隨著國(guó)內(nèi)外與信息安全有關(guān)的法律法規(guī)的頒布以及軟件安全行業(yè)標(biāo)準(zhǔn)的出臺(tái)，企業(yè)在構(gòu)建安全、高質(zhì)量的軟件的同時(shí)需要遵守相關(guān)法律法規(guī)和標(biāo)準(zhǔn)，否則將面臨巨額罰款。因此，企業(yè)必須意識(shí)到不合規(guī)所帶來(lái)的風(fēng)險(xiǎn)并加強(qiáng)對(duì)團(tuán)隊(duì)的合規(guī)審計(jì)培訓(xùn)。

受疫情影響，許多企業(yè)幾乎已經(jīng)開(kāi)啟完全遠(yuǎn)程辦公的模式。他們不得不為過(guò)去線下當(dāng)面進(jìn)行的活動(dòng)進(jìn)行重新規(guī)劃。例如，在不確定時(shí)期，許多合規(guī)審計(jì)已經(jīng)通過(guò)在線方式進(jìn)行。這種轉(zhuǎn)變要求企業(yè)調(diào)整他們所做的準(zhǔn)備和計(jì)劃。

但是即使在形勢(shì)不明朗的時(shí)期，保持敏銳以及對(duì)安全知識(shí)、計(jì)劃和響應(yīng)的追蹤仍是企業(yè)的責(zé)任。企業(yè)的安全團(tuán)隊(duì)必須以新的方式為這些審計(jì)做準(zhǔn)備?，F(xiàn)在許多都進(jìn)行遠(yuǎn)程管理，團(tuán)隊(duì)必須意識(shí)到潛在的缺陷和風(fēng)險(xiǎn)。

某些審計(jì)活動(dòng)可能會(huì)疏忽了一些漏洞風(fēng)險(xiǎn)，在報(bào)告中予以通過(guò);但是對(duì)于企業(yè)的安全性而言，風(fēng)險(xiǎn)不會(huì)因?yàn)閳?bào)告通過(guò)而消失。因?yàn)槟膶徲?jì)師疏忽了，不代表黑客會(huì)看漏，他們可能在一天之后就嘗試?yán)眠@個(gè)漏洞進(jìn)行非法活動(dòng)。有鑒于此，從開(kāi)發(fā)人員到管理人員，對(duì)您的團(tuán)隊(duì)進(jìn)行必要的安全知識(shí)和培訓(xùn)更加重要，這不僅需要通過(guò)合規(guī)審計(jì)，而且需要超過(guò)這個(gè)標(biāo)準(zhǔn)。在安全法規(guī)和合規(guī)方面力爭(zhēng)達(dá)到更高標(biāo)準(zhǔn)是保護(hù)您的企業(yè)、員工和客戶的最佳方法之一。

培訓(xùn)如何提高合規(guī)率?

根據(jù)對(duì)行業(yè)專家的一項(xiàng)調(diào)查，針對(duì)行業(yè)標(biāo)準(zhǔn)和法規(guī)如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的安全審計(jì)的合規(guī)率一直在下降。例如，PCI DSS的合規(guī)性自2012年首次下降以來(lái)，從2018年的42%下降至2019年的26%。合規(guī)下降的原因有很多，但是10%的受訪者表示，導(dǎo)致合規(guī)失敗的一個(gè)關(guān)鍵因素是合規(guī)教育的減少或取消。

同時(shí)，其他的法規(guī)，比如面向醫(yī)療服務(wù)行業(yè)的HIPAA法案，它本身并沒(méi)有一個(gè)通過(guò)或未通過(guò)的規(guī)定。但是為了合規(guī)，當(dāng)雇傭員工或者政策/程序發(fā)送重大變化時(shí)，他們需要接受有關(guān)安全主題的培訓(xùn)和最佳實(shí)踐，包括社會(huì)工程、密碼和加密。

然而，在核對(duì)清單上打勾的一次性訓(xùn)練并不能滿足HIPAA法案對(duì)合規(guī)性的要求。盡管HIPAA法案沒(méi)有規(guī)定應(yīng)該多久進(jìn)行一次合規(guī)培訓(xùn)以保持合規(guī)，負(fù)責(zé)監(jiān)督HIPAA法案的組織在最近的一則簡(jiǎn)訊中表示，每月的安全更新和半年一次的培訓(xùn)對(duì)于許多醫(yī)療機(jī)構(gòu)滿足要求都非常有效。

數(shù)據(jù)泄露成本增加

企業(yè)不遵守這些法規(guī)的話可能遭受重罰，其中包括罰款和吊銷許可證和證明。

除了因不合規(guī)而受到的直接處罰之外，由于不及時(shí)了解安全審計(jì)培訓(xùn)而帶來(lái)的更大的商業(yè)影響還包括數(shù)據(jù)泄露的增加。因此，培訓(xùn)不僅使企業(yè)能適應(yīng)最新的法規(guī)，而且還減少信息丟失的可能性。

研究已經(jīng)量化了這些影響。例如，在過(guò)去的14年，完全符合PCI DSS要求的企業(yè)沒(méi)有發(fā)生過(guò)任何一例數(shù)據(jù)泄露事件。

eLearning滿足企業(yè)的特定需求

由于大部分員工無(wú)法進(jìn)行課堂式培訓(xùn)或者在現(xiàn)場(chǎng)進(jìn)行安全信息的鞏固培訓(xùn)，企業(yè)應(yīng)該轉(zhuǎn)向并加強(qiáng)使用在線課程來(lái)幫助員工提升安全知識(shí)。eLearning課程和在線講師指導(dǎo)培訓(xùn)(vILT)都是幫助企業(yè)滿足合規(guī)培訓(xùn)需求的一些不錯(cuò)的選擇。

eLearning提供比以往更重要的優(yōu)勢(shì)，包括按需訪問(wèn)、特定角色培訓(xùn)(比如開(kāi)發(fā)人員、架構(gòu)師、DevOps經(jīng)理、安全從業(yè)人員、執(zhí)行人員)，以及適用于特定合規(guī)標(biāo)準(zhǔn)的培訓(xùn)(如PCI DSS)。而且eLearning培訓(xùn)可以幫助覆蓋特定垂直領(lǐng)域的法規(guī)，比如金融服務(wù)和汽車。另外，vILT與面對(duì)面授課很相似，可以在線與小組成員互動(dòng)。由于不同的企業(yè)需要不同類型的課程，eLearning和vILT提供靈活性以滿足這些需求。

eLearning課程可以覆蓋適用于企業(yè)的法規(guī)或標(biāo)準(zhǔn)的培訓(xùn)需求內(nèi)容深度，有與PCI DSS、《通用數(shù)據(jù)保護(hù)條例》(GDPR)、《加利福尼亞州消費(fèi)者隱私法案》(CCPA)等等相關(guān)的特定合規(guī)課程。如果企業(yè)需要更具深度或廣度的合規(guī)或安全培訓(xùn)，可以選擇完整的eLearning課程目錄或者單點(diǎn)學(xué)習(xí)課程。完整的安全目錄涵蓋從基礎(chǔ)和防御策略到特定的編程架構(gòu)/語(yǔ)言和云平臺(tái)。

按需eLearning合規(guī)課程不僅非常適合開(kāi)發(fā)人員，eLearning還適用于其他角色。比如GDPR合規(guī)培訓(xùn)適用于開(kāi)發(fā)和項(xiàng)目經(jīng)理以及CISOs和其他高層管理人員。

eLearning集成到IDE

伴隨著 “向左移”，開(kāi)發(fā)團(tuán)隊(duì)在軟件開(kāi)發(fā)生命周期早期承擔(dān)更多的安全責(zé)任，他們不得不在代碼提交之前加入合規(guī)性培訓(xùn)。為了滿足這一需求，按需eLearning直接通過(guò)新思科技的Code Sight插件集成到開(kāi)發(fā)人員的集成開(kāi)發(fā)環(huán)境(IDE)中。eLearning還與Coverity Connect和Seeker集成。這些集成使得eLearning課程的演示內(nèi)容能結(jié)合團(tuán)隊(duì)的需求。因此，集成直接支持開(kāi)發(fā)團(tuán)隊(duì)“向左移”，并且確保他們可以獲取滿足其安全和合規(guī)需求的相關(guān)培訓(xùn)。

不要錯(cuò)過(guò)安全培訓(xùn)，以備不時(shí)之需

隨著許多企業(yè)開(kāi)展遠(yuǎn)程辦公，合規(guī)審計(jì)培訓(xùn)也發(fā)生了變化。遠(yuǎn)程辦公場(chǎng)所改變了工作流程并且?guī)?lái)了新的挑戰(zhàn)，但是安全合規(guī)的需求并不會(huì)因此而減少。

eLearning可以幫助企業(yè)在不確定的時(shí)期更加專注于合規(guī)和法規(guī)培訓(xùn)的需求。通過(guò)在線培訓(xùn)來(lái)強(qiáng)調(diào)諸如PCI DSS、GDPR和新的CCPA等特定的法規(guī)和標(biāo)準(zhǔn)，如金融服務(wù)和汽車的垂直行業(yè)，或者如軟件安全原則的通用培訓(xùn)基礎(chǔ)知識(shí)。