合规:我不能理解一些安全专业人员,特别是不会每日
或甚至每时处理问题的首席信息安全官(CISO)。如果公司要遵从的不是支付卡行业数据安全标准(简称PCI DSS),那么可能是HIPAA法案、GLB法案、萨班斯法案或是许多其它私有和安全法令之一。保护企业的数据很必要,同时也要保证企业履行合规的要求。
所以CISO如何才能正确地管理合规?CISO需要有什么样的关键管理过程、优先级排序和心态,才能确保信息安全团队能让企业满足合规要求?本文我想介绍可能有助于你获得成功的四个方面。
你的口头禅:保护数据
首先,记住作为CISO你的角色是公司信息安全的代表。不管是什么特定的合规要求,你的首要工作是保护公司的数据,并且还要保护你的员工、厂商、顾客和你的股东。
如果你查看关键合规指导方针——包括PCI DSS、HIPAA或是NERC要求——其核心的主题都是保护系统、数据和防止数据丢失。基本上大多数合规要求的基本原则是维持“CIA”:即数据和系统的保密性(confidentiality)、完整性(integrity)和可用性(availability)。
了解管理合规的要求
其次,了解你必须遵从的合规要求。阅读并研究它们,并且对照它们进行自审和评估。掌握关于这些法令的相关解释、裁决和新闻最新动态。例如订阅关于PCI DSS、HIPAA或NERC的新闻,或者创建Google Alert,了解关于信用卡安全,或是任何和你行业最相关的新闻。通过了解要求和保持对这些主题的行业交流,你将能够对可能会影响公司合规状态的决策结果更了解。
你还可以通过使用行业评估检查列表(用于指导变更管理或者架构评审)来了解要求。确保对系统的变更——即使是那些和合规主题没有直接关联的——不会使数据或系统面临潜在的危险。
安全学习
和安全意识
作为CISO,我坚信员工是公司的第一道防线。要确保员工和承包商意识到他们的行为,或者不作为可能会导致数据泄露或违规的情况。那么,你如何传达这些信息呢?
第一步是查看业务过程,并且推断在数据流和系统操作中因为没履行特定的要求而导致违规的地方。使用这些信息,花时间对关键员工进行学习
,并且进行责任定位以保护信息安全。
例如,就PCI DSS法案来说,一个潜在的薄弱区域是在销售点终端机处理信用卡数据。恰当的方法(并且甚至是PCI DSS要求的)是花时间向面对客户的员工——或者至少制定一些基于计算机的学习
或员工安全意识手册——解释处理信用卡的正确和不正确的方式,例如不要复制信用卡号。
在这方面的其它方法还有指导开发重要Web应用的员工进行测试和数据校验,或是学习
所有便携式电脑用户如何在外出旅行时安全防护他们的机器。
换句话说,要经常学习
和指导员工了解采取某些行为的原因,以及如果数据没有得到恰当地保护会给公司名誉和员工带来的影响。
了解根源
如果发生事故,该事故可能会让公司的法规遵从受到质疑,所以必须花时间和精力来理解事故的根本原因。不要只是掩盖征兆,要真正地理解发生了什么和为什么会发生。然后花时间思考补救措施,来解决问题和防止事件再次发生。确认和追踪这些补救措施确实完成。
这个方法也将有助于你与监管人员及合规监督者沟通。通过了解你的问题和事件,你会阐明你不想让错误发生和你愿意付出时间和努力来防止问题再次发生。如果到了罚款或处罚的地步,如果你一直和监管者保持坦诚,他们很可能会宽大处理。
持续的压力
作为CISO,我经常对我的安全团队同事说,我们最重要的工作是持续关注公司合规和数据安全。不幸的是,这可能并不容易实现,并且有时还具有挑战性,但是你需要保持这个压力来保持和提高你所在企业的安全状况。