安全性与合规性:您是否安全且合规?了解差异
现在是时候对安全性和合规性进行不同的思考了。合规性不是安全。实际上,您可以合规但不安全。
合规性并不总能实现安全性。
在过去的二十年中,信息技术得到了突飞猛进的发展,到2019年,该行业的产值将达到5万亿美元。这一巨大的增长带来了复杂的新合规性和安全性挑战。行业内部人士知道,了解和控制公司如何共享,存储和接收信息变得越来越重要。现在已经建立了IT合规性框架,以确保安全地进行数据监管,但是它们之间可能存在很大差异。
破坏它的基础,使其变得安全和合规,就意味着要保护信息资产,防止损坏,保护它并检测盗窃。这些是网络安全团队实施框架时的主要口头和任务,这些框架主要是实现合规性的技术。
如果公司遵循合规性框架并具有适当的质量安全性,则公司可以相应地保护其数据。为了获得适当的保护,公司必须了解合规性与安全性不是一回事。但是,安全性是合规性的重要组成部分。
合规性侧重于公司处理和存储的数据类型以及适用于其保护的法规要求(框架)。公司可能必须与多个框架保持一致,并且很难理解这些框架。他们的主要目标是管理风险,而不仅仅是信息资产。他们监督政策,法规和法律,并涵盖自然,财务,法律或其他类型的风险。合规性意味着确保组织遵守与安全性相关的最低要求。
安全是一套明确的技术系统,工具和过程,用于保护和保护企业的信息和技术资产。尽管合规性不是关键的业务要求,但它并不是安全团队的主要关注或特权。安全可以包括物理控件,以及谁可以访问网络。专业厂商提供的标准化方法和工具使安全性比合规性更简单。另一方面,合规性可以是多方面的,并且基于公司的数据类型和安全流程。
合规性研究公司的安全流程。它会及时详细说明其安全性,并将其与一组特定的法规要求进行比较。这些要求以立法,行业法规或根据最佳实践创建的标准的形式出现。
具体而言,合规性框架包括:
HIPAA(健康保险流通与责任法案)适用于健康保险行业的公司。它规定了公司应如何处理和保护患者的个人医疗信息。遵守HIPAA要求管理此类信息的公司必须安全地进行管理。该法案分为五个部分,称为标题。标题2是适用于信息隐私和安全性的部分。
最初,HIPAA旨在标准化健康保险行业如何处理和共享数据。现在,它还增加了一些条款来管理此信息的电子违规行为。
《萨班斯-奥克斯利法案》(又称SOX)适用于上市公司的公司管理和财务数据维护。它定义了必须保留哪些数据以及需要保留多长时间。它还概述了销毁,篡改和更改数据的控件。
SOX试图提高企业责任感并增加责任感。该法案规定,高层管理人员必须证明其数据的准确性。
所有上市公司必须遵守SOX及其财务报告要求。正确地分类数据,安全地存储数据以及快速找到它们是其框架的关键要素。
符合PCI DSS是由一组公司制定的“支付卡行业数据安全标准”,这些公司希望标准化其保护消费者财务信息的方式。
该标准的要求包括:
安全的网络
受保护的用户数据
强大的访问控制和管理
网络测试
定期审查信息安全政策
标准内有四个遵从级别。公司每年完成的交易数量决定了他们必须遵守的级别。
SOC报告是服务组织控制报告,用于管理公司的财务或个人信息。有三种不同的SOC报告。SOC 1和SOC 2是不同的类型,其中SOC 1适用于财务信息控制,而SOC 2合规性和认证涵盖个人用户信息。SOC 3报告可公开访问,因此它们不包含有关公司的机密信息。这些报告适用于特定时期,新的报告考虑了以前的发现。
美国注册会计师协会(AICPA)将其定义为SSAE 18的一部分。
ISO 27000系列标准概述了保护信息的最低要求。作为国际标准化组织标准体系的一部分,它确定了行业开发信息安全管理系统(ISMS)的方式。
符合性以证书的形式出现。ISO 27000系列包含十几种不同的标准。
网络使我们能够在远距离快速共享信息。这也使他们有风险。受到破坏的网络可能会对公司造成无数损失。
一个个人信息的数据泄露会导致对公司的形象受损。数据丢失或破坏还可能使公司承担刑事责任,因为它们不再遵守法规。保护网络是安全专业人员面临的最艰巨的任务之一。
网络安全工具可防止未经授权访问系统。防火墙和内容过滤软件仅允许有效用户使用,因此可以保护数据。
连接到公司网络的用户个人设备可以向系统中注入未知代码。同样,单击错误的电子邮件附件可以迅速传播恶意软件。
防病毒和终结点扫描工具可阻止攻击者访问设备。网络钓鱼攻击和病毒具有已知的特征,使其可检测和预防。
按设备,用户和设施划分对网络的访问限制了恶意软件的传播。
粗心的用户对任何公司都是巨大的风险。他们不知道自己已经受到攻击,也不知道他们正在启用在线攻击。网络钓鱼电子邮件现在占成功网络攻击的91%。
培训用户注意事项可以帮助限制无害而危险的动作。如果员工知道日常使用技术所涉及的风险,则培训可以提高安全性。
安全是所有公司都需要的东西。对于IT基础架构,大多数已经具有某种形式的保护。这甚至意味着在工作站上安装防病毒软件或使用基本Windows防火墙的最低要求。
将安全工具转变为合规的IT系统需要付出更多的努力。进行合规性审核时,公司需要证明其符合监管标准。
以系统化和受控的方式创建一个既是安全性又是合规性的联盟的系统是降低风险的第一步。安全团队将实施系统控制措施以保护信息资产。然后,合规团队可以验证其是否按计划运行。这种类型的联盟将确保安全控制不会萎缩,并且所有必需的文档和报告都可用于审核。
符合特定框架的合规性可以建立对公司的信任。尽管法规将成为合规性的推动力,但随之带来的额外好处还是很有帮助的。
对安全程序和系统的正式评估可以突出需要澄清和理解的关注领域。尽管管理层应该信任管理员做出影响公司基础架构的关键决策,但是了解有关安全性的所有相关信息取决于管理层。在查看这些决策时,使用合规性框架来发现安全性缺陷至关重要。
合规之路始于:
列出当前使用的安全工具。
对处理的信息类型进行风险评估。
研究与框架相关的需求。
分析当前控件在需求方面的差距。
规划解决主要缺陷的方法。
测试不同解决方案的效率。
将这些步骤应用于系统后,进行定期评估是成功的关键。合规性和安全性需要齐头并进;它不一定是安全性还是合规性。
他们齐心协力。怎么样?使用合规性框架,评估安全系统,纠正缺陷,然后开始定期进行评估。
安全和合规性是每个部门的必要组成部分。了解每种安全与数据安全性之间的关系至关重要。
IT行业严重依赖公众的信任,向其提供信息服务的公司必须拥有良好的声誉。安全故障会破坏业务。
安全性和合规性是必要和关键系统的不同组成部分。了解它们与数据保护的关系至关重要。彼此依赖,以保持数据安全的最佳状态。合规性本身并不等于安全性。两者之间必须存在共生关系。当公司通过内部安全措施满足合规性框架时,两者的实施将确保数据安全,并保持公司的完整性和声誉。
