Imperva CTO Kunal Anand在我們的2020 Trends blog 中預測,全自動流程將使合規性更快、更便宜。隨著企業將安全性納入軟件開發生命週期(SDLC)中,持續集成-連續佈署(CICD)流程將降低風險,並使安全性更具成本效益和可擴展性。
越來越多的企業正在轉向具有較短開發生命週期的軟件應用程序。將合規性納入 DevOps 流程的一部分可能會提高市場的敏捷性並改善風險管理。
根據 Dzone.com 的說法,“當合規性成為您公司業務文化的一部分時,您的公司將可以更好地利用市場機會。”
現代世界的合規性
數字化轉型和大量使用聯網設備和應用程序意味著數據正在快速增長。它不僅在數量上增長,而且在價值上也在增長,因為組織利用他們收集的個人數據來釋放新的商業機會。
這種豐富的數據給大型企業帶來了新的挑戰,因為監管機構正面臨著越來越大的壓力,要求它們保護客戶數據的隱私,以應對越來越多的網絡攻擊。
新的數據保護法,如《一般資料保護規範》(GDPR),給當今數據的存儲和共享方式帶來了重大變化,美國將延續這一趨勢,出台《加州消費者隱私法》(CCPA),並於2020年1月1日生效。
數據保護法賦予了消費者控制其個人數據如何處理的權利。它要求組織承擔一系列義務,如確保消費者的個人數據得到保護和安全存儲,允許消費者享有被遺忘的權利(GDPR),或給予消費者決定是否可以出售其個人數據的權利(CCPA)。
貫穿不同數據法規的一個共同主題是運營穩定性和風險緩解,相關的技術流程和程序往往被定位為關鍵的合規要求。以GDPR的 “設計隱私 “原則為例,該原則規定:”公司必須制定技術和組織措施(TOM)來保護數據安全”。同樣,紐約金融服務部的NYDFS條例也概述了金融組織應制定的若干政策和程序,以保護客戶數據和業務安全。
不遵守規定的代價
在 Ponemon Institute 的一份報告中發現,一個組織的平均合規成本為550萬美元。同時,不合規的平均成本為1450萬美元。
隨著數據的不斷增長,監管越來越嚴格,這些成本可能真的會阻礙一個組織進行創新和競爭的步伐。儘管有這些發現,但許多公司仍然將合規性作為一個獨立於業務運營的實體來管理。這種情況在大型金融機構中尤為突出,在這些機構中,合規管理不是為了識別和降低風險,而是被視為 “法律職能的執行部門”。
正如合規讓消費者有權控制他們自己的個人數據發生了什麼,消費者也完全相信他們的數據是安全的,而且託管數據的環境是完全合規的。
因此,對於組織來說,將合規性和風險緩解建立在 DevOps 流程中不是更有意義嗎?