通过理解当前的挑战是如何以及为什么会存在的很明显,而且更引人注目。网络安全实践者——引申开来他们所服务的企业面临着许多挑战领域,包括:风险管理;尽职调查和疏忽;操作效率和效率;优先级;安全操作;技能和培训;预算责任和问责制。要彻底理解它们,每个领域都需要中提供了更详细的讨论下面的部分。
风险管理,企业也在与风险管理作斗争没有做,做得很差,或者认为他们在做当他们不是。即使在企业中也是如此有监管授权来处理风险管理。要了解实际操作,请查看过往记录在美国的医疗机构中有监管授权来解决美国的健康问题吗《保险可携性和责任法案》(HIPAA)。这些实体,在过去的20年里,有一个按监管要求进行风险管理。
具体来说,HIPAA要求企业进行评估risk1并控制这种风险。2017年9月美国卫生与公众服务部(HHS)负责实施HIPAA的监管实体——公民权利办公室(OCR)公布了最初的版本从2017年的审计到目前为止的fndings的结果覆盖entities.3这是问题最多的领域之一是风险管理。在OCR审查的63个涵盖实体中,17%的人(27%)得到了的评价,指示,“实体没有为OCR提供。
认真试图遵守本协议的证据规则和使个人权利与PHI有关" 4另有63%的人得到了倒数第二低的评价,表明“……这个实体所做的努力微不足道。遵守……”意思是,风险管理价值,为90%的被覆盖实体,要么是“微不足道的”或者“没有”。虽然这只是来自it行业的一个数据点应该用来说明风险管理这一点吗在企业中没有得到广泛有效的执行。
这有几个原因。首先,风险宽容往往是很难获得的,甚至在获得之后也是如此他们获得后,可以成为一个移动的目标。例如,一个风险可能有一个优先级当它是理论和是企业积极面对的另一个优先事项。一个比喻是食品保险:有人可能会察觉那冒一下险,它就不会吃了,就放弃了从未吃过东西的保险更容易被接受,与飓风之前的感觉相比计划命中。
没有执行风险管理的另一个原因在企业中无处不在或有效的是往往是企业风险之间的脱节面临的问题及对策与做法是由法规遵从性驱动的。情况可以这会迫使企业中的那些人决定是否实现一个控制,因为它解决了一个监管问题或客户需求,或不同的控制(对他们来说)整体风险降低更多。一个人可以认为总体而言,降低风险是更好地利用企业资源,但满足规定的要求通常是没有选择的。
遵从性驱动的工作,同时确保满足最小基线,有时不这样做核算企业可能面临的特殊风险遇到。这些努力在许多情况下是不可定制的,这意味着每个企业下伞的那种监管必须达到同样的水平遵从性。虽然,对于一些企业来说,这一基线可能足以降低风险对于许多企业来说,这是不可能的。同样的,遵从性驱动的工作可以被划分在范围内。例如,支付卡行业数据安全标准(PCI DSS)只适用于区域储存、处理或传送信用卡资料;HIPAA仅适用于受保护的健康信息(φ)是影响。