机房360首页
当前位置:首页 » 系统安全 » IT行业要避免4个合规性错误

IT行业要避免4个合规性错误

来源:机房360 作者:Harris编译 更新时间:2016-2-4 6:59:58

摘要:根据托管IT服务巨头Verizon公司的2015年PCI(支付卡产业)合规性报告,有高达80%的零售商未能通过临时的PCI合规性评估。这种故障可导致一些挑战和后果,其中涉及到恶意软件、病毒感染和攻击的脆弱性。

       根据托管IT服务巨头Verizon公司的2015年PCI(支付卡产业)合规性报告,有高达80%的零售商未能通过临时的PCI合规性评估。这种故障可导致一些挑战和后果,其中涉及到恶意软件、病毒感染和攻击的脆弱性。而Verizon公司独立研究的2015年数据泄露调查报告指出,数据泄露事件不断上升。在2100起数据泄露事件中,有60%确认来自违规行为,黑客能够在几分钟内渗透到受害者公司。“近几年来,几乎所有的行业都受到了越来越多的威胁,因此合规性是至关重要的。”
  
  零售部门机构并不是唯一遭受数据泄露和感染的行业,近年来几乎每个行业厂商都面临越多的威胁,因此满足PCIDSS标准的合规性,HIPAA和其他规则比以往更为重要。与此同时,相关的合规性挑战影响各种企业和组织,他们的客户和合作伙伴也同样面临着风险。
  
  当涉及到行业合规性时,会出现哪些问题?如何解决这些问题?这里有企业容易犯的三个顶级合规错误。
  
  1.未能完全理解行业规范
  
  在法规遵从中通常犯的第一个错误是,组织及其主要利益相关者对于他们受惠的指南缺乏充分理解。Armor,保护公司首席信息安全官库尔特•哈格曼指出,HIPAA法案是有一些规则和标准,可以影响制度的每一部分。如果决策者没有意识到或忽视这些准则,甚至一个细节,他们甚至可能不知道它是符不符合要求。
  
  出于这个原因,它可以帮助获得第三方的专家,可以从一个新的角度审视公司的程序和政策,并有助于发现任何差距。然而,当与任何外部组织合作时,这是至关重要的,决策者将对执行的供应商的合规性功能进行广泛的评估。
  
  2.没有对第三方IT服务提供商进行有效评价
  
  根据最近的FORTRUST白皮书,“如何应对合规性挑战,以及如何解决这些问题”是最常见的问题之一,这是IT厂商忽视对企业进行有效的评估。由于IT服务提供商继续在企业基础架构中发挥着越来越重要的作用,因此在选择合作伙伴时,企业成为了至关重要的决策者,将能够提供满足他们的需要最好的报务。同样重要的是要记住,IT供应商数据中心违规可能会影响其客户,包括监管的后果和品牌的声誉损害。
  
  当评估IT服务提供商时,这是必不可少的,以确保IT供应商的服务的业务的需求相一致。此外,其关键也要审查过去供应商的服务组合,并检查其他重要因素,包括公司的认证,符合行业标准的整体历史,以及出现安全事故时,其行业标准和政策是否到位。
  
  “考虑超出了个人的监管要求的范围,这也是很重要的,因为许多合规要求集中于特定的信息,如是否从其他的网络环境访问数据。”白皮书指出,“组织也应该考虑他们的供应商如何管理他们的设施,以及实施什么流程,以应对突发事件。”
  
  3.物理安全优先级设置过低
  
  数据泄露事件不仅发生越来越频繁,而企业受到损害的文件和数据也越来越多。而这些组织通常不太注重物理安全。尽管在虚拟环境中,通常首先企业寻求部署保护设施,以确保物理区域和组件安全是非常重要的。
  
  而出现这种问题的事实是一些企业可能过于关注合规性,他们忽略了某些必要的安全元素。哈格曼指出,当对罚款或法律后果的担忧超过合规性工作时,这个问题就经常发生。他指出,这是“一场灾难”。
  
  保持专注于合规性的关键,同时确保所有的虚拟和物理环境都得到适当的保护。FORTRUST白皮书建议使用双因素认证和生物识别扫描仪,并采取适当的访问管理等安全措施。
  
  “对可以访问物理基础设施的对象实行控制,是一个应对计算机系统和服务器的攻击威胁的首要措施,”白皮书指出,“作为现实世界的盗窃和盗窃数字之间的界限越来越模糊,物理位置和数据中心必须在这两个方面有效构筑防护堡垒。”
  
  4.未按规定审查遵守和保护流程
  
  在其他问题出现时,组织将不定期检查其合规政策和策略,这直接关系到他们的数据安全和行业合规性。随着威胁环境的不断变化,其关键是企业的安全和合规措施的转变,以解决新的漏洞,并确保基本资源得到妥善保障。没有定期的审查,企业的合规性和事件响应过程可能变得相当过时,为组织带来了更多的风险。
  
  这个问题是比较常见的,超出了许多人的想像,Verizon公司发现了一些违规事件的发生,因为这些组织从未部署可用的安全补丁。事实上,有很多漏洞存在近八年之久。
  
  而涉及到身份验证出现等问题在所有违规事件中占四分之三以上,网络犯罪分子能够获得成功,由于密码丢失或被盗,或登录安全防护环节薄弱。为了解决这个问题,IT主管应确保所有员工都使用强大安全的密码,这些凭据安全地存储,并且用户需要经常改变他们的密码,以进一步降低威胁。
  
  进行风险评估,将为组织解决可能产生的漏洞,查明和解决任何问题很有帮助。“风险评估的好处不能被夸大,”哈格曼写道,“团队不仅要识别漏洞,降低风险水平,还要实现充分的保障,更有效地分配资源。”
  
  当企业不断地检讨和改善他们的安全和合规措施,他们不仅要加强他们的保护,也要减少渗透的机会。这个讨论只触及行业合规性表面。还有一些其他因素需要考虑和最佳实践,要做到心中有数。
  
  编辑:Harris

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/201624/n246777939.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片