合規并不一定等同于安全��。這已經在涉及公司的數據泄露事件中被無數次證明,這些公司在安全受到威脅時實際上遵守了一個或多個數據安全標準、法律或框架。這種認識促使組織追求安全合規性��;一種組合方法被認為可以有效地減少網絡事件的風險和影響或完全避免它�。
您可能聽說過2013 年發生的大規模 Target 數據泄露事件。但是您是否知道這家零售巨頭實際上在攻擊發生前幾周就已通過支付卡行業數據安全標準 ( PCI DSS ) 認證��?Heartland Payment Systems 是一次重大數據泄露的另一個受害者,在受到攻擊之前也連續六年符合 PCI DSS。像這樣的網絡事件比您想象的要普遍得多��,它們像拇指一樣突出,因為像 PCI DSS 這樣的標準應該可以防止它們發生�。
為什么安全合規很重要����?
出于多種原因�,包括信任�、聲譽����、安全和數據完整性�,合規性很重要�,但它也會影響公司的財務狀況�。根據 Penamon Institute 的說法,不合規是增加數據泄露成本的第一大因素�。
安全性和合規性之間有什么區別��?
雖然安全性和合規性顯然是兩個不同的原則�,但它們各有優勢(我們將在稍后詳細討論)。這些好處有助于降低業務風險�。出于這個原因����,組織需要專注于實現安全性和合規性����。這是企業可以大大降低風險水平的唯一方法����。我們從一開始就聲明安全與合規性不同����。但它們究竟有何不同��?我們來談談吧�。
安全
通過安全和合規性保護(在這種情況下,真正意味著信息安全)是物理和技術系統和工具以及為減輕組織數字資產風險而制定的政策和程序的總和��。
遵守
合規性是相似的��,因為它也由物理和技術系統和工具組成,除了與安全不同的是��,這些系統通常旨在保護一組特定的數字資產�。例如��,在 HIPAA 中�,受保護的資產是患者信息;在 PCI DSS 中����,它是卡數據��;在 GDPR 中�,它是歐盟公民的個人信息。另一方面��,安全性在保護內容方面具有更全面的范圍。
比較 IT 安全性和 IT 合規性
開發有效的技術控制以保護公司資產的技術被稱為安全性��。實施該技術以滿足第三方的監管或合同需求被稱為合規性。
它們之間的區別包括:
- 安全是為了自身的利益而不是為了滿足任何第三方�,而合規是為了滿足外部要求并促進業務運營����。
- 合規性是由業務需求(很少是技術需求)驅動的,而安全性是由保護對公司資產的任何威脅的需求驅動的。
- 安全永無止境����,必須持續維護和更新�。另一方面�,當第 3 方滿意時�,合規性“結束”��。
網絡安全舉措和數據隱私立法
在過去的幾十年里�,企業一直受到不斷增長的安全/隱私標準��、法律和框架的影響��,例如 PCI DSS、健康保險流通與責任法案 (HIPAA)、Gramm-Leach-Bliley 法案 ( GLBA) 和通用數據保護條例 (GDPR)�。為什么首先要制定這些法律法規�?
隨著組織越來越依賴 IT 系統��、數據和其他數字資產,它們吸引了犯罪分子,他們可以通過竊取、破壞或持有這些資產來賺取利潤豐厚的業務��。組織采用安全策略����、程序和控制來應對這些威脅��。
不幸的是��,一些組織不愿意在安全上花費資源�。其他人根本不知道從哪里開始。為了解決這些問題,立法者和行業監管機構制定了標準、法律和法規�,作為指導方針和(在處罰和罰款的情況下)激勵企業實施強有力的安全措施��。
安全性和合規性的好處
通過安全合規��,企業可以升級網絡安全�、降低風險、維護聲譽、避免罰款并改進數據管理�。這是如何做��。
升級網絡安全并降低風險
努力遵守安全合規性標準意味著組織盡最大努力確保其安全框架堅不可摧����,從而減少安全漏洞����。投資于最新安全技術的企業可以保護組織的數字信息資產及其可能持有的任何客戶信息����。這顯著降低了應對不斷變化的威脅的風險����,并加快了合規流程����。
維護商業聲譽
不安全的網絡很容易成為數據泄露的受害者��,其后果是可怕的。幾家知名企業——eBay、Under Armour、Zynga�、Target 等——都學得很辛苦。一個主要的影響是它給公司的聲譽帶來了重大損害。破壞用戶信息的網絡攻擊會破壞所有消費者和業務合作伙伴的信任����。這對公司來說可能是災難性的����,會導致客戶、商機以及最終銷售額和利潤的流失��。
避免罰款�、罰款和其他費用
被發現不遵守規定的公司可能會被處以巨額罰款��。處罰因法規而異�,但任何罰款都可能對企業造成財務影響�。例如�,違反 HIPAA 的行為每起事件處以 100 至 50,000 美元的罰款����,每年最高罰款 150 萬美元��。
違反 GDPR 將被處以公司全球營業額的 4% 或 2000 萬歐元(以較高者為準)的罰款,而違反 PCI DSS 將被處以每月 5,000 至 100,000 美元的罰款�。這些數字甚至不包括企業在處理數據泄露時產生的成本——例如�,訴訟費用��、公共關系活動和受影響消費者的信用監控。
提高數據管理能力
保持安全性和合規性標準達到標準����,首先是組織評估它在服務器或云中保存的客戶信息的類型和數量��、它正在做什么來保護這些信息�,以及適用的法規?�?紤]到所有這些,組織應該評估訪問和修改數據的當前策略����。
例如����,根據 GDPR 負責的企業必須(根據要求)向客戶提供對從他們那里收集的數據的訪問權限以及有關數據存儲方式和存儲位置的信息。這還要求以結構化和一致的方式組織數據,以便只有授權人員才能在需要時訪問信息��。
一些數據保護法律法規概述
有無數標準、法律和框架旨在保護數據和其他數字資產。一些更常見的包括以下內容:
- 健康保險流通與責任法案 (HIPAA) — 一項美國聯邦法律��,旨在保護醫療機構中的敏感患者數據����。
- 支付卡行業數據安全標準 (PCI DSS) — 一項行業領先的標準,旨在保護存儲����、傳輸和處理信用卡的企業中的信用卡數據��。
- 通用數據保護條例 (GDPR) — 歐盟制定的一項條例�,旨在保護公民的個人信息免遭濫用。
網絡安全:行業的角色和工具
網絡安全分析師通常將大部分時間花在監視和檢查網絡�、威脅情報源和日志中是否存在任何潛在威脅�。他們常用的工具是安全信息和事件管理 (SIEM) 系統和入侵檢測系統/入侵防御系統 (IDS/IPS)。一旦發現可疑情況�,他們就會進行進一步分析��,并在必要時使用其他工具來遏制威脅�、消除危險或恢復數據。
雖然內部合規官也關注安全�,但他們的日常工作包括審計�、面談�、報告和溝通。他們通常不使用技術工具�,而是處理大量文書工作��。他們的主要職責是驗證和記錄組織的安全基礎設施以及政策和程序是否符合相關標準和法律�。
失敗的后果
在大多數情況下,您努力實現安全性�,因為您知道如果您在這方面失敗�,您的組織可能會遭受數據泄露、惡意軟件爆發、網絡中斷等��。后果通常是技術性的。合規舉措也旨在減輕這些風險。但通常����,實現合規性的最終原因是避免數百萬美元的罰款����,并且在某些情況下(例如當您違反HIPAA或薩班斯 - 奧克斯利法案時)��,避免多年監禁����。
成功的決心
采取任何數據保護法律或法規未強制實施的安全舉措的組織只對自己負責�。他們成功的決定因素是在沒有遭受網絡事件的情況下開展業務����。另一方面��,受數據保護/隱私法律或法規管轄的組織必須對第三方負責��。例如,對于 HIPAA����,負責執行的政府機構是衛生與公眾服務部民權辦公室�。在 PCI DSS 中����,合格的安全評估員負責監督合規性��。貴公司不確定其合規努力是否成功��。
聲譽助推器
遵守廣泛接受的標準��、法律或法規可以作為批準印章����,您可以向潛在客戶做廣告并獲得好評�。許多客戶�,尤其是 B2B 領域的客戶����,已經熟悉 HIPAA��、PCI DSS��、SOX、GDPR 等��,并且傾向于將合規性解釋為組織致力于安全的證明。
安全本身不會引起相同的反應����。因為安全本質上主要是技術性的��,當你用它來吸引客戶時�,只有技術人員才能很容易地體會到它的價值。CEO 和 CFO 可以輕松理解 HIPAA 或 PCI DSS 合規性��,但并非所有人都能理解擁有多因素身份驗證 (MFA)、4096 位 Rivest–Shamir–Adleman (RSA) 加密或安全斷言標記語言的重要性(SAML)����。
網站資訊
解決方案
服務支持
