Влияние Брексита на директоров по информационной безопасности

Сегодня мы видим некоторые признаки оптимизма со стороны ЕС и Великобритании относительно возможности заключения соглашения о выходе после вчерашних частных переговоров между Великобританией и Ирландией. С тех пор, как я в последний раз писал об этом в блоге, мы стали свидетелями смены правительства Великобритании, совершенно новой позиции Великобритании на переговорах, Соревнование за лидерство в Консервативной партии и ЕС, наблюдающий в стороне и недоумевающий, что происходит в Великобритании политически.

Мы не можем предсказать, действительно ли произойдет Брекзит 31 октября и будет ли заключена сделка или нет. Однако теперь мы знаем, что, скорее всего, уйдем с соглашением о выходе, которое повлияет на безопасность на институциональном уровне, что мало чем отличается от соглашения о выводе войск. общее описание того, что Тереза ​​Мэй и ЕС заключили в ноябре 2018 года, или что мы оставим все нынешнее сотрудничество в области безопасности и обороны. распоряжения. Руководителям службы безопасности, которые задаются вопросом, как все это может на них повлиять, мы советуем директорам по информационной безопасности сосредоточиться на трех основных проблемных областях:

• Международные потоки данных между Великобританией и ЕС. Мы знаем, что, так или иначе, продолжающаяся правовая основа для потока данных зависит от режима регулирования защиты данных Великобритании, который считается эквивалентным режиму ЕС. Различные стороны начнут работать над этим ключевым решением об адекватности, как известно, после выхода Великобритании из ЕС (соглашение или отсутствие соглашения). Хотя существует много общего с режимами в их нынешнем виде, нет никакой возможности гарантировать, что решение будет принято и в какие сроки. В случае «брексита без соглашения» юридическим дефолтом будет то, что режимы не будут эквивалентны, и ЕС будет относиться к Великобритании как к третья страна, что аннулирует правовую основу, используемую в настоящее время для содействия юридической передаче данных между Великобританией и другим членом ЕС. состояния. Мы рекомендуем, чтобы CISO и DPO уже сейчас начали искать альтернативные способы обеспечения правовой основы для своих международных потоков данных между Великобританией и ЕС. Это может быть, например, посредством типовых положений или программы обязательных корпоративных правил, которые уже широко используются для переводов за пределы ЕС.

• Кадровое обеспечение. К счастью, обе стороны согласились, что независимо от того, будет ли сделка согласована или нет, они будут усердно работать, чтобы обеспечить некоторую уверенность гражданам ЕС и Великобритании, работающим за пределами своих стран. Для директоров по информационной безопасности это означает, что вашим сотрудникам потребуется уверенность и поддержка, если им понадобится помощь с процедурами подачи заявления или, в некоторых случаях, с расходами на подачу заявления. Область, которая будет самой проблемной, связана с набором персонала - задача, которая и так достаточно сложна из-за нехватки навыков в области безопасности. Брексит потребует от вас более тщательного обдумывания того, где вы разместите свой персонал и службы безопасности. Обычно ожидаются ограничения на количество граждан ЕС, въезжающих в Великобританию и наоборот, поэтому внимательно изучите свою операционную модель. чтобы смягчить влияние, которое ограничения на свободу передвижения могут оказать на структуру и численность вашей организации безопасности. развертывание. Кроме того, рассмотрите последствия деловых поездок для любых поставщиков услуг и персонала, поддерживающего вас за пределами вашего основного штаб-квартиры.

• Нормативно-правовые отношения и обязательства по сообщению о нарушениях кибербезопасности. Какими бы ни были ваши взгляды на этот вопрос, ЕС был одним из самых активных законодателей правил кибербезопасности и конфиденциальности, создав множество нормативных отношений по всему ЕС. Многие из них, особенно NISD, PSD2 и GDPR, содержат требования сообщать регулирующим органам об определенных типах событий и инцидентов безопасности. Отношения уже установлены, и многим организациям, на которые распространяется действие этого регламента, необходимо будет пересмотреть и обновить линии нормативной отчетности, поскольку текущие нормативные отношения могут измениться. Тщательно просматривайте и обновляйте планы реагирования на инциденты и вспомогательные операционные процессы, чтобы обеспечить учет этих изменений в нормативных отношениях.

Несмотря на то, что существует множество других последствий Брексита, которые следует учитывать директорам по информационной безопасности, вот некоторые из наиболее распространенных, которые возникают в наших разговорах с клиентами. Мы продолжим наблюдать за развитием политики и надеемся получить ясность относительно того, что произойдет дальше.

Этот пост был написан старшим аналитиком Полом Маккеем и первоначально появился здесь.