合規(guī)并不一定等同于安全。這已經(jīng)在涉及公司的數(shù)據(jù)泄露事件中被無數(shù)次證明,這些公司在安全受到威脅時實際上遵守了一個或多個數(shù)據(jù)安全標(biāo)準(zhǔn)、法律或框架。這種認(rèn)識促使組織追求安全合規(guī)性;一種組合方法被認(rèn)為可以有效地減少網(wǎng)絡(luò)事件的風(fēng)險和影響或完全避免它。
您可能聽說過2013 年發(fā)生的大規(guī)模 Target 數(shù)據(jù)泄露事件。但是您是否知道這家零售巨頭實際上在攻擊發(fā)生前幾周就已通過支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) ( PCI DSS ) 認(rèn)證?Heartland Payment Systems 是一次重大數(shù)據(jù)泄露的另一個受害者,在受到攻擊之前也連續(xù)六年符合 PCI DSS。像這樣的網(wǎng)絡(luò)事件比您想象的要普遍得多,它們像拇指一樣突出,因為像 PCI DSS 這樣的標(biāo)準(zhǔn)應(yīng)該可以防止它們發(fā)生。
為什么安全合規(guī)很重要?
出于多種原因,包括信任、聲譽、安全和數(shù)據(jù)完整性,合規(guī)性很重要,但它也會影響公司的財務(wù)狀況。根據(jù) Penamon Institute 的說法,不合規(guī)是增加數(shù)據(jù)泄露成本的第一大因素。
安全性和合規(guī)性之間有什么區(qū)別?
雖然安全性和合規(guī)性顯然是兩個不同的原則,但它們各有優(yōu)勢(我們將在稍后詳細(xì)討論)。這些好處有助于降低業(yè)務(wù)風(fēng)險。出于這個原因,組織需要專注于實現(xiàn)安全性和合規(guī)性。這是企業(yè)可以大大降低風(fēng)險水平的唯一方法。我們從一開始就聲明安全與合規(guī)性不同。但它們究竟有何不同?我們來談?wù)劙伞?/p>
安全
通過安全和合規(guī)性保護(hù)(在這種情況下,真正意味著信息安全)是物理和技術(shù)系統(tǒng)和工具以及為減輕組織數(shù)字資產(chǎn)風(fēng)險而制定的政策和程序的總和。
遵守
合規(guī)性是相似的,因為它也由物理和技術(shù)系統(tǒng)和工具組成,除了與安全不同的是,這些系統(tǒng)通常旨在保護(hù)一組特定的數(shù)字資產(chǎn)。例如,在 HIPAA 中,受保護(hù)的資產(chǎn)是患者信息;在 PCI DSS 中,它是卡數(shù)據(jù);在 GDPR 中,它是歐盟公民的個人信息。另一方面,安全性在保護(hù)內(nèi)容方面具有更全面的范圍。
比較 IT 安全性和 IT 合規(guī)性
開發(fā)有效的技術(shù)控制以保護(hù)公司資產(chǎn)的技術(shù)被稱為安全性。實施該技術(shù)以滿足第三方的監(jiān)管或合同需求被稱為合規(guī)性。
它們之間的區(qū)別包括:
- 安全是為了自身的利益而不是為了滿足任何第三方,而合規(guī)是為了滿足外部要求并促進(jìn)業(yè)務(wù)運營。
- 合規(guī)性是由業(yè)務(wù)需求(很少是技術(shù)需求)驅(qū)動的,而安全性是由保護(hù)對公司資產(chǎn)的任何威脅的需求驅(qū)動的。
- 安全永無止境,必須持續(xù)維護(hù)和更新。另一方面,當(dāng)?shù)?3 方滿意時,合規(guī)性“結(jié)束”。
網(wǎng)絡(luò)安全舉措和數(shù)據(jù)隱私立法
在過去的幾十年里,企業(yè)一直受到不斷增長的安全/隱私標(biāo)準(zhǔn)、法律和框架的影響,例如 PCI DSS、健康保險流通與責(zé)任法案 (HIPAA)、Gramm-Leach-Bliley 法案 ( GLBA) 和通用數(shù)據(jù)保護(hù)條例 (GDPR)。為什么首先要制定這些法律法規(guī)?
隨著組織越來越依賴 IT 系統(tǒng)、數(shù)據(jù)和其他數(shù)字資產(chǎn),它們吸引了犯罪分子,他們可以通過竊取、破壞或持有這些資產(chǎn)來賺取利潤豐厚的業(yè)務(wù)。組織采用安全策略、程序和控制來應(yīng)對這些威脅。
不幸的是,一些組織不愿意在安全上花費資源。其他人根本不知道從哪里開始。為了解決這些問題,立法者和行業(yè)監(jiān)管機構(gòu)制定了標(biāo)準(zhǔn)、法律和法規(guī),作為指導(dǎo)方針和(在處罰和罰款的情況下)激勵企業(yè)實施強有力的安全措施。
安全性和合規(guī)性的好處
通過安全合規(guī),企業(yè)可以升級網(wǎng)絡(luò)安全、降低風(fēng)險、維護(hù)聲譽、避免罰款并改進(jìn)數(shù)據(jù)管理。這是如何做。
升級網(wǎng)絡(luò)安全并降低風(fēng)險
努力遵守安全合規(guī)性標(biāo)準(zhǔn)意味著組織盡最大努力確保其安全框架堅不可摧,從而減少安全漏洞。投資于最新安全技術(shù)的企業(yè)可以保護(hù)組織的數(shù)字信息資產(chǎn)及其可能持有的任何客戶信息。這顯著降低了應(yīng)對不斷變化的威脅的風(fēng)險,并加快了合規(guī)流程。
維護(hù)商業(yè)聲譽
不安全的網(wǎng)絡(luò)很容易成為數(shù)據(jù)泄露的受害者,其后果是可怕的。幾家知名企業(yè)——eBay、Under Armour、Zynga、Target 等——都學(xué)得很辛苦。一個主要的影響是它給公司的聲譽帶來了重大損害。破壞用戶信息的網(wǎng)絡(luò)攻擊會破壞所有消費者和業(yè)務(wù)合作伙伴的信任。這對公司來說可能是災(zāi)難性的,會導(dǎo)致客戶、商機以及最終銷售額和利潤的流失。
避免罰款、罰款和其他費用
被發(fā)現(xiàn)不遵守規(guī)定的公司可能會被處以巨額罰款。處罰因法規(guī)而異,但任何罰款都可能對企業(yè)造成財務(wù)影響。例如,違反 HIPAA 的行為每起事件處以 100 至 50,000 美元的罰款,每年最高罰款 150 萬美元。
違反 GDPR 將被處以公司全球營業(yè)額的 4% 或 2000 萬歐元(以較高者為準(zhǔn))的罰款,而違反 PCI DSS 將被處以每月 5,000 至 100,000 美元的罰款。這些數(shù)字甚至不包括企業(yè)在處理數(shù)據(jù)泄露時產(chǎn)生的成本——例如,訴訟費用、公共關(guān)系活動和受影響消費者的信用監(jiān)控。
提高數(shù)據(jù)管理能力
保持安全性和合規(guī)性標(biāo)準(zhǔn)達(dá)到標(biāo)準(zhǔn),首先是組織評估它在服務(wù)器或云中保存的客戶信息的類型和數(shù)量、它正在做什么來保護(hù)這些信息,以及適用的法規(guī)。考慮到所有這些,組織應(yīng)該評估訪問和修改數(shù)據(jù)的當(dāng)前策略。
例如,根據(jù) GDPR 負(fù)責(zé)的企業(yè)必須(根據(jù)要求)向客戶提供對從他們那里收集的數(shù)據(jù)的訪問權(quán)限以及有關(guān)數(shù)據(jù)存儲方式和存儲位置的信息。這還要求以結(jié)構(gòu)化和一致的方式組織數(shù)據(jù),以便只有授權(quán)人員才能在需要時訪問信息。
一些數(shù)據(jù)保護(hù)法律法規(guī)概述
有無數(shù)標(biāo)準(zhǔn)、法律和框架旨在保護(hù)數(shù)據(jù)和其他數(shù)字資產(chǎn)。一些更常見的包括以下內(nèi)容:
- 健康保險流通與責(zé)任法案 (HIPAA) — 一項美國聯(lián)邦法律,旨在保護(hù)醫(yī)療機構(gòu)中的敏感患者數(shù)據(jù)。
- 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) — 一項行業(yè)領(lǐng)先的標(biāo)準(zhǔn),旨在保護(hù)存儲、傳輸和處理信用卡的企業(yè)中的信用卡數(shù)據(jù)。
- 通用數(shù)據(jù)保護(hù)條例 (GDPR) — 歐盟制定的一項條例,旨在保護(hù)公民的個人信息免遭濫用。
網(wǎng)絡(luò)安全:行業(yè)的角色和工具
網(wǎng)絡(luò)安全分析師通常將大部分時間花在監(jiān)視和檢查網(wǎng)絡(luò)、威脅情報源和日志中是否存在任何潛在威脅。他們常用的工具是安全信息和事件管理 (SIEM) 系統(tǒng)和入侵檢測系統(tǒng)/入侵防御系統(tǒng) (IDS/IPS)。一旦發(fā)現(xiàn)可疑情況,他們就會進(jìn)行進(jìn)一步分析,并在必要時使用其他工具來遏制威脅、消除危險或恢復(fù)數(shù)據(jù)。
雖然內(nèi)部合規(guī)官也關(guān)注安全,但他們的日常工作包括審計、面談、報告和溝通。他們通常不使用技術(shù)工具,而是處理大量文書工作。他們的主要職責(zé)是驗證和記錄組織的安全基礎(chǔ)設(shè)施以及政策和程序是否符合相關(guān)標(biāo)準(zhǔn)和法律。
失敗的后果
在大多數(shù)情況下,您努力實現(xiàn)安全性,因為您知道如果您在這方面失敗,您的組織可能會遭受數(shù)據(jù)泄露、惡意軟件爆發(fā)、網(wǎng)絡(luò)中斷等。后果通常是技術(shù)性的。合規(guī)舉措也旨在減輕這些風(fēng)險。但通常,實現(xiàn)合規(guī)性的最終原因是避免數(shù)百萬美元的罰款,并且在某些情況下(例如當(dāng)您違反HIPAA或薩班斯 - 奧克斯利法案時),避免多年監(jiān)禁。
成功的決心
采取任何數(shù)據(jù)保護(hù)法律或法規(guī)未強制實施的安全舉措的組織只對自己負(fù)責(zé)。他們成功的決定因素是在沒有遭受網(wǎng)絡(luò)事件的情況下開展業(yè)務(wù)。另一方面,受數(shù)據(jù)保護(hù)/隱私法律或法規(guī)管轄的組織必須對第三方負(fù)責(zé)。例如,對于 HIPAA,負(fù)責(zé)執(zhí)行的政府機構(gòu)是衛(wèi)生與公眾服務(wù)部民權(quán)辦公室。在 PCI DSS 中,合格的安全評估員負(fù)責(zé)監(jiān)督合規(guī)性。貴公司不確定其合規(guī)努力是否成功。
聲譽助推器
遵守廣泛接受的標(biāo)準(zhǔn)、法律或法規(guī)可以作為批準(zhǔn)印章,您可以向潛在客戶做廣告并獲得好評。許多客戶,尤其是 B2B 領(lǐng)域的客戶,已經(jīng)熟悉 HIPAA、PCI DSS、SOX、GDPR 等,并且傾向于將合規(guī)性解釋為組織致力于安全的證明。
安全本身不會引起相同的反應(yīng)。因為安全本質(zhì)上主要是技術(shù)性的,當(dāng)你用它來吸引客戶時,只有技術(shù)人員才能很容易地體會到它的價值。CEO 和 CFO 可以輕松理解 HIPAA 或 PCI DSS 合規(guī)性,但并非所有人都能理解擁有多因素身份驗證 (MFA)、4096 位 Rivest–Shamir–Adleman (RSA) 加密或安全斷言標(biāo)記語言的重要性(SAML)。
網(wǎng)站資訊
解決方案
關(guān)于我們
