerinde anlaşmaya varılan bir dizi kapsayıcı ilke üzerinde bir araya gelebilir.
- Düzenleyici eşdeğerlik. Genel yasalar yerine, farklı yargı bölgeleri, bir dizi yasaya kanıtlanmış uyumu, diğeriyle uyumlu olarak kabul etmeyi kabul edebilir.
- Altın standart kurallarını ödünç alın. Yasa koyucular, yalnızca başka bir yargı alanından ithal edilebilecek mevcut yasaların olup olmadığını ilk olarak değerlendirdikten sonra yeni yasalar ve yükümlülükler getirmelidir.
Büyük ölçekte düzenleyici uyumlaştırma işe yarayabilir ve çalışmaktadır. Bunun iyi bir örneği, blok genelinde ortak düzenleyici standartların normal olduğu Avrupa Birliği’ndedir. Aslında, AB hukuku genellikle çeşitli ulusal yasaların eski uyumsuzluğuna düzen ve basitlik getirmek için özel olarak tasarlanmıştır. Dijital Operasyonel Direnç Yasası (DORA) ile bunu tekrar görüyoruz.
Standartların uyumlaştırılması, uğrunda savaşmaya değer bir ödüldür. Uyumluluğu yönetmenin karmaşıklığını basitleştirerek, güvenlik ve risk ekiplerinin uyumluluk riskini değil operasyonel riski yönetmeye odaklanmasını sağlayabiliriz. Bunu yaparak, tehditlere daha iyi karşı koyabilecek ve operasyonları sürdürebilecekler. Bu büyük, karmaşık bir iştir ve hükümet işbirlikçi organları (örn. G20 vb.), uluslararası organlar (örn. BM, Dünya Ekonomik Forumu) ve kurumsal CEO’lar ve güvenlik ve risk yöneticileri gibi sektör liderleri dahil olmak üzere tüm paydaşlar ve uygulayıcılar, bu konuda daha fazla çekiş gücü için harekete geçmeli ve işbirliği içinde ilerleme kaydetmek için birlikte çalışmalıdır.