合規(guī):我不能理解一些安全專業(yè)人員,特別是不會(huì)每日
或甚至每時(shí)處理問(wèn)題的首席信息安全官(CISO)。如果公司要遵從的不是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(簡(jiǎn)稱PCI DSS),那么可能是HIPAA法案、GLB法案、薩班斯法案或是許多其它私有和安全法令之一。保護(hù)企業(yè)的數(shù)據(jù)很必要,同時(shí)也要保證企業(yè)履行合規(guī)的要求。
所以CISO如何才能正確地管理合規(guī)?CISO需要有什么樣的關(guān)鍵管理過(guò)程、優(yōu)先級(jí)排序和心態(tài),才能確保信息安全團(tuán)隊(duì)能讓企業(yè)滿足合規(guī)要求?本文我想介紹可能有助于你獲得成功的四個(gè)方面。
你的口頭禪:保護(hù)數(shù)據(jù)
首先,記住作為CISO你的角色是公司信息安全的代表。不管是什么特定的合規(guī)要求,你的首要工作是保護(hù)公司的數(shù)據(jù),并且還要保護(hù)你的員工、廠商、顧客和你的股東。
如果你查看關(guān)鍵合規(guī)指導(dǎo)方針——包括PCI DSS、HIPAA或是NERC要求——其核心的主題都是保護(hù)系統(tǒng)、數(shù)據(jù)和防止數(shù)據(jù)丟失?;旧洗蠖鄶?shù)合規(guī)要求的基本原則是維持“CIA”:即數(shù)據(jù)和系統(tǒng)的保密性(confidentiality)、完整性(integrity)和可用性(availability)。
了解管理合規(guī)的要求
其次,了解你必須遵從的合規(guī)要求。閱讀并研究它們,并且對(duì)照它們進(jìn)行自審和評(píng)估。掌握關(guān)于這些法令的相關(guān)解釋、裁決和新聞最新動(dòng)態(tài)。例如訂閱關(guān)于PCI DSS、HIPAA或NERC的新聞,或者創(chuàng)建Google Alert,了解關(guān)于信用卡安全,或是任何和你行業(yè)最相關(guān)的新聞。通過(guò)了解要求和保持對(duì)這些主題的行業(yè)交流,你將能夠?qū)赡軙?huì)影響公司合規(guī)狀態(tài)的決策結(jié)果更了解。
你還可以通過(guò)使用行業(yè)評(píng)估檢查列表(用于指導(dǎo)變更管理或者架構(gòu)評(píng)審)來(lái)了解要求。確保對(duì)系統(tǒng)的變更——即使是那些和合規(guī)主題沒(méi)有直接關(guān)聯(lián)的——不會(huì)使數(shù)據(jù)或系統(tǒng)面臨潛在的危險(xiǎn)。
安全學(xué)習(xí)
和安全意識(shí)
作為CISO,我堅(jiān)信員工是公司的第一道防線。要確保員工和承包商意識(shí)到他們的行為,或者不作為可能會(huì)導(dǎo)致數(shù)據(jù)泄露或違規(guī)的情況。那么,你如何傳達(dá)這些信息呢?
第一步是查看業(yè)務(wù)過(guò)程,并且推斷在數(shù)據(jù)流和系統(tǒng)操作中因?yàn)闆](méi)履行特定的要求而導(dǎo)致違規(guī)的地方。使用這些信息,花時(shí)間對(duì)關(guān)鍵員工進(jìn)行學(xué)習(xí)
,并且進(jìn)行責(zé)任定位以保護(hù)信息安全。
例如,就PCI DSS法案來(lái)說(shuō),一個(gè)潛在的薄弱區(qū)域是在銷售點(diǎn)終端機(jī)處理信用卡數(shù)據(jù)。恰當(dāng)?shù)姆椒?并且甚至是PCI DSS要求的)是花時(shí)間向面對(duì)客戶的員工——或者至少制定一些基于計(jì)算機(jī)的學(xué)習(xí)
或員工安全意識(shí)手冊(cè)——解釋處理信用卡的正確和不正確的方式,例如不要復(fù)制信用卡號(hào)。
在這方面的其它方法還有指導(dǎo)開(kāi)發(fā)重要Web應(yīng)用的員工進(jìn)行測(cè)試和數(shù)據(jù)校驗(yàn),或是學(xué)習(xí)
所有便攜式電腦用戶如何在外出旅行時(shí)安全防護(hù)他們的機(jī)器。
換句話說(shuō),要經(jīng)常學(xué)習(xí)
和指導(dǎo)員工了解采取某些行為的原因,以及如果數(shù)據(jù)沒(méi)有得到恰當(dāng)?shù)乇Wo(hù)會(huì)給公司名譽(yù)和員工帶來(lái)的影響。
了解根源
如果發(fā)生事故,該事故可能會(huì)讓公司的法規(guī)遵從受到質(zhì)疑,所以必須花時(shí)間和精力來(lái)理解事故的根本原因。不要只是掩蓋征兆,要真正地理解發(fā)生了什么和為什么會(huì)發(fā)生。然后花時(shí)間思考補(bǔ)救措施,來(lái)解決問(wèn)題和防止事件再次發(fā)生。確認(rèn)和追蹤這些補(bǔ)救措施確實(shí)完成。
這個(gè)方法也將有助于你與監(jiān)管人員及合規(guī)監(jiān)督者溝通。通過(guò)了解你的問(wèn)題和事件,你會(huì)闡明你不想讓錯(cuò)誤發(fā)生和你愿意付出時(shí)間和努力來(lái)防止問(wèn)題再次發(fā)生。如果到了罰款或處罰的地步,如果你一直和監(jiān)管者保持坦誠(chéng),他們很可能會(huì)寬大處理。
持續(xù)的壓力
作為CISO,我經(jīng)常對(duì)我的安全團(tuán)隊(duì)同事說(shuō),我們最重要的工作是持續(xù)關(guān)注公司合規(guī)和數(shù)據(jù)安全。不幸的是,這可能并不容易實(shí)現(xiàn),并且有時(shí)還具有挑戰(zhàn)性,但是你需要保持這個(gè)壓力來(lái)保持和提高你所在企業(yè)的安全狀況。