合规并不一定等同于安全。这已经在涉及公司的数据泄露事件中被无数次证明,这些公司在安全受到威胁时实际上遵守了一个或多个数据安全标准、法律或框架。这种认识促使组织追求安全合规性;一种组合方法被认为可以有效地减少网络事件的风险和影响或完全避免它。
您可能听说过2013 年发生的大规模 Target 数据泄露事件。但是您是否知道这家零售巨头实际上在攻击发生前几周就已通过支付卡行业数据安全标准 ( PCI DSS ) 认证?Heartland Payment Systems 是一次重大数据泄露的另一个受害者,在受到攻击之前也连续六年符合 PCI DSS。像这样的网络事件比您想象的要普遍得多,它们像拇指一样突出,因为像 PCI DSS 这样的标准应该可以防止它们发生。
为什么安全合规很重要?
出于多种原因,包括信任、声誉、安全和数据完整性,合规性很重要,但它也会影响公司的财务状况。根据 Penamon Institute 的说法,不合规是增加数据泄露成本的第一大因素。
安全性和合规性之间有什么区别?
虽然安全性和合规性显然是两个不同的原则,但它们各有优势(我们将在稍后详细讨论)。这些好处有助于降低业务风险。出于这个原因,组织需要专注于实现安全性和合规性。这是企业可以大大降低风险水平的唯一方法。我们从一开始就声明安全与合规性不同。但它们究竟有何不同?我们来谈谈吧。
安全
通过安全和合规性保护(在这种情况下,真正意味着信息安全)是物理和技术系统和工具以及为减轻组织数字资产风险而制定的政策和程序的总和。
遵守
合规性是相似的,因为它也由物理和技术系统和工具组成,除了与安全不同的是,这些系统通常旨在保护一组特定的数字资产。例如,在 HIPAA 中,受保护的资产是患者信息;在 PCI DSS 中,它是卡数据;在 GDPR 中,它是欧盟公民的个人信息。另一方面,安全性在保护内容方面具有更全面的范围。
比较 IT 安全性和 IT 合规性
开发有效的技术控制以保护公司资产的技术被称为安全性。实施该技术以满足第三方的监管或合同需求被称为合规性。
它们之间的区别包括:
- 安全是为了自身的利益而不是为了满足任何第三方,而合规是为了满足外部要求并促进业务运营。
- 合规性是由业务需求(很少是技术需求)驱动的,而安全性是由保护对公司资产的任何威胁的需求驱动的。
- 安全永无止境,必须持续维护和更新。另一方面,当第 3 方满意时,合规性“结束”。
网络安全举措和数据隐私立法
在过去的几十年里,企业一直受到不断增长的安全/隐私标准、法律和框架的影响,例如 PCI DSS、健康保险流通与责任法案 (HIPAA)、Gramm-Leach-Bliley 法案 ( GLBA) 和通用数据保护条例 (GDPR)。为什么首先要制定这些法律法规?
随着组织越来越依赖 IT 系统、数据和其他数字资产,它们吸引了犯罪分子,他们可以通过窃取、破坏或持有这些资产来赚取利润丰厚的业务。组织采用安全策略、程序和控制来应对这些威胁。
不幸的是,一些组织不愿意在安全上花费资源。其他人根本不知道从哪里开始。为了解决这些问题,立法者和行业监管机构制定了标准、法律和法规,作为指导方针和(在处罚和罚款的情况下)激励企业实施强有力的安全措施。
安全性和合规性的好处
通过安全合规,企业可以升级网络安全、降低风险、维护声誉、避免罚款并改进数据管理。这是如何做。
升级网络安全并降低风险
努力遵守安全合规性标准意味着组织尽最大努力确保其安全框架坚不可摧,从而减少安全漏洞。投资于最新安全技术的企业可以保护组织的数字信息资产及其可能持有的任何客户信息。这显着降低了应对不断变化的威胁的风险,并加快了合规流程。
维护商业声誉
不安全的网络很容易成为数据泄露的受害者,其后果是可怕的。几家知名企业——eBay、Under Armour、Zynga、Target 等——都学得很辛苦。一个主要的影响是它给公司的声誉带来了重大损害。破坏用户信息的网络攻击会破坏所有消费者和业务合作伙伴的信任。这对公司来说可能是灾难性的,会导致客户、商机以及最终销售额和利润的流失。
避免罚款、罚款和其他费用
被发现不遵守规定的公司可能会被处以巨额罚款。处罚因法规而异,但任何罚款都可能对企业造成财务影响。例如,违反 HIPAA 的行为每起事件处以 100 至 50,000 美元的罚款,每年最高罚款 150 万美元。
违反 GDPR 将被处以公司全球营业额的 4% 或 2000 万欧元(以较高者为准)的罚款,而违反 PCI DSS 将被处以每月 5,000 至 100,000 美元的罚款。这些数字甚至不包括企业在处理数据泄露时产生的成本——例如,诉讼费用、公共关系活动和受影响消费者的信用监控。
提高数据管理能力
保持安全性和合规性标准达到标准,首先是组织评估它在服务器或云中保存的客户信息的类型和数量、它正在做什么来保护这些信息,以及适用的法规。考虑到所有这些,组织应该评估访问和修改数据的当前策略。
例如,根据 GDPR 负责的企业必须(根据要求)向客户提供对从他们那里收集的数据的访问权限以及有关数据存储方式和存储位置的信息。这还要求以结构化和一致的方式组织数据,以便只有授权人员才能在需要时访问信息。
一些数据保护法律法规概述
有无数标准、法律和框架旨在保护数据和其他数字资产。一些更常见的包括以下内容:
- 健康保险流通与责任法案 (HIPAA) — 一项美国联邦法律,旨在保护医疗机构中的敏感患者数据。
- 支付卡行业数据安全标准 (PCI DSS) — 一项行业领先的标准,旨在保护存储、传输和处理信用卡的企业中的信用卡数据。
- 通用数据保护条例 (GDPR) — 欧盟制定的一项条例,旨在保护公民的个人信息免遭滥用。
网络安全:行业的角色和工具
网络安全分析师通常将大部分时间花在监视和检查网络、威胁情报源和日志中是否存在任何潜在威胁。他们常用的工具是安全信息和事件管理 (SIEM) 系统和入侵检测系统/入侵防御系统 (IDS/IPS)。一旦发现可疑情况,他们就会进行进一步分析,并在必要时使用其他工具来遏制威胁、消除危险或恢复数据。
虽然内部合规官也关注安全,但他们的日常工作包括审计、面谈、报告和沟通。他们通常不使用技术工具,而是处理大量文书工作。他们的主要职责是验证和记录组织的安全基础设施以及政策和程序是否符合相关标准和法律。
失败的后果
在大多数情况下,您努力实现安全性,因为您知道如果您在这方面失败,您的组织可能会遭受数据泄露、恶意软件爆发、网络中断等。后果通常是技术性的。合规举措也旨在减轻这些风险。但通常,实现合规性的最终原因是避免数百万美元的罚款,并且在某些情况下(例如当您违反HIPAA或萨班斯 - 奥克斯利法案时),避免多年监禁。
成功的决心
采取任何数据保护法律或法规未强制实施的安全举措的组织只对自己负责。他们成功的决定因素是在没有遭受网络事件的情况下开展业务。另一方面,受数据保护/隐私法律或法规管辖的组织必须对第三方负责。例如,对于 HIPAA,负责执行的政府机构是卫生与公众服务部民权办公室。在 PCI DSS 中,合格的安全评估员负责监督合规性。贵公司不确定其合规努力是否成功。
声誉助推器
遵守广泛接受的标准、法律或法规可以作为批准印章,您可以向潜在客户做广告并获得好评。许多客户,尤其是 B2B 领域的客户,已经熟悉 HIPAA、PCI DSS、SOX、GDPR 等,并且倾向于将合规性解释为组织致力于安全的证明。
安全本身不会引起相同的反应。因为安全本质上主要是技术性的,当你用它来吸引客户时,只有技术人员才能很容易地体会到它的价值。CEO 和 CFO 可以轻松理解 HIPAA 或 PCI DSS 合规性,但并非所有人都能理解拥有多因素身份验证 (MFA)、4096 位 Rivest–Shamir–Adleman (RSA) 加密或安全断言标记语言的重要性(SAML)。