合規審計培訓對企業(yè)來(lái)說(shuō)非常重要，從開(kāi)發(fā)人員到管理人員，企業(yè)加強對團隊的合規知識和培訓，可以避免因不合規而導致的直接處罰以及信息丟失的風(fēng)險。在遠程辦公環(huán)境中，企業(yè)也不能忽視合規審計培訓。

　　受疫情影響，許多企業(yè)幾乎已經(jīng)開(kāi)啟完全遠程辦公的模式。他們不得不為過(guò)去線(xiàn)下當面進(jìn)行的活動(dòng)進(jìn)行重新規劃。例如，在不確定時(shí)期，許多合規審計已經(jīng)通過(guò)在線(xiàn)方式進(jìn)行。這種轉變要求企業(yè)調整他們所做的準備和計劃。

　　但是即使在形勢不明朗的時(shí)期，保持敏銳以及對安全知識、計劃和響應的追蹤仍是企業(yè)的責任。企業(yè)的安全團隊必須以新的方式為這些審計做準備。現在許多都進(jìn)行遠程管理，團隊必須意識到潛在的缺陷和風(fēng)險。

　　某些審計活動(dòng)可能會(huì )疏忽了一些漏洞風(fēng)險，在報告中予以通過(guò)；但是對于企業(yè)的安全性而言，風(fēng)險不會(huì )因為報告通過(guò)而消失。因為您的審計師疏忽了，不代表黑客會(huì )看漏，他們可能在一天之后就嘗試利用這個(gè)漏洞進(jìn)行非法活動(dòng)。有鑒于此，從開(kāi)發(fā)人員到管理人員，對您的團隊進(jìn)行必要的安全知識和培訓更加重要，這不僅需要通過(guò)合規審計，而且需要超過(guò)這個(gè)標準。在安全法規和合規方面力爭達到更高標準是保護您的企業(yè)、員工和客戶(hù)的最佳方法之一。

　　根據對行業(yè)專(zhuān)家的一項調查，針對行業(yè)標準和法規如支付卡行業(yè)數據安全標準（PCI DSS）的安全審計的合規率一直在下降。例如，PCI DSS的合規性自2012年首次下降以來(lái)，從2018年的42%下降至2019年的26%。合規下降的原因有很多，但是10%的受訪(fǎng)者表示，導致合規失敗的一個(gè)關(guān)鍵因素是合規教育的減少或取消。

　　同時(shí)，其他的法規，比如面向醫療服務(wù)行業(yè)的HIPAA法案，它本身并沒(méi)有一個(gè)通過(guò)或未通過(guò)的規定。但是為了合規，當雇傭員工或者政策/程序發(fā)送重大變化時(shí)，他們需要接受有關(guān)安全主題的培訓和最佳實(shí)踐，包括社會(huì )工程、密碼和加密。

　　然而，在核對清單上打勾的一次性訓練并不能滿(mǎn)足HIPAA法案對合規性的要求。盡管HIPAA法案沒(méi)有規定應該多久進(jìn)行一次合規培訓以保持合規，負責監督HIPAA法案的組織在最近的一則簡(jiǎn)訊中表示，每月的安全更新和半年一次的培訓對于許多醫療機構滿(mǎn)足要求都非常有效。

　　企業(yè)不遵守這些法規的話(huà)可能遭受重罰，其中包括罰款和吊銷(xiāo)許可證和證明。

　　除了因不合規而受到的直接處罰之外，由于不及時(shí)了解安全審計培訓而帶來(lái)的更大的商業(yè)影響還包括數據泄露的增加。因此，培訓不僅使企業(yè)能適應最新的法規，而且還減少信息丟失的可能性。

　　研究已經(jīng)量化了這些影響。例如，在過(guò)去的14年，完全符合PCI DSS要求的企業(yè)沒(méi)有發(fā)生過(guò)任何一例數據泄露事件。

　　由于大部分員工無(wú)法進(jìn)行課堂式培訓或者在現場(chǎng)進(jìn)行安全信息的鞏固培訓，企業(yè)應該轉向并加強使用在線(xiàn)課程來(lái)幫助員工提升安全知識。eLearning課程和在線(xiàn)講師指導培訓（vILT）都是幫助企業(yè)滿(mǎn)足合規培訓需求的一些不錯的選擇。

　　eLearning提供比以往更重要的優(yōu)勢，包括按需訪(fǎng)問(wèn)、特定角色培訓（比如開(kāi)發(fā)人員、架構師、DevOps經(jīng)理、安全從業(yè)人員、執行人員），以及適用于特定合規標準的培訓（如PCI DSS）。而且eLearning培訓可以幫助覆蓋特定垂直領(lǐng)域的法規，比如金融服務(wù)和汽車(chē)。另外，vILT與面對面授課很相似，可以在線(xiàn)與小組成員互動(dòng)。由于不同的企業(yè)需要不同類(lèi)型的課程，eLearning和vILT提供靈活性以滿(mǎn)足這些需求。

　　eLearning課程可以覆蓋適用于企業(yè)的法規或標準的培訓需求內容深度，有與PCI DSS、《通用數據保護條例》（GDPR）、《加利福尼亞州消費者隱私法案》（CCPA）等等相關(guān)的特定合規課程。如果企業(yè)需要更具深度或廣度的合規或安全培訓，可以選擇完整的eLearning課程目錄或者單點(diǎn)學(xué)習課程。完整的安全目錄涵蓋從基礎和防御策略到特定的編程架構/語(yǔ)言和云平臺。

　　按需eLearning合規課程不僅非常適合開(kāi)發(fā)人員，eLearning還適用于其他角色。比如GDPR合規培訓適用于開(kāi)發(fā)和項目經(jīng)理以及CISOs和其他高層管理人員。

　　eLearning集成到IDE

　　伴隨著(zhù) “向左移”，開(kāi)發(fā)團隊在軟件開(kāi)發(fā)生命周期早期承擔更多的安全責任，他們不得不在代碼提交之前加入合規性培訓。為了滿(mǎn)足這一需求，按需eLearning直接通過(guò)新思科技的Code Sight插件集成到開(kāi)發(fā)人員的集成開(kāi)發(fā)環(huán)境（IDE）中。eLearning還與Coverity Connect和Seeker集成。這些集成使得eLearning課程的演示內容能結合團隊的需求。因此，集成直接支持開(kāi)發(fā)團隊“向左移”，并且確保他們可以獲取滿(mǎn)足其安全和合規需求的相關(guān)培訓。

　　隨著(zhù)許多企業(yè)開(kāi)展遠程辦公，合規審計培訓也發(fā)生了變化。遠程辦公場(chǎng)所改變了工作流程并且帶來(lái)了新的挑戰，但是安全合規的需求并不會(huì )因此而減少。

　　eLearning可以幫助企業(yè)在不確定的時(shí)期更加專(zhuān)注于合規和法規培訓的需求。通過(guò)在線(xiàn)培訓來(lái)強調諸如PCI DSS、GDPR和新的CCPA等特定的法規和標準，如金融服務(wù)和汽車(chē)的垂直行業(yè)，或者如軟件安全原則的通用培訓基礎知識。