合規(guī)并不一定等同于安全。這已經在涉及公司的數(shù)據泄露事件中被無數(shù)次證明,這些公司在安全受到威脅時實際上遵守了一個或多個數(shù)據安全標準、法律或框架。這種認識促使組織追求安全合規(guī)性;一種組合方法被認為可以有效地減少網絡事件的風險和影響或完全避免它。
您可能聽說過2013 年發(fā)生的大規(guī)模 Target 數(shù)據泄露事件。但是您是否知道這家零售巨頭實際上在攻擊發(fā)生前幾周就已通過支付卡行業(yè)數(shù)據安全標準 ( PCI DSS ) 認證?Heartland Payment Systems 是一次重大數(shù)據泄露的另一個受害者,在受到攻擊之前也連續(xù)六年符合 PCI DSS。像這樣的網絡事件比您想象的要普遍得多,它們像拇指一樣突出,因為像 PCI DSS 這樣的標準應該可以防止它們發(fā)生。
出于多種原因,包括信任、聲譽、安全和數(shù)據完整性,合規(guī)性很重要,但它也會影響公司的財務狀況。根據 Penamon Institute 的說法,不合規(guī)是增加數(shù)據泄露成本的第一大因素。
雖然安全性和合規(guī)性顯然是兩個不同的原則,但它們各有優(yōu)勢(我們將在稍后詳細討論)。這些好處有助于降低業(yè)務風險。出于這個原因,組織需要專注于實現(xiàn)安全性和合規(guī)性。這是企業(yè)可以大大降低風險水平的唯一方法。我們從一開始就聲明安全與合規(guī)性不同。但它們究竟有何不同?我們來談談吧。
通過安全和合規(guī)性保護(在這種情況下,真正意味著信息安全)是物理和技術系統(tǒng)和工具以及為減輕組織數(shù)字資產風險而制定的政策和程序的總和。
合規(guī)性是相似的,因為它也由物理和技術系統(tǒng)和工具組成,除了與安全不同的是,這些系統(tǒng)通常旨在保護一組特定的數(shù)字資產。例如,在 HIPAA 中,受保護的資產是患者信息;在 PCI DSS 中,它是卡數(shù)據;在 GDPR 中,它是歐盟公民的個人信息。另一方面,安全性在保護內容方面具有更全面的范圍。
開發(fā)有效的技術控制以保護公司資產的技術被稱為安全性。實施該技術以滿足第三方的監(jiān)管或合同需求被稱為合規(guī)性。
它們之間的區(qū)別包括:
在過去的幾十年里,企業(yè)一直受到不斷增長的安全/隱私標準、法律和框架的影響,例如 PCI DSS、健康保險流通與責任法案 (HIPAA)、Gramm-Leach-Bliley 法案 ( GLBA) 和通用數(shù)據保護條例 (GDPR)。為什么首先要制定這些法律法規(guī)?
隨著組織越來越依賴 IT 系統(tǒng)、數(shù)據和其他數(shù)字資產,它們吸引了犯罪分子,他們可以通過竊取、破壞或持有這些資產來賺取利潤豐厚的業(yè)務。組織采用安全策略、程序和控制來應對這些威脅。
不幸的是,一些組織不愿意在安全上花費資源。其他人根本不知道從哪里開始。為了解決這些問題,立法者和行業(yè)監(jiān)管機構制定了標準、法律和法規(guī),作為指導方針和(在處罰和罰款的情況下)激勵企業(yè)實施強有力的安全措施。
通過安全合規(guī),企業(yè)可以升級網絡安全、降低風險、維護聲譽、避免罰款并改進數(shù)據管理。這是如何做。
努力遵守安全合規(guī)性標準意味著組織盡最大努力確保其安全框架堅不可摧,從而減少安全漏洞。投資于最新安全技術的企業(yè)可以保護組織的數(shù)字信息資產及其可能持有的任何客戶信息。這顯著降低了應對不斷變化的威脅的風險,并加快了合規(guī)流程。
不安全的網絡很容易成為數(shù)據泄露的受害者,其后果是可怕的。幾家知名企業(yè)——eBay、Under Armour、Zynga、Target 等——都學得很辛苦。一個主要的影響是它給公司的聲譽帶來了重大損害。破壞用戶信息的網絡攻擊會破壞所有消費者和業(yè)務合作伙伴的信任。這對公司來說可能是災難性的,會導致客戶、商機以及最終銷售額和利潤的流失。
被發(fā)現(xiàn)不遵守規(guī)定的公司可能會被處以巨額罰款。處罰因法規(guī)而異,但任何罰款都可能對企業(yè)造成財務影響。例如,違反 HIPAA 的行為每起事件處以 100 至 50,000 美元的罰款,每年最高罰款 150 萬美元。
違反 GDPR 將被處以公司全球營業(yè)額的 4% 或 2000 萬歐元(以較高者為準)的罰款,而違反 PCI DSS 將被處以每月 5,000 至 100,000 美元的罰款。這些數(shù)字甚至不包括企業(yè)在處理數(shù)據泄露時產生的成本——例如,訴訟費用、公共關系活動和受影響消費者的信用監(jiān)控。
保持安全性和合規(guī)性標準達到標準,首先是組織評估它在服務器或云中保存的客戶信息的類型和數(shù)量、它正在做什么來保護這些信息,以及適用的法規(guī)。考慮到所有這些,組織應該評估訪問和修改數(shù)據的當前策略。
例如,根據 GDPR 負責的企業(yè)必須(根據要求)向客戶提供對從他們那里收集的數(shù)據的訪問權限以及有關數(shù)據存儲方式和存儲位置的信息。這還要求以結構化和一致的方式組織數(shù)據,以便只有授權人員才能在需要時訪問信息。
有無數(shù)標準、法律和框架旨在保護數(shù)據和其他數(shù)字資產。一些更常見的包括以下內容:
網絡安全分析師通常將大部分時間花在監(jiān)視和檢查網絡、威脅情報源和日志中是否存在任何潛在威脅。他們常用的工具是安全信息和事件管理 (SIEM) 系統(tǒng)和入侵檢測系統(tǒng)/入侵防御系統(tǒng) (IDS/IPS)。一旦發(fā)現(xiàn)可疑情況,他們就會進行進一步分析,并在必要時使用其他工具來遏制威脅、消除危險或恢復數(shù)據。
雖然內部合規(guī)官也關注安全,但他們的日常工作包括審計、面談、報告和溝通。他們通常不使用技術工具,而是處理大量文書工作。他們的主要職責是驗證和記錄組織的安全基礎設施以及政策和程序是否符合相關標準和法律。
在大多數(shù)情況下,您努力實現(xiàn)安全性,因為您知道如果您在這方面失敗,您的組織可能會遭受數(shù)據泄露、惡意軟件爆發(fā)、網絡中斷等。后果通常是技術性的。合規(guī)舉措也旨在減輕這些風險。但通常,實現(xiàn)合規(guī)性的最終原因是避免數(shù)百萬美元的罰款,并且在某些情況下(例如當您違反HIPAA或薩班斯 - 奧克斯利法案時),避免多年監(jiān)禁。
采取任何數(shù)據保護法律或法規(guī)未強制實施的安全舉措的組織只對自己負責。他們成功的決定因素是在沒有遭受網絡事件的情況下開展業(yè)務。另一方面,受數(shù)據保護/隱私法律或法規(guī)管轄的組織必須對第三方負責。例如,對于 HIPAA,負責執(zhí)行的政府機構是衛(wèi)生與公眾服務部民權辦公室。在 PCI DSS 中,合格的安全評估員負責監(jiān)督合規(guī)性。貴公司不確定其合規(guī)努力是否成功。
遵守廣泛接受的標準、法律或法規(guī)可以作為批準印章,您可以向潛在客戶做廣告并獲得好評。許多客戶,尤其是 B2B 領域的客戶,已經熟悉 HIPAA、PCI DSS、SOX、GDPR 等,并且傾向于將合規(guī)性解釋為組織致力于安全的證明。
安全本身不會引起相同的反應。因為安全本質上主要是技術性的,當你用它來吸引客戶時,只有技術人員才能很容易地體會到它的價值。CEO 和 CFO 可以輕松理解 HIPAA 或 PCI DSS 合規(guī)性,但并非所有人都能理解擁有多因素身份驗證 (MFA)、4096 位 Rivest–Shamir–Adleman (RSA) 加密或安全斷言標記語言的重要性(SAML)。
網站資訊
解決方案
服務支持
