Навчання з комплаєнсу, яке проходить аудити та залучає персонал

Регуляторний комплаєнс не є необов’язковим. Якщо ви працюєте з медичними даними, обробляєте платежі або обслуговуєте європейських клієнтів, конкретні рамкові документи визначають, як ви захищаєте інформацію. Навчання з кібербезпеки знаходиться в центрі практично кожної з цих вимог.

І все ж більшість організацій ставляться до навчання з комплаєнсу як до вправи для галочки. Щорічні відео. Загальні тести. Сертифікати, які не доводять нічого, крім присутності. Я спостерігав цю закономірність роками, і вона не виконує ні дух, ні букву того, що регулятори насправді очікують.

Організації, які роблять це правильно, роблять щось інше. Вони будують навчання, яке задовольняє аудиторів і створює співробітників, які розуміють, чому існують регуляції, як їхні щоденні дії захищають або розкривають конфіденційні дані, і що робити, коли щось виглядає підозріло.

Кожен великий рамковий документ комплаєнсу прийшов до того самого висновку: технічні контролі самі по собі не можуть захистити конфіденційні дані. Співробітники отримують доступ, обробляють та передають захищену інформацію щодня. Їхня поведінка є змінною, що визначає, чи ваші контролі безпеки дійсно працюють.

Ось чому регуляції вимагають навчання. Не як пропозицію. Не як найкращу практику. Як вимогу з конкретними очікуваннями щодо контенту, частоти та документації.

Попри різне походження та регуляторні сфери, рамкові документи комплаєнсу сходяться на кількох обов’язкових вимогах до навчання:

• Більшість рамок вимагають щонайменше щорічного навчання, причому багато з них рекомендують або вимагають частіших контактних точок
• Навчання повинно адресувати конкретні ризики та обов’язки, релевантні ролі кожного співробітника
• Організації повинні довести, що навчання відбулося, зазвичай через записи про завершення та результати оцінювання
• Контент навчання повинен адресувати поточні загрози, а не теоретичні концепції минулих років
• Дедалі більше рамкові документи очікують, що організації продемонструють, що навчання дійсно змінює поведінку, а не просто що воно відбулося

Останній пункт найцікавіший. Аудитори раніше задовольнялися показниками завершення. Тепер вони хочуть бачити вимірювану ефективність. Планка піднялася.

Закон про переносність та підзвітність медичного страхування вимагає від покритих суб’єктів та ділових партнерів навчати членів робочої сили політикам та процедурам захисту медичної інформації.

Навчання за HIPAA повинно охоплювати:

• Вимоги Правила конфіденційності для захищеної медичної інформації (PHI)
• Запобіжні заходи Правила безпеки для електронної PHI
• Процедури повідомлення про витік
• Стандарт мінімальної необхідності
• Права пацієнтів щодо їхньої інформації
• Наслідки недотримання

Частота навчання за HIPAA:

• Початкове навчання для нових членів робочої сили
• Періодичне оновлювальне навчання (рекомендовано щорічне)
• Оновлення при зміні політик чи процедур
• Додаткове навчання після інцидентів безпеки

Для документації вам потрібні записи про завершення навчання, навчальні матеріали та версії контенту, а також свідчення підтвердження політики.

Ось прогалина, яку я бачу найчастіше: організації зосереджуються виключно на клінічному персоналі, нехтуючи адміністративними співробітниками, IT-персоналом та підрядниками, які також мають доступ до PHI. HIPAA стосується всіх членів робочої сили. Якщо ваш рецепціоніст може витягнути запис пацієнта, йому потрібне навчання.

Стандарт безпеки даних індустрії платіжних карток вимагає навчання з кібербезпеки для всього персоналу з доступом до середовищ даних власників карток.

Навчання за PCI DSS повинно охоплювати:

• Процедури обробки даних власників карток
• Політики прийнятного використання
• Вимоги до паролів та автентифікації
• Фізичну безпеку платіжних систем
• Процедури реагування на інциденти
• Обізнаність щодо соціальної інженерії та фішингу

Частота навчання проста: при наймі, щонайменше щорічно після цього та при значних змінах.

Конкретні вимоги PCI DSS, варті уваги:

• Вимога 12.6 зобов’язує мати формальну програму обізнаності з безпеки
• Вимога 12.6.1 вимагає навчання при наймі та щорічно
• Вимога 12.6.2 вимагає підтвердження політик безпеки
• Вимога 12.6.3 вимагає, щоб персонал був обізнаний щодо загроз, включаючи фішинг

PCI DSS 4.0 змінив правила гри. Оновлений стандарт акцентує цілеспрямований аналіз ризиків та вимагає від організацій продемонструвати, що навчання адресує поточні, реальні загрози. Не фішингові листи 2019 року. Компрометацію бізнес-пошти та вішинг-атаки, які зараз вражають вашу галузь.

Комплаєнс SOC 2 вимагає від сервісних організацій підтримувати програми обізнаності з безпеки як частину їхнього контрольного середовища.

Навчання підтримує кілька критеріїв довірчих послуг. Критерій безпеки вимагає обізнаності щодо політик безпеки. Критерій конфіденційності вимагає розуміння класифікації даних. Критерій конфіденційності вимагає навчання з обробки особистої інформації.

Що насправді перевіряють аудитори SOC 2:

• Документацію навчальної програми
• Записи про завершення та відстеження
• Релевантність контенту організаційним ризикам
• Свідчення постійної діяльності з обізнаності
• Метрики, що демонструють ефективність програми

Загальний регламент захисту даних вимагає від організацій забезпечити, щоб персонал, що обробляє особисті дані, розумів свої зобов’язання.

Навчання за GDPR повинно охоплювати:

• Принципи захисту даних (законність, справедливість, прозорість)
• Права суб’єктів даних (доступ, видалення, переносимість)
• Законні підстави для обробки
• Розпізнавання та звітування про витоки даних
• Обмеження на транскордонну передачу
• Мінімізацію даних та обмеження цілі

Ось що робить GDPR відмінним від більшості рамкових документів. Він стосується будь-якого співробітника, який обробляє особисті дані. На практиці це означає майже всіх у вашій організації.

Сертифікація ISO 27001 вимагає від організацій забезпечити обізнаність персоналу щодо політик інформаційної безпеки та їхнього внеску в систему управління.

Конкретні вимоги:

• Пункт 7.2 вимагає компетентності для ролей, що впливають на інформаційну безпеку
• Пункт 7.3 вимагає обізнаності щодо політики безпеки та цілей
• Додаток A.7.2.2 конкретно адресує обізнаність з інформаційної безпеки

Хоча добровільний для більшості організацій, NIST CSF надає широко прийняте керівництво, яке багато організацій використовують як базовий рівень безпеки.

NIST також публікує SP 800-50 (Побудова програми обізнаності з IT-безпеки) та SP 800-53 (Контролі безпеки). Якщо вам потрібен початковий рамковий документ і ви не знаєте, з чого почати, NIST 800-50 є найкращим першим документом для читання.

Більшість організацій мають справу з кількома вимогами комплаєнсу одночасно. Побудова окремих навчальних програм для кожного рамкового документа це рецепт вигоряння, непослідовності та витраченого бюджету. Розумніший підхід це уніфікована програма, яка адресує спільні елементи, нашаровуючи контент, специфічний для рамкового документа, де це має значення.

Наш посібник з маппінгу комплаєнсу надає детальне порівняння рамкових документів, що допомагає визначити вимоги, які перекриваються. Створіть матрицю вимог до навчання для всіх застосовних рамкових документів:

Подивіться на цю таблицю. Фішинг, паролі, обробка даних, звітування про інциденти. Кожен рамковий документ їх вимагає. Це ваша базова навчальна програма.

Ваші базові навчальні модулі повинні задовольняти вимоги, що перекриваються між рамковими документами:

• Розпізнавання фішингу та соціальної інженерії
• Найкращі практики паролів та автентифікації
• Процедури безпечної обробки даних
• Розпізнавання та звітування інцидентів безпеки
• Фізична та екологічна безпека
• Безпека мобільних пристроїв та віддаленої роботи

На базову програму додайте контент, специфічний для комплаєнсу, для відповідних аудиторій:

• HIPAA: ідентифікація PHI, стандарт мінімальної необхідності, права пацієнтів
• PCI DSS: сфера даних власників карток, процедури безпеки платежів
• GDPR: права суб’єктів даних, законні підстави обробки, повідомлення про витік
• SOC 2: критерії довірчих послуг, релевантні для сфери вашого звіту
• ISO 27001: огляд ISMS, підтвердження політик, безперервне покращення

Виконуйте найсуворішу вимогу частоти серед усіх ваших рамкових документів:

• Початкове навчання протягом першого тижня роботи
• Щорічне оновлення з комплексним оглядом всього застосовного контенту
• Щоквартальні контактні точки: короткі оновлення щодо поточних загроз та нагадування про політики
• Навчання, зумовлене подіями, після інцидентів, змін політик або нових загроз

Щоквартальні контактні точки це місце, де більшість програм руйнуються. Щорічне навчання відбувається, бо наближається аудит. Навчання при прийомі відбувається, бо HR має чеклист. Але ті щоквартальні оновлення? Вони вимагають дисципліни та планування. Рекомендую короткі, інтерактивні вправи, а не чергову слайдову презентацію, яку ніхто не запам’ятає.

Це не необов’язково. Аудитори не можуть зарахувати навчання, яке не можуть перевірити. Підтримуйте записи про дати завершення навчання та бали, контент навчання та історію версій, підтвердження політик, результати оцінювання, коригувальні дії для невдалих оцінювань та огляди та оновлення навчальної програми. Якщо ви використовуєте SCORM-сумісне навчання, більша частина цього відстеження відбувається автоматично.

Загальне навчання з комплаєнсу не змінює поведінку. Налаштуйте контент, щоб відображати вашу конкретну галузь та бізнес-контекст, реальні системи та процедури, які використовують ваші співробітники, реальні приклади загроз для вашої організації та наслідки, специфічні для вашого регуляторного середовища.

Сертифікати завершення нічого не доводять про навчання. Включіть оцінювання знань з порогами проходження, практичні вправи, що вимагають застосування концепцій, фішингові симуляції, що вимірюють реальну поведінку, та періодичні перевірки дотримання практик безпеки.

Вийдіть за межі показників завершення:

Вимоги навчання з комплаєнсу існують тому, що регулятори визнають те, що професіонали безпеки вже знають: технологія сама по собі не може захистити конфіденційні дані. Люди залишаються як найбільшою вразливістю, так і найсильнішим потенційним захистом.

Виконання вимог комплаєнсу це базовий рівень. Перевищення їх через захоплююче, релевантне та безперервне навчання створює справжнє покращення безпеки. Організація, яка розглядає навчання з комплаєнсу як можливість, а не зобов’язання, отримує як регуляторну впевненість, так і вимірювано кращу позицію безпеки.

Ваші рамкові документи комплаєнсу вимагають навчання. Побудуйте навчання, яке дійсно запам’ятовується, з нашими каталогами вправ з кібербезпеки та конфіденційності та комплаєнсу.

Почніть будувати готову до комплаєнсу обізнаність з безпеки через практичне навчання. Спробуйте наші безкоштовні вправи Реагування на витік даних GDPR та Редагування документів з PII, або перегляньте наш повний каталог навчання, щоб побачити, як активне навчання створює залученість та утримання, які аудитори комплаєнсу хочуть бачити.