Согласно опросу, проведенному ISACA, ассоциацией специалистов по ИТ-аудиту, управлению, рискам и информационной безопасности, индийским предприятиям сложно нанять нужных им специалистов по конфиденциальности не только на юридические и комплаенс-должности, но и на технические должности.
ISACA обнаружила, что 31% опрошенных индийских предприятий недоукомплектованы юридическими специалистами и специалистами по соблюдению конфиденциальности, а 43% – техническими специалистами по конфиденциальности.
Индийские предприятия находятся в лучшем положении по сравнению со средним мировым показателем, где 46 % предприятий сталкиваются с нехваткой персонала, занимающегося вопросами конфиденциальности, на должностях, связанных с юридическими вопросами и соблюдением нормативных требований, и 55 % — на должностях, связанных с технической конфиденциальностью.
Есть веские причины, почему у Индии дела обстоят лучше, чем у других стран, но нет места для самоуспокоенности, по словам Р. В. Рагху, директора Versatilist Consulting India и члена рабочей группы ISACA по новым тенденциям.
«Со стороны предприятия всегда было известно о необходимости защиты данных просто потому, что у индийских компаний была глобальная клиентура, которая всегда устанавливала требования к конфиденциальности и безопасности данных на договорной основе», — сказал он.
Однако, предупредил Рагху, всегда существовала дихотомия, когда речь шла об обработке данных в Индии. С личной стороны это другое дело, потому что цифровизация стала недавним явлением в стране. Осознание важности данных и последствий их неправильного использования распространяется медленно. «В определенной степени это также отражается на нормативном фронте, где Закон об информационных технологиях 2000 г. и поправки к нему в 2008 г. служили отправной точкой до недавнего времени, когда в Индии был принят законопроект о защите персональных данных».
Разрыв в найме
В то время как ISACA не определила специфичную для Индии причину нехватки персонала, 41% респондентов во всем мире сослались на отсутствие компетентных ресурсов, доступных организации для формирования программы конфиденциальности.
Решения о найме зависят от опыта кандидатов, но предприятия сталкиваются с пробелами в навыках, когда речь заходит о конфиденциальности: 64% респондентов со всего мира сообщили, что их больше всего беспокоит опыт работы кандидатов с различными технологиями и приложениями, а 50% сослались на непонимание кандидатов законы и правила, которым подчиняется предприятие, а также их опыт работы с системами и средствами контроля. Следующим наиболее часто выявляемым пробелом в навыках является отсутствие у кандидатов технических знаний (46%).
Переход к удаленной работе сделал конфиденциальность главным приоритетом для предприятий, но, учитывая нехватку специалистов по конфиденциальности и жесткую конкуренцию за таланты, что приводит к высокой текучести кадров, предприятия не могут легко заполнить вакансии.
21% респондентов в Индии занимают от трех до шести месяцев, чтобы заполнить вакансию в области соблюдения правовых норм и конфиденциальности, в то время как 25% указали аналогичные сроки для заполнения открытых вакансий в области технической конфиденциальности.
Каждая вторая организация в Индии обучает сотрудников, не занимающихся вопросами конфиденциальности, которые заинтересованы в переходе на должности, связанные с конфиденциальностью, чтобы восполнить пробел.
«Это дает двойную выгоду, поскольку не только расширяет круг людей в организации, занимающихся вопросами конфиденциальности, что, возможно, повышает заинтересованность бизнеса, но также помогает преодолеть разрыв в навыках», — сказал Рагху. «CISO должны выйти за рамки обычного списка кандидатов и обратиться к более широкой аудитории, которая может быть заинтересована в том, чтобы перейти на роль конфиденциальности».
Респонденты из Индии отмечают, что их организации используют дополнительные средства контроля конфиденциальности сверх того, что требуется по закону для устранения угроз, при этом 75 % используют предотвращение потери данных, 71 % используют управление идентификацией и доступом, 71 % используют шифрование и 58 % внедряют данные. безопасность.
Рагху сказал, что Индия может многому научиться у стран с более развитой практикой кибербезопасности.
Эти страны впереди, потому что у них есть нормативно-правовая база, которая способствует кибербезопасности, пояснил Рагху. «Этот нисходящий подход гарантирует, что все заинтересованные стороны в экосистеме соблюдают общий базовый уровень, который каскадно переходит в конкретные действия».
По его словам, еще одним фактором, способствующим этому, является образование, поскольку оно является ключом к навыкам кибербезопасности, и крайне важно начать с раннего возраста.
В-третьих, мировоззрение стран, более продвинутых в области кибербезопасности, менее сосредоточено на инженерном подходе и более ориентировано на бизнес. По его словам, это может привести к повышению квалификации и возможности иметь разнообразный пул квалифицированных и опытных кандидатов.
«Наконец, по всем направлениям необходимо сделать акцент на сочетании теоретических и практических навыков в качестве основы для обеспечения кибербезопасности», — сказал Рагху.
Кто ответственный?
Для 25% респондентов во всем мире ответственность за конфиденциальность несет директор по информационной безопасности или директор по безопасности, в то время как на 21% предприятий ответственность возлагается на директора по вопросам конфиденциальности, а на 14% — на главного исполнительного директора.
Рагху рекомендовал директорам по информационной безопасности принять структурированную структуру, основанную на международных стандартах ISO или NIST Privateness Framework. Около 90% респондентов в Индии указали, что они используют структуру или закон/положение для управления конфиденциальностью.
«Внедрение структурированной структуры означает, что предприятиям не придется изобретать велосипед. Дополнительным преимуществом также является то, что кривая обучения может быть менее крутой, учитывая нехватку навыков», — сказал он.
«Также важно, как руководители по информационной безопасности и, в свою очередь, предприятие рассматривают требования конфиденциальности. Принятие проактивной этической позиции в отношении конфиденциальности является лучшим подходом, чем подход, основанный исключительно на соблюдении. Применение этической линзы упрощает соединение точек и встраивание политик и методов, связанных с конфиденциальностью, в операционные процессы, которые затем могут быть воплощены в технологии. Простая перспектива соблюдения может привести к подходу с галочками, который может быть контрпродуктивным», — заключил он.
© 2022 IDG Communications, Inc.
https://cyberxhack.org/