Tất cả những điều mà các doanh nghiệp khởi nghiệp cần biết về việc xây dựng chương trình tuân thủ an ninh

Với tăng cường tội phạm mạng trên khắp Vương quốc Anh và tăng cường mục tiêu của SMEs, an ninh quan trọng hơn bao giờ hết.

Ngay cả khi bạn tin rằng doanh nghiệp của bạn an toàn khỏi rò rỉ dữ liệu và tấn công mạng, nếu bạn không thể chứng minh điều này cho khách hàng tiềm năng, đội ngũ bán hàng của bạn có thể bỏ lỡ các giao dịch thúc đẩy sự phát triển. Điều này đặc biệt đúng đối với khách hàng doanh nghiệp mà thường yêu cầu đối tác tiềm năng chứng minh tuân thủ một số biện pháp chính như ISO 27001 và SOC 2.

Tất cả điều này có nghĩa là tuân thủ an ninh không còn chỉ là một điều tốt cho các doanh nghiệp khởi nghiệp ở Vương quốc Anh.

Các chương trình tuân thủ an ninh giúp tổ chức của bạn xác định, triển khai và duy trì các điều khiển an ninh mạng phù hợp để bảo vệ dữ liệu nhạy cảm, tuân thủ luật lệ và các nghĩa vụ hợp đồng, và tuân thủ các tiêu chuẩn, yêu cầu quy định và khung nhất định cần thiết để bảo vệ khách hàng và giúp doanh nghiệp phát triển.

Bước để bắt đầu

Bước 1: Xác định mục tiêu và nhu cầu của tổ chức

Bạn đang bắt đầu chương trình để đạt được giao dịch? Bạn muốn thể hiện tính minh bạch hoặc tuân thủ một cách tích cực không? Quan trọng hơn, bạn đang cố gắng đạt được điều gì và tại sao? Sau khi trả lời những câu hỏi này, chúng tôi đề xuất xác định trạng thái kết thúc mong muốn của bạn và kiểm tra và điều chỉnh điều này với các bên liên quan chính và nhu cầu của họ. Bạn càng chi tiết về mục tiêu và trạng thái kết thúc mong muốn của mình, việc làm ngược lại để đạt được mục tiêu và thu hút người khác càng dễ dàng.

Trước khi quan tâm đến tiêu chuẩn cần triển khai hoặc công cụ nào để mua, việc đảm bảo những mục tiêu này đang đóng góp nhiều hơn cho tổ chức là quan trọng.

Tại Vanta, chúng tôi tận dụng những nỗ lực tuân thủ của mình như làm nhân tử đa lực bất cứ khi nào có thể. Ví dụ, một quy trình biết tuân thủ trong một đơn vị kinh doanh có thể được áp dụng để làm việc trong một đơn vị khác, điều này có thể tối ưu hóa công việc và sự cân nhắc giữa các dự án chức năng khác nhau.

Bước 2: Xác định lộ trình và thời gian

Cân nhắc chia nhỏ lộ trình thành các mốc cụ thể mà bạn có thể theo dõi và làm việc hướng tới. Hơn nữa, suy nghĩ về liệu có bất kỳ phụ thuộc nào bạn cần tính đến và chúng liên quan như thế nào.

Bước này nên bao gồm việc xác định câu trả lời cho những câu hỏi như:‍

• Chúng ta có những nhu cầu hoặc thiếu sót về công nghệ đã biết nào không?
• Chúng ta có kỳ vọng chúng ta sẽ cần đầu tư thêm vào một số công cụ hoặc hỗ trợ không?
• Chúng ta có hiểu biết về yêu cầu kỹ thuật của nơi chúng ta muốn đến không?
• Chúng ta xây dựng, mua, hay hợp tác?

‍Ví dụ, nếu bạn muốn xây dựng và đang lên kế hoạch tuyển dụng cho vai trò, hãy xem xét liệu bạn cần một người quản lý có thể đặt hướng dẫn hay một người sẵn lòng cất cánh như một người làm. Điều này quan trọng đặc biệt đối với một vai trò cơ bản như là người quản lý tuân thủ đầu tiên của bạn.

Nếu bạn chọn mua hoặc hợp tác, hãy xem xét liệu việc sử dụng các dịch vụ như một CISO ảo (vCISO), Nhà cung cấp Dịch vụ Quản lý (MSP), hoặc các nguồn lực phân khúc khác có thể giải quyết nhu cầu và mục tiêu của bạn một cách hiệu quả chi phí hơn. Điều này quan trọng đặc biệt nếu bạn có một bộ công nghệ rộng lớn hoặc các hoạt động phức tạp, vì một công ty MSP hoặc vCISO thường sẽ có quyền truy cập vào nhiều nguồn lực chuyên gia hơn mà không thể mong đợi từ một người.

Nếu bạn đang xây dựng một chương trình từ đầu hoặc lần đầu tiên, có thể sử dụng một bên thứ ba đáng tin cậy để bổ sung công việc của bạn sẽ hiệu quả chi phí hơn là tuyển dụng một hoặc nhiều FTE để xây dựng chương trình trong nhà. Bất kể lựa chọn nào bạn chọn, bạn có thể đang tìm kiếm một cá nhân — hoặc thậm chí là một nhóm — có kiến thức về quyền riêng tư hoặc tuân thủ cũng như kiến thức kỹ thuật về kỹ thuật công nghệ.

Phần xác định mục tiêu của bạn cũng bao gồm việc đo lường tiến triển và đảm bảo rằng những gì bạn đang đo lường liên quan đến những kết quả dự kiến của bạn. Khi phát triển chương trình của bạn, hãy chắc chắn xác định các chỉ số chính giúp tổ chức của bạn hiểu và chia sẻ thành công và kết quả của chương trình tuân thủ bảo mật của bạn.

Hãy nhớ bạn sẽ cần ưu tiên những gì bạn sẽ xây dựng và khi nào. Điều này đặc biệt quan trọng khi bạn có thể sẽ có một danh sách dài các mục hành động, và nhiều công cụ và nhu cầu hơn so với ngân sách của bạn. Phương pháp chúng tôi đã áp dụng tại Vanta là điều chỉnh chương trình tuân thủ bảo mật của chúng tôi với các mục tiêu kinh doanh của chúng tôi — điều này cũng đảm bảo rằng chúng tôi đang đáp ứng nhu cầu của khách hàng và kinh doanh tổng thể của chúng tôi.

Như một gợi ý, đội của chúng tôi thích tham khảo Năm Hạn chế về Năng lực Tổ chức của Verizon được mô tả trong Báo cáo Bảo mật Thanh toán 2019 của họ để giúp cấu trúc hóa cách tiếp cận của chúng tôi đối với chương trình tuân thủ của chúng tôi. Khung này làm nổi bật tầm quan trọng của sức chứa, khả năng, năng lực, cam kết, và giao tiếp như một phần quan trọng để đảm bảo sức khỏe và hiệu quả của một chương trình tuân thủ bảo vệ dữ liệu mạnh mẽ — chúng tôi đề xuất đọc nhanh nếu bạn quan tâm!

Bước 3: Ưu tiên và bắt đầu xây dựng

Bây giờ bạn đã hiểu về nhu cầu và khung thời gian của mình, đến lúc bắt đầu ưu tiên công việc của bạn dựa trên nhu cầu và ràng buộc của doanh nghiệp. Bạn có thể bắt đầu bằng cách thực hiện những bước sau:

• Kiểm tra lại sự điều chỉnh với các mục tiêu kinh doanh — liệu kế hoạch của bạn có phải là điều mà doanh nghiệp cần hoặc nó có sự mở rộng phạm vi hoặc lệch kế hoạch có thể giới thiệu ma sát không cần thiết?
• Thiết lập hạn chót chính thức dựa trên sự hiểu biết mới về mục tiêu dự án, và chính thức bắt đầu triển khai chương trình của bạn.

Hãy nhớ, an ninh và tuân thủ là những hố đen vô hạn mà không có ngữ cảnh. Hãy đảm bảo rằng những gì bạn đang lên kế hoạch làm cho tuân thủ có rào cản để đảm bảo bạn đang chi tiêu thời gian và công sức của mình vào những nơi đưa ra kết quả kinh doanh có thể đo được.

Cuối cùng, việc hiểu, định rõ và truyền đạt tại sao bạn đang làm việc về những mục tiêu này — có thể là để đáp ứng nhu cầu của khách hàng, đạt được mục tiêu doanh thu hoặc giảm thiểu rủi ro nội bộ — cũng có thể giúp kêu gọi sự hỗ trợ của những người khác.

Xem xét thêm: các bên liên quan và nguồn lực

Đừng quên rằng bảo trợ từ lãnh đạo cấp cao, cam kết và ngân sách là một số yếu tố quan trọng nhất của một chương trình tuân thủ bảo mật mạnh mẽ. Chúng tôi đề xuất nên tìm kiếm chúng sớm hơn là muộn và tiếp tục xây dựng chiếc cầu này bằng cách nhấn mạnh những rủi ro, ảnh hưởng (bao gồm cả tích cực!) và hành trình tuân thủ bảo mật tổng thể của công ty.

‍Sau khi bạn xác định mục tiêu của mình và xác định nhu cầu về công cụ và công nghệ, việc biết được công cụ nào có sẵn và cái nào đáp ứng nhu cầu của bạn nhất có thể là một điều quan trọng. Tham khảo xu hướng và phản hồi trong ngành có thể là nơi tốt để bắt đầu, cũng như mạng lưới với những người khác trong ngành đã hoặc đang đối mặt với những thách thức tương tự.‍

Mẹo và gợi ý cho việc xây dựng chương trình tuân thủ bảo mật của bạn

Mặc dù mỗi nhóm và công ty đều tiếp cận xây dựng chương trình tuân thủ bảo mật một cách khác nhau một chút, dưới đây là một số gợi ý chúng tôi muốn đề xuất:

• Xây dựng sự lặp lại: Dù có thể hấp dẫn khi nhắm đến những chiến thắng nhanh, tập trung vào quy trình có thể lặp lại và kết quả có thể lặp lại trong chương trình của bạn. Hãy nhớ rằng những bài tập chữa cháy thường là dấu hiệu của những quy trình bị hỏng.
• Bắt đầu từ một nền tảng mạnh mẽ: Tập trung vào những điều cơ bản và thực hiện cơ bản của bạn tốt — bất kể chương trình của bạn có đến đâu, những điều cơ bản luôn quan trọng.
• Tránh hội chứng vật sáng: Công cụ và công nghệ có thể hữu ích, nhưng chỉ sẽ làm trầm trọng thêm quy trình bị hỏng.

Sẵn sàng bắt đầu xây dựng một chương trình tuân thủ bảo mật mạnh mẽ?

Kiểm tra hướng dẫn của Vanta cho các startup tại Anh để tìm hiểu thêm về sự khác biệt và tương đồng giữa ISO 27001 và SOC 2 và xem cái nào phù hợp với tổ chức của bạn. Bạn cũng sẽ biết cách tận dụng tự động hóa tuân thủ để tối ưu hóa việc chứng nhận và hỗ trợ doanh nghiệp của bạn trong quá trình mở rộng quốc tế.