我们符合为什么我们需要安全计划?

通常在IT管理领域,IT遵守的思想与信息安全相关。不幸的是,这不如他们是两个非常不同的东西。在本文中,我们将简化合规性,并讨论为什么一个积极​​的安全计划是现代商业惯例的理想方法。

单独兼容无法保护数据

符合要求的意味着您的业务符合一系列要求和任务。这些要求包括不同的政策,法律,规则,规范和标准,所有这些要求都旨在通过将业务惯例持有商程对一套要求来降低整体风险。统一的合规性框架只需要标记复选框以便成功实施。可能无法从此合规性推断出来。请允许我澄清,兼容,并以合规的方式练习是公司做的一件好事,但仅仅是为了确保您的数据。

在多大程度上,如何符合公司的符合方式是有点留在空中。组织可以使用任何数量的方法来满足合规性检查的要求。这就是为什么投诉并不意味着公司是安全的。让我们来看看一个例子,来自PCI DSS 3.2– 11.1 :

“实现用于测试无线接入点(802.11)的过程的过程,并在每季度检测和识别所有授权和未经授权的无线接入点。注意:可以在该过程中使用的方法包括但不限于无线网络扫描,系统组件和基础设施的物理/逻辑检查,网络访问控制(NAC)或无线IDS / IP。使用哪种方法,它们必须足以检测和识别授权和未经授权的设备。 “

这是一个很好的例子,可以大大忽视实际的安全性。公司实际上可以超越对此检查的满意,仍然非常不安全。是的,业务需要这样做,但是,对流氓无线接入点的监控需要连续,而不是季度令人满意的复选框。如果您认真对待停止潜在的无线威胁,周围的时钟监控和应对应到位。现实:一个成功的无线攻击可能非常快,为什么你的回复是什么?

实时监控

同样在合规空间中,但这次HIPAA安全代替PCI-DSS,我们可以看看C.f.r. §164.308(a)哪些国家为了符合要求,您必须制定监控登录尝试和报告差异的程序。

是的,这些做法是一件好事!然而,唯一的要求是监测和报告。这再次应该在时钟活动周围进行,监测应该是连续的,并且在据报道时应在近期实时调查,因为可疑活动。在套装间隔内查看日志文件之间存在很大差异,近实时警报。与例相反,NIST SP 800-37标准确实在实时监控附近实现,但这是一个完整的不同合规性标准。您可能会问自己“使用这种许多不同的合规性标准,我的公司如何构建最安全的系统?”

较高标准安全的解决方案就是这样!一种 安全框架 由一系列标准,政策,指南和程序组成,由管理业务遵循的管理方式组成。该计划承认您的所有业务,降低风险,并在业务行动的每个方面提供保证。对于每个业务,确切的需求将不同。一个这样的现有指南是ISO 27001,它是当前信息安全标准,您可以从中实现不同所需的合规性标准。查看最终的CISO指南 2019前30名安全控制框架

总之,我们已经回答了为什么合规性不平等的安全性,并讨论了在这种不断发展的世界中所需的下一个主动安全步骤。如果您有兴趣通过影响安全性的遵守情况,请给我们一个戒指或联系我们的演示!