如何下放责任以降低合规风险你可能会觉得你不可能把你的许多责任传递给别人。但如果不这样做,就会限制执行高级功能的能力。
通过Under30CEO•
《创业家》作者的观点纯属个人观点。狗万官方
像首席信息安全官这样的合规领导者面临着将公司面临的风险最小化的日益增长的责任。然而,让他们和他们的团队单独负责降低风险是不合理的。合规需要成为一种责任,至少部分地属于组织的所有成员。
这并不意味着推卸责任。如果你是风险和合规主管,你将负责任何出现的问题。尽管如此,你也不能指望自己做所有的事情。这是健康灾难的配方。毕竟,90%的首席信息安全官表示,他们经常应对至少中等程度的压力Nominet报道。
为了降低职业倦怠的几率,开始把工作委派给你所在行业内外的人。对前景感到不安?你可以采取几个步骤来负责和安全地委派工作。这样,就没有人能够破坏您公司的合规工作,并且您要完成的任务也会更少。
1.首先制定你的授权策略
与其零零碎碎地委派职责,不如构建一个委派图表。包括你打算授权什么,授权给谁,以及如何监督。
例如,安全培训是必要的,但如果您的组织处理敏感信息,则可能很耗时。将此职责委托给指定的安全员工可以帮助减轻负担.确保员工得到充分的培训,并定期监控他们的表现,以保持符合安全协议。通过委派此职责,您可以在保持总体控制的同时,在特定参数内分配所有权和权限。
一旦你为特定的任务创建了图表,你就可以更轻松地分配责任了。只是要确保图表对每个人都是透明的,这样人们就知道所有权在哪里。
2.重视安全任务的可操作性(或为您完成安全任务的工具)
转移任务可能会让人感到不舒服,尤其是那些与遵从性和安全性相关的任务。通过实施安全实践在标准的操作流程中,例如新员工的入职和离职以及技术堆栈应用程序,您可以防范那些可能会被遗漏的任务,并使您的员工基础能够为更广泛的风险管理策略做出贡献。
正如CPO杂志所指出的,88%的安全问题是与人为错误相关.为重要任务添加二次“以防万一”检查有助于快速识别现有错误。风险管理工具应该包含在您的策略中,以扫描并提醒您异常情况和风险区域。发现异常可以快速发出警报,并为您提供快速响应的机会。
当然,如果您也被审计,那么验证您所有的委托工作流程可能是有利的。正如Kevin Brown所指出的,信息安全官风险管理平台奥斯坦迪奥:
“安全不仅仅是遵守框架。组织应该首先把精力集中在数据安全和风险管理计划上,通过正确的纪律,他们可以制定必要的政策和程序来通过复杂的安全审计。”
您可以考虑实现一个工具,该工具允许您跨多个安全框架,并将操作活动对安全性的影响作为这些保护过程之一进行跟踪。
3.为所有委派的任务生成跟踪方法
如果您还没有使用项目管理软件工具,请考虑为所有委托的安全相关任务添加一个。你想要有一个对每个任务的涉众都可见的跟踪记录。这减少了与潜在错误或遗漏步骤相关的风险和威胁。
理想情况下,项目管理模块或工具应该使获取整个安全环境中发生的事情的快照变得容易。在任何时候,您都应该能够登录并查看安全性、遵从性和风险管理任务是否是最新的。
如果出现问题,你会很高兴自己有办法发现漏洞。如果你能在让人头疼的地方出现之前找到它们,那就更好了。在一个单一的真实来源中跟踪所有的通信、行动和所有者,使您更有效率。
4.在委托外包给第三方之前进行风险评估
许多第三方实体都吹嘘自己有能力让您的公司遵守安全框架。将风险管理的某些方面外包出去是一种明智的委托方式。这个问题?你不能控制第三方做什么。
进行全面的调查,以确保他们能够履行他们的承诺是你最好的选择。在选择了您认为可以满足您需求的第三方供应商之后,进行第三方风险评估,以确保他们保护您的组织免受潜在的破坏。
因为风险是组织中每个人的工作,所以要确保其他部门也同样谨慎。您需要了解他们评估第三方提供商的方式。您最不希望看到的就是有人通过错误的第三方泄露您公司的数据。
5.在授权时解释监管背后的原因。
当你委派部门以外的工作时,为了涵盖所有的基础,你可以采取教学的方法。与其告诉别人该做什么,不如告诉他们为什么要这么做。如你所知,法规和法律可能非常令人困惑,即使对知识渊博的人来说也是如此。把时间花在“教育者模式”上,可以强调你委派任务的重要性。
信息丰富还有一个额外的目的。其他员工(不仅仅是你的直接下属)越了解合规和风险管理,就越好。如果每个人都意识到安全实践和程序的重要性,那么让每个人都参与其中就容易得多。
记住:尽可能避免风险是每个人都能做到的。是的,你的职责是负责合规和安全。但你不能替所有同事做决定。共享关键信息可以让任何人根据事实做出明智的选择。
你可能会觉得你不可能把你的许多责任传递给别人。但如果不这样做,就会限制执行高级功能的能力。所以,去委派任务吧。只要确保您已经设置了结构化的治理,以确保一切都在安全的轨道上。