摘要:根據托管IT服務巨頭Verizon公司的2015年PCI(支付卡產業)合規性報告,有高達80%的零售商未能通過臨時的PCI合規性評估。這種故障可導致一些挑戰和后果,其中涉及到惡意軟件、病毒感染和攻擊的脆弱性。
根據托管IT服務巨頭Verizon公司的2015年PCI(支付卡產業)合規性報告,有高達80%的零售商未能通過臨時的PCI合規性評估。這種故障可導致一些挑戰和后果,其中涉及到惡意軟件、病毒感染和攻擊的脆弱性。而Verizon公司獨立研究的2015年數據泄露調查報告指出,數據泄露事件不斷上升。在2100起數據泄露事件中,有60%確認來自違規行為,黑客能夠在幾分鐘內滲透到受害者公司。“近幾年來,幾乎所有的行業都受到了越來越多的威脅,因此合規性是至關重要的。”
零售部門機構并不是唯一遭受數據泄露和感染的行業,近年來幾乎每個行業廠商都面臨越多的威脅,因此滿足PCIDSS標準的合規性,HIPAA和其他規則比以往更為重要。與此同時,相關的合規性挑戰影響各種企業和組織,他們的客戶和合作伙伴也同樣面臨著風險。
當涉及到行業合規性時,會出現哪些問題?如何解決這些問題?這里有企業容易犯的三個頂級合規錯誤。
1.未能完全理解行業規范
在法規遵從中通常犯的第一個錯誤是,組織及其主要利益相關者對于他們受惠的指南缺乏充分理解。Armor,保護公司首席信息安全官庫爾特•哈格曼指出,HIPAA法案是有一些規則和標準,可以影響制度的每一部分。如果決策者沒有意識到或忽視這些準則,甚至一個細節,他們甚至可能不知道它是符不符合要求。
出于這個原因,它可以幫助獲得第三方的專家,可以從一個新的角度審視公司的程序和政策,并有助于發現任何差距。然而,當與任何外部組織合作時,這是至關重要的,決策者將對執行的供應商的合規性功能進行廣泛的評估。
2.沒有對第三方IT服務提供商進行有效評價
根據最近的FORTRUST白皮書,“如何應對合規性挑戰,以及如何解決這些問題”是最常見的問題之一,這是IT廠商忽視對企業進行有效的評估。由于IT服務提供商繼續在企業基礎架構中發揮著越來越重要的作用,因此在選擇合作伙伴時,企業成為了至關重要的決策者,將能夠提供滿足他們的需要最好的報務。同樣重要的是要記住,IT供應商數據中心違規可能會影響其客戶,包括監管的后果和品牌的聲譽損害。
當評估IT服務提供商時,這是必不可少的,以確保IT供應商的服務的業務的需求相一致。此外,其關鍵也要審查過去供應商的服務組合,并檢查其他重要因素,包括公司的認證,符合行業標準的整體歷史,以及出現安全事故時,其行業標準和政策是否到位。
“考慮超出了個人的監管要求的范圍,這也是很重要的,因為許多合規要求集中于特定的信息,如是否從其他的網絡環境訪問數據。”白皮書指出,“組織也應該考慮他們的供應商如何管理他們的設施,以及實施什么流程,以應對突發事件。”
3.物理安全優先級設置過低
數據泄露事件不僅發生越來越頻繁,而企業受到損害的文件和數據也越來越多。而這些組織通常不太注重物理安全。盡管在虛擬環境中,通常首先企業尋求部署保護設施,以確保物理區域和組件安全是非常重要的。
而出現這種問題的事實是一些企業可能過于關注合規性,他們忽略了某些必要的安全元素。哈格曼指出,當對罰款或法律后果的擔憂超過合規性工作時,這個問題就經常發生。他指出,這是“一場災難”。
保持專注于合規性的關鍵,同時確保所有的虛擬和物理環境都得到適當的保護。FORTRUST白皮書建議使用雙因素認證和生物識別掃描儀,并采取適當的訪問管理等安全措施。
“對可以訪問物理基礎設施的對象實行控制,是一個應對計算機系統和服務器的攻擊威脅的首要措施,”白皮書指出,“作為現實世界的盜竊和盜竊數字之間的界限越來越模糊,物理位置和數據中心必須在這兩個方面有效構筑防護堡壘。”
4.未按規定審查遵守和保護流程
在其他問題出現時,組織將不定期檢查其合規政策和策略,這直接關系到他們的數據安全和行業合規性。隨著威脅環境的不斷變化,其關鍵是企業的安全和合規措施的轉變,以解決新的漏洞,并確保基本資源得到妥善保障。沒有定期的審查,企業的合規性和事件響應過程可能變得相當過時,為組織帶來了更多的風險。
這個問題是比較常見的,超出了許多人的想像,Verizon公司發現了一些違規事件的發生,因為這些組織從未部署可用的安全補丁。事實上,有很多漏洞存在近八年之久。
而涉及到身份驗證出現等問題在所有違規事件中占四分之三以上,網絡犯罪分子能夠獲得成功,由于密碼丟失或被盜,或登錄安全防護環節薄弱。為了解決這個問題,IT主管應確保所有員工都使用強大安全的密碼,這些憑據安全地存儲,并且用戶需要經常改變他們的密碼,以進一步降低威脅。
進行風險評估,將為組織解決可能產生的漏洞,查明和解決任何問題很有幫助。“風險評估的好處不能被夸大,”哈格曼寫道,“團隊不僅要識別漏洞,降低風險水平,還要實現充分的保障,更有效地分配資源。”
當企業不斷地檢討和改善他們的安全和合規措施,他們不僅要加強他們的保護,也要減少滲透的機會。這個討論只觸及行業合規性表面。還有一些其他因素需要考慮和最佳實踐,要做到心中有數。
來源:機房360
石家莊服務器托管 石家莊服務器租用 石家莊機柜租用 石家莊機房
|
