合规是指企业的经营活动与法律、规则和准则保持一致。遵循安全规范绝非易事。而且,如果企业在制定自己的合规项目时,没有吸取其它企业的错误教训,会使合规更困难。
虽然许多企业已经为合规付出了很多时间和努力,但企业是否确信自己能够顺利通过相关的安全审计呢?
其实,许多企业的合规努力遭到挫败的原因在于总是犯同样的错误。下面就是这些企业常犯的六大错误:
贪多嚼不烂
不知不觉间有太多的合规要求进入了企业,但许多企业在做好准备之前还有很多工作要做。
在企业准备遵循某些规范要求之前,需要确保自己为此过程做好了准备,并且确信此过程确实有效且符合企业的目标。
企业对合规问题的最大失误在于贪多但嚼不烂。常听说类似这样的豪言壮语,我们需要ISO认证。但说者却没有真正理解该规范意味着什么。因此,最后只能是为了获得证书而做事情,却无法真正地遵循自己保证过的策略;或者合规工作的负担太重,但为了获得一纸证书而对审计人员采取掩饰。
管理员不能像审计人员那样思考
有太多的中高级IT管理员总能把合规工作搞得一团糟,因为他们并没有真正理解自己将要遵循的规范或标准。许多企业不能满足审计人员的要求,因为它们并不拥有能够用审计者的眼光来看待其目标的管理员。
从西方企业的成功案例来看,在合规和安全两方面最成功的企业都有从内部提拔审计人员的策略。有些公司在雇佣审计人员两三年之后,就会将其提拔到管理层。如果企业打算留住人才,不让审计人员带着管理经验和审计技能离职,就应当大胆地让他们进入企业的管理层。
资源与需求不匹配
缺乏资金支持似乎也成为无法遵循规则的理由。事实上,合规需要人力和技术才能运转。而这两方面都需要资源。但合规并不仅仅是钱的问题,它还涉及到将适当的人员与工作努力结合起来。
有些公司将安全责任分配给那些最不可能很好地完成的员工。例如,让没有经过安全培训或没有安全经验的初级雇员来担当此任。这又怎能实现合规呢?
合规努力不能适应未来的发展
有些企业并没有用灵活的语言来反映和说明业务及技术的变化,这会使企业自身的合规努力遭遇失败。
合规失败的企业,其安全策略要求了一些不会随着时间的推移而变化,而是在所有环境中都真正可用的方法和技术。但是,企业是不断变化的。在策略编制之后,企业的功能可能会由于合并、规模变小、破产等而变化。由于经济或操作上的原因,设置了硬性要求的策略未必总能为人们所遵循。
总体而言,企业不但要使内部的策略文档适应未来的需要,还要使当前的安全实践与有些过时的规范相适应。
例如,有些合规要求是十年前定下的,无法反映当前的工作环境。企业需要与审计人员密切协作,确认所使用的当代技术满足合规需求环境。
完全把合规推给IT
在涉及实现合规目标时,事情常常在IT那儿“纠结”,因为业务经理和法律部门并没有深入到整个过程中。
每个相关人员对“合规”都有不同的观点。召集所有人在一起,对合规以及对企业的业务过程进行更好的洞察,这会减少安全风险,而且改善传统的业务过程对于确保合规成功也是一个关键因素。
策略并没有与评估或自动化绑定到一起
如果企业编制了无法正确评估的合规策略,就很难有办法去衡量或证明是否遵循了这些策略。换言之,如果企业不能随着时间的推移去观察、评估合规策略,它对企业的影响就极小,因而不应当成为企业监管程序的一部分。
必须将自动化尽可能多地应用到安全进程中,因为这是在威胁环境中全面应对快速变化的唯一方法。因而,笔者建议企业每季度都检查那些在出现新技术后无法实现自动化的进程,并采用新技术来改善此进程。
以上列举了导致合规失败的六大错误,其实,在法规的遵从上,有一个重要的因素,即人的本性。许多企业合规失败主要是由于没有向用户们解释清楚。所以,最终用户必须得到适当的培训,他们需要了解不遵守策略的后果,这样才能确保合规的成功。