A sosit momentul sa gandim altfel in ceea ce priveste securitatea si conformitatea. Respectarea nu inseamna securitate. De fapt, puteti fi conform, dar nu in siguranta. Respectarea nu are intotdeauna siguranta.
Pregatirea pentru provocarile de securitate de astazi
Tehnologia informatiei a crescut in salturi in ultimele doua decenii, iar industria a ajuns la 5 trilioane de dolari in 2019. Cu aceasta crestere imensa provine provocari complexe noi de securitate si securitate.
Persoanele din industrie stiu ca este din ce in ce mai important sa inteleaga si sa controleze modul in care companiile impartasesc, stocheaza si primesc informatii. Framework-urile de conformitate IT sunt acum in vigoare pentru a se asigura ca aceasta reglementare a datelor se intampla in siguranta, dar acestea pot sa difere in mod considerabil.
Pornind de la elementele de baza, devenind sigura si conforma, inseamna asigurarea de informatii, prevenirea daunelor, protejarea si detectarea furtului. Acestea sunt principalele mantre si mandate ale echipelor de securitate cibernetica, deoarece implementeaza framework-uri, care sunt predominant tehnice pentru a atinge respectarea normelor.
O companie poate sa-si protejeze datele in mod corespunzator daca respecta framework-urile de conformitate si dispune de o securitate de calitate. Pentru a avea o protectie adecvata, companiile trebuie sa inteleaga ca respectarea nu este acelasi lucru ca si securitatea. Cu toate acestea, securitatea reprezinta o mare parte a conformitatii.
Care sunt diferentele dintre securitate si conformitate?
Conformitatea se concentreaza asupra tipului de date gestionate si stocate de o companie si a cerintelor de reglementare (framework-urilor) care se aplica in cazul protectiei acesteia. O companie poate fi nevoita sa se alinieze la mai multe framework-uri, iar intelegerea acestor framework-uri poate fi dificila.
Scopul lor principal este gestionarea riscurilor si depasirea activelor informatice. Acestia supravegheaza politicile, reglementarile si legile si acopera riscurile fizice, financiare, juridice sau de alta natura. Conformitate inseamna asigurarea faptului ca o organizatie respecta cerintele minime de securitate.
Securitatea reprezinta un set clar de sisteme si instrumente tehnice si de procese care sunt puse in aplicare pentru a proteja si apara activele informatice si tehnologice ale unei intreprinderi. Respectarea nu este principala preocupare sau prerogativa a unei echipe de securitate, in ciuda faptului ca este o cerinta esentiala pentru afaceri.
Securitatea poate include controale fizice, precum si cine are acces la o retea, de exemplu. Metodele si instrumentele standardizate oferite de furnizorii specializati fac mai usoara securitatea decat conformitatea. Compatibilitatea, pe de alta parte, poate fi mai complexa si se bazeaza pe tipul de date al companiei si pe procesele de securitate.
Conformitate si securitate bazate pe framework-uri specifice
Conformitatea studiaza procesele de securitate ale unei companii. Aceasta detaliaza siguranta lor la un moment dat si o compara cu un set specific de cerinte de reglementare. Aceste cerinte provin sub forma de legislatie, regulamente industriale sau standarde create de cele mai bune practici.
In mod specific, framework-urile de conformitate includ:
HIPAA
HIPAA (Legea privind portabilitatea si responsabilitatea asigurarilor de sanatate) se aplica societatilor din industria asigurarilor de sanatate. Acesta legislationeaza modul in care companiile ar trebui sa se ocupe si sa asigure pacientilor informatiile medicale personale. Conformitatea cu HIPAA cere companiilor care gestioneaza acest tip de informatii sa faca acest lucru in siguranta. Actul are cinci sectiuni, pe care le numeste titluri. Titlul 2 este sectiunea care se aplica in cazul confidentialitatii si securitatii informatiilor.
Initial, HIPAA a urmarit sa standardizeze modul in care industria asigurarilor de sanatate a procesat si a impartasit date. Acesta a adaugat acum dispozitii pentru a gestiona incalcarile electronice ale acestor informatii.
SOX
Legea Sarbanes-Oxley (numita si SOX) se aplica ingrijirii si mentinerii datelor financiare ale companiilor publice. Aceasta defineste ce date trebuie pastrate si cat timp trebuie pastrate. De asemenea, efectueaza controale pentru distrugerea, falsificarea si modificarea datelor.
SOX incearca sa imbunatateasca responsabilitatea corporativa si sa adauge culpa. Actul prevede ca conducerea superioara trebuie sa certifice acuratetea datelor sale.
Toate companiile publice trebuie sa respecte cerintele SOX si cerintele de raportare financiara. Clasificarea corecta a datelor, stocarea in siguranta si gasirea rapida a acestora sunt elemente critice ale cadrului lor.
PCI DSS
Conformitatea PCI DSS este Standardul de securitate a datelor privind cardul de plata creat de un grup de companii care dorea sa standardizeze modul in care acestea pastrau informatiile financiare ale consumatorilor.
Cerintele care fac parte din standard sunt:
O retea securizata
Datele de utilizator protejate
Controale puternice de acces si management
Teste de retea
Revizuiri regulate ale politicilor de securitate a informatiilor
Exista patru niveluri de conformitate in cadrul standardului. Numarul de tranzactii pe care o companie le completeaza in fiecare an determina nivelul la care trebuie sa se conformeze.
Rapoartele SOC
Rapoartele SOC sunt rapoarte de control ale organizatiilor de servicii care se ocupa cu gestionarea informatiilor financiare sau personale la o companie.
Exista trei rapoarte SOC diferite.
SOC 1 si SOC 2 sunt diferite tipuri. Cu SOC 1 se aplica la controlul informatiilor financiare, in timp ce conformitatea si certificarea SOC 2 acopera informatiile personale ale utilizatorilor.
Rapoartele SOC 3 sunt accesibile publicului, astfel incat acestea nu includ informatii confidentiale despre companie. Aceste rapoarte se aplica pentru o anumita perioada, iar noile rapoarte iau in considerare toate constatarile anterioare.
Institutul American pentru Contabilii Publici Autorizati (AICPA) le-a definit ca parte a SSAE 18.
Familia ISO 27000
Familia de standarde ISO 27000 descrie cerintele minime pentru asigurarea informatiilor. Ca parte a standardelor Organizatiei Internationale pentru Standardizare, aceasta determina modul in care industria dezvolta sisteme de management al securitatii informatiilor (ISMS).
Conformitatea vine sub forma unui certificat. Mai mult de o duzina de standarde diferite alcatuiesc familia ISO 27000.
Securitatea acopera trei aspecte principale ale afacerii dvs.
- Retele
Retelele ne permit sa impartasim rapid informatii pe distante mari. Acest lucru le face, de asemenea, un risc. O retea incalcata poate face pierderi semnificative unei companii.
O incalcare a informatiilor personale poate duce la deteriorarea imaginii companiei. Pierderea sau distrugerea datelor pot, de asemenea, sa deschida societatilor raspunderea penala, deoarece nu mai respecta reglementarile. Protejarea unei retele este una dintre cele mai grele sarcini cu care se confrunta profesionistii in domeniul securitatii.
Instrumentele de securitate ale retelei impiedica accesul neautorizat la sistem. Firewall-ul si software-ul de filtrare a continutului protejeaza datele deoarece permit numai utilizatori valizi.
- Dispozitive
Dispozitivul personal al unui utilizator care se conecteaza la o retea a unei companii poate injecta un cod necunoscut in sistem. In mod similar, dand clic pe atasamentul gresit de e-mail poate raspandi rapid un software rau intentionat.
Instrumentele de scanare antivirus si a obiectelor terminale impiedica atacatorii sa obtina acces la dispozitiv. Atacurile de tip phishing si virusii au semnaturi cunoscute care le fac detectabile si pot fi prevenite.
Segmentarea accesului la retea prin dispozitiv si utilizator limiteaza raspandirea software-ului rau intentionat.
- Utilizatori
Utilizatorii lipsiti de griji sunt un risc semnificativ pentru orice companie. Ei nu stiu ca au fost compromisi si nu stiu ca permit un atac online. Mesajele de e-mail phishing sunt responsabile pentru 91% din atacurile cibernetice de succes.
Instruirea utilizatorilor pentru a fi atenti poate ajuta la limitarea actiunilor inofensive, dar periculoase. Instruirea poate creste securitatea daca angajatii cunosc riscurile implicate in utilizarea zilnica a tehnologiei.
Conformitate si securitate: Alianta Perfecta
Securitatea este ceva de care toate companiile au nevoie. Majoritatea vor avea deja o anumita forma de protectie atunci cand vine vorba de infrastructura IT. Acest lucru ar putea insemna chiar si minimul necesar pentru instalarea unui antivirus pe o statie de lucru sau utilizand firewall-ul de protectie Windows de baza.
Transformarea instrumentelor de securitate intr-un sistem IT compatibil necesita mai mult efort. Compania trebuie sa demonstreze conformitatea cu standardele de reglementare atunci cand are loc un audit de conformitate.
Crearea unui sistem, o alianta atat a securitatii cat si a conformitatii, intr-un mod sistematic si controlat, este primul pas in reducerea riscului. O echipa de securitate va pune in aplicare controale sistemice pentru a proteja activele informatice.
Apoi, o echipa de conformitate poate valida faptul ca acestea functioneaza conform planificarii. Acest tip de alianta va asigura faptul ca controalele de securitate nu se vor atrofia si toate documentele si rapoartele necesare sunt accesibile pentru audit.
Notiuni de baza pe o cale sigura
Conformitatea care intruneste un anumit cadru construieste increderea intr-o companie. Desi reglementarile vor fi forta de impuls din spatele conformitatii, avantajele aduse de acestea sunt utile.
O evaluare formala a procedurilor si sistemelor de securitate poate evidentia zonele de ingrijorare care necesita clarificare si intelegere. Desi managementul trebuie sa aiba incredere in administratori pentru a lua decizii critice care afecteaza infrastructura unei companii, intelegerea tuturor informatiilor relevante despre securitate revine conducerii. Utilizarea framework-urilor de conformitate pentru a gasi neajunsuri in securitate este esentiala atunci cand se ia in considerare anumite decizii.
Drumul spre conformitate incepe cu:
Afisarea instrumentelor de securitate actuale utilizate.
Efectuarea unei evaluari a riscurilor pentru tipurile de informatii procesate.
Studierea cerintelor legate de cadru.
Analiza decalajelor pentru controalelor curente in ceea ce priveste cerintele.
Planificarea caii de urmat pentru a rezolva deficiente majore.
Testarea eficientei diferitelor solutii.
Dupa aplicarea acestor pasi intr-un sistem, evaluarea regulata este cheia succesului. Respectarea si securitatea trebuie sa functioneze mana in mana; nu trebuie sa existe o securitate fara conformitate.
Ei lucreaza la unison; Cum? Folosind un cadru de conformitate, evaluand sistemele de securitate, corectand deficientele si apoi incepand evaluarile care se stabilesc pe baza unui program regulat.
Securitate si conformitate: o relatie simbolica
Securitatea si conformitatea este o componenta necesara in fiecare sector. Stiind modul in care fiecare se refera la securitatea datelor este critica.
Industria IT se bazeaza foarte mult pe increderea publicului, iar companiile care furnizeaza servicii de informare trebuie sa aiba o reputatie stelara. Un esec in securitate poate distruge o afacere.
Securitatea si conformitatea sunt componente diferite ale unui sistem necesar si esential. Cunoasterea modului in care fiecare se refera la protectia datelor este critica. Fiecare se bazeaza pe cealalta pentru a mentine securitatea datelor la maxim. Conformitatea nu echivaleaza cu securitatea in sine.
Trebuie sa existe o relatie simbiotica intre cele doua. Atunci cand o companie indeplineste cadrul de conformitate cu masurile de securitate interna, punerea in aplicare a celor doua va mentine datele in siguranta si integritatea si reputatia unei companii intacte.
Acum ca intelegeti diferentele dintre securitate si conformitate este bine sa cititi despre cele mai bune instrumente de testare a securitatii recomandate de profesionisti. Este timpul sa luati masuri impotriva potentialelor amenintari la adresa datelor si sa va pastrati securitatea informatica.
CATEGORY:Securitate