摘要:根據(jù)托管IT服務(wù)巨頭Verizon公司的2015年P(guān)CI(支付卡產(chǎn)業(yè))合規(guī)性報(bào)告,有高達(dá)80%的零售商未能通過(guò)臨時(shí)的PCI合規(guī)性評(píng)估。這種故障可導(dǎo)致一些挑戰(zhàn)和后果,其中涉及到惡意軟件、病毒感染和攻擊的脆弱性。
根據(jù)托管IT服務(wù)巨頭Verizon公司的2015年P(guān)CI(支付卡產(chǎn)業(yè))合規(guī)性報(bào)告,有高達(dá)80%的零售商未能通過(guò)臨時(shí)的PCI合規(guī)性評(píng)估。這種故障可導(dǎo)致一些挑戰(zhàn)和后果,其中涉及到惡意軟件、病毒感染和攻擊的脆弱性。而Verizon公司獨(dú)立研究的2015年數(shù)據(jù)泄露調(diào)查報(bào)告指出,數(shù)據(jù)泄露事件不斷上升。在2100起數(shù)據(jù)泄露事件中,有60%確認(rèn)來(lái)自違規(guī)行為,黑客能夠在幾分鐘內(nèi)滲透到受害者公司。“近幾年來(lái),幾乎所有的行業(yè)都受到了越來(lái)越多的威脅,因此合規(guī)性是至關(guān)重要的! 零售部門機(jī)構(gòu)并不是唯一遭受數(shù)據(jù)泄露和感染的行業(yè),近年來(lái)幾乎每個(gè)行業(yè)廠商都面臨越多的威脅,因此滿足PCIDSS標(biāo)準(zhǔn)的合規(guī)性,HIPAA和其他規(guī)則比以往更為重要。與此同時(shí),相關(guān)的合規(guī)性挑戰(zhàn)影響各種企業(yè)和組織,他們的客戶和合作伙伴也同樣面臨著風(fēng)險(xiǎn)。 當(dāng)涉及到行業(yè)合規(guī)性時(shí),會(huì)出現(xiàn)哪些問(wèn)題?如何解決這些問(wèn)題?這里有企業(yè)容易犯的三個(gè)頂級(jí)合規(guī)錯(cuò)誤。 1.未能完全理解行業(yè)規(guī)范 在法規(guī)遵從中通常犯的第一個(gè)錯(cuò)誤是,組織及其主要利益相關(guān)者對(duì)于他們受惠的指南缺乏充分理解。Armor,保護(hù)公司首席信息安全官庫(kù)爾特•哈格曼指出,HIPAA法案是有一些規(guī)則和標(biāo)準(zhǔn),可以影響制度的每一部分。如果決策者沒(méi)有意識(shí)到或忽視這些準(zhǔn)則,甚至一個(gè)細(xì)節(jié),他們甚至可能不知道它是符不符合要求。 出于這個(gè)原因,它可以幫助獲得第三方的專家,可以從一個(gè)新的角度審視公司的程序和政策,并有助于發(fā)現(xiàn)任何差距。然而,當(dāng)與任何外部組織合作時(shí),這是至關(guān)重要的,決策者將對(duì)執(zhí)行的供應(yīng)商的合規(guī)性功能進(jìn)行廣泛的評(píng)估。 2.沒(méi)有對(duì)第三方IT服務(wù)提供商進(jìn)行有效評(píng)價(jià) 根據(jù)最近的FORTRUST白皮書,“如何應(yīng)對(duì)合規(guī)性挑戰(zhàn),以及如何解決這些問(wèn)題”是最常見(jiàn)的問(wèn)題之一,這是IT廠商忽視對(duì)企業(yè)進(jìn)行有效的評(píng)估。由于IT服務(wù)提供商繼續(xù)在企業(yè)基礎(chǔ)架構(gòu)中發(fā)揮著越來(lái)越重要的作用,因此在選擇合作伙伴時(shí),企業(yè)成為了至關(guān)重要的決策者,將能夠提供滿足他們的需要最好的報(bào)務(wù)。同樣重要的是要記住,IT供應(yīng)商數(shù)據(jù)中心違規(guī)可能會(huì)影響其客戶,包括監(jiān)管的后果和品牌的聲譽(yù)損害。 當(dāng)評(píng)估IT服務(wù)提供商時(shí),這是必不可少的,以確保IT供應(yīng)商的服務(wù)的業(yè)務(wù)的需求相一致。此外,其關(guān)鍵也要審查過(guò)去供應(yīng)商的服務(wù)組合,并檢查其他重要因素,包括公司的認(rèn)證,符合行業(yè)標(biāo)準(zhǔn)的整體歷史,以及出現(xiàn)安全事故時(shí),其行業(yè)標(biāo)準(zhǔn)和政策是否到位。 “考慮超出了個(gè)人的監(jiān)管要求的范圍,這也是很重要的,因?yàn)樵S多合規(guī)要求集中于特定的信息,如是否從其他的網(wǎng)絡(luò)環(huán)境訪問(wèn)數(shù)據(jù)。”白皮書指出,“組織也應(yīng)該考慮他們的供應(yīng)商如何管理他們的設(shè)施,以及實(shí)施什么流程,以應(yīng)對(duì)突發(fā)事件。” 3.物理安全優(yōu)先級(jí)設(shè)置過(guò)低 數(shù)據(jù)泄露事件不僅發(fā)生越來(lái)越頻繁,而企業(yè)受到損害的文件和數(shù)據(jù)也越來(lái)越多。而這些組織通常不太注重物理安全。盡管在虛擬環(huán)境中,通常首先企業(yè)尋求部署保護(hù)設(shè)施,以確保物理區(qū)域和組件安全是非常重要的。 而出現(xiàn)這種問(wèn)題的事實(shí)是一些企業(yè)可能過(guò)于關(guān)注合規(guī)性,他們忽略了某些必要的安全元素。哈格曼指出,當(dāng)對(duì)罰款或法律后果的擔(dān)憂超過(guò)合規(guī)性工作時(shí),這個(gè)問(wèn)題就經(jīng)常發(fā)生。他指出,這是“一場(chǎng)災(zāi)難”。 保持專注于合規(guī)性的關(guān)鍵,同時(shí)確保所有的虛擬和物理環(huán)境都得到適當(dāng)?shù)谋Wo(hù)。FORTRUST白皮書建議使用雙因素認(rèn)證和生物識(shí)別掃描儀,并采取適當(dāng)?shù)脑L問(wèn)管理等安全措施。 “對(duì)可以訪問(wèn)物理基礎(chǔ)設(shè)施的對(duì)象實(shí)行控制,是一個(gè)應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)和服務(wù)器的攻擊威脅的首要措施,”白皮書指出,“作為現(xiàn)實(shí)世界的盜竊和盜竊數(shù)字之間的界限越來(lái)越模糊,物理位置和數(shù)據(jù)中心必須在這兩個(gè)方面有效構(gòu)筑防護(hù)堡壘! 4.未按規(guī)定審查遵守和保護(hù)流程 在其他問(wèn)題出現(xiàn)時(shí),組織將不定期檢查其合規(guī)政策和策略,這直接關(guān)系到他們的數(shù)據(jù)安全和行業(yè)合規(guī)性。隨著威脅環(huán)境的不斷變化,其關(guān)鍵是企業(yè)的安全和合規(guī)措施的轉(zhuǎn)變,以解決新的漏洞,并確保基本資源得到妥善保障。沒(méi)有定期的審查,企業(yè)的合規(guī)性和事件響應(yīng)過(guò)程可能變得相當(dāng)過(guò)時(shí),為組織帶來(lái)了更多的風(fēng)險(xiǎn)。 這個(gè)問(wèn)題是比較常見(jiàn)的,超出了許多人的想像,Verizon公司發(fā)現(xiàn)了一些違規(guī)事件的發(fā)生,因?yàn)檫@些組織從未部署可用的安全補(bǔ)丁。事實(shí)上,有很多漏洞存在近八年之久。 而涉及到身份驗(yàn)證出現(xiàn)等問(wèn)題在所有違規(guī)事件中占四分之三以上,網(wǎng)絡(luò)犯罪分子能夠獲得成功,由于密碼丟失或被盜,或登錄安全防護(hù)環(huán)節(jié)薄弱。為了解決這個(gè)問(wèn)題,IT主管應(yīng)確保所有員工都使用強(qiáng)大安全的密碼,這些憑據(jù)安全地存儲(chǔ),并且用戶需要經(jīng)常改變他們的密碼,以進(jìn)一步降低威脅。 進(jìn)行風(fēng)險(xiǎn)評(píng)估,將為組織解決可能產(chǎn)生的漏洞,查明和解決任何問(wèn)題很有幫助!帮L(fēng)險(xiǎn)評(píng)估的好處不能被夸大,”哈格曼寫道,“團(tuán)隊(duì)不僅要識(shí)別漏洞,降低風(fēng)險(xiǎn)水平,還要實(shí)現(xiàn)充分的保障,更有效地分配資源! 當(dāng)企業(yè)不斷地檢討和改善他們的安全和合規(guī)措施,他們不僅要加強(qiáng)他們的保護(hù),也要減少滲透的機(jī)會(huì)。這個(gè)討論只觸及行業(yè)合規(guī)性表面。還有一些其他因素需要考慮和最佳實(shí)踐,要做到心中有數(shù)。
來(lái)源:機(jī)房360
石家莊服務(wù)器托管 石家莊服務(wù)器租用 石家莊機(jī)柜租用 石家莊機(jī)房
|