安全合规性仍然是企业的老大难

从初期的数据保护法律颁布以来:包括911事件过后,于2002年颁布的《萨班斯·奥克斯利法案(Sarbanes-Oxley Act,SOX)》以及英国和欧盟的各种法律和指导方针,合规性一直是IT业界的一个噩梦。在许多情况下,其被认为是在企业内部能够与诸多事务都能够或多或少的扯上关系,包括IT和金融财务、安全和网络、技术和管理,如此诸多繁杂的事务足以使任何IT专业人士吓出了一身冷汗。

 

例如,如此众多的合规性标准包括支付卡行业数据安全标准(Payment Card Industry Data Security Standard, PCI DSS)要求企业实施实时的网络监测,确保其机密的企业资产处于高安全水平,并要求审计人员提供符合审计要求的网络合规审计报告。

在英国米尔顿·凯恩斯(Milton Keynes)地区委员会IT团队最近的一次会议上,一个被反复拿出来讨论的议题便是安全合规性的问题。地区委员会显然会定期的受到政局改选的影响,但在最近的大选结果公布之前,这些变化所带来的潜在影响则是未知的,而安全合规性也会受到政治局势的影响。那么,谁应该为此负责呢?

“这对组织机构而言无疑是一个相当巨大的问题。”米尔顿·凯恩斯地区委员会首席IT工程师马丁·希顿说。

“从某种意义来说很容易——每一个人都在努力降低运营成本,但是现在我们已经走到一个十字路口:鉴于成本是如此重要,就要搞清楚究竟应该由谁来把握和控制这一战略性问题?我是否愿意为遵守这些合规安全性付出更多成本代价来换取更好一点的IT访问体验,并使用IT服务以便能够有足够的灵活性随需求进行相应的改变?”

希顿还指出了该委员会曾遭遇过的PSN合规性方面的问题。为了连接到新的公共服务网络(PSN),地方议会以及其他政府部门必须确保他们的安全连接符合由英国内阁所颁布设置的代码连接规定。

欧盟法规

但企业或组织机构的IT部门需要处理和应对的远不仅仅只是英国政府机构所颁布的各种合规性监管规定,他们还必须处理由欧盟组织所发布的各种规定。欧盟最新的数据保护法规也将带来一系列的问题,根据一家专注于云安全的企业Skyhigh Networks公司的欧洲发言人Nigel Hawthorn介绍说。

Hawthorn表示说,欧盟最新的数据保护法规将对所有曾收集了欧盟公民和居民数据的企业产生影响,而如果一旦违反,其严厉的制裁使得用户有权对企业丢失消费者私人数据提起赔偿,包括集体诉讼,还可能使企业面临被处于高达全球收入5%的违规罚款。

在这种情况下,相关的责任也延伸到了要求数据控制者们对于安全合规性的严格遵守——内容的所有者和数据的处理者的:如云供应商,对于数据保护也负有较重的责任。Hawthorn认为,相关的监管规定也充分考虑到了利用技术手段可以帮助保持数据的安全。并指出,如果数据被特别标记或“化名”是为满足个人对于数据隐私的合理期待。

“这对企业来说是好消息,因为它允许企业在将数据上传到云之前对其实施加密或特别标记,假设他们把加密密钥保管在企业内部的话,那么,即使数据丢失,也不会酿成太大的灾难。”他说。

另一个大问题是,当涉及到好几方都受到影响时,究竟谁应该担负起责任?例如,Hawthorn就指出了最近涉及到服务供应商TalkTalk公司的数据泄露事件,在该事件中,因为供应商因的数据泄露导致TalkTalk的客户数据被曝光,迫使该电信公司采取法律行动。

但这种情况在现如今可谓司空见惯了。这迫使企业的IT部门需要努力了解第三方供应商必须遵守哪些安全和合规标准,以及相关的数据最终去了哪里。Hawthorn说,在TalkTalk公司的案例中,其供应商有权限访问其客户的个人信息,但TalkTalk并不知道这些客户数据信息已经被提取,直到他们的客户反馈说总是收到电话骚扰和试图进行欺诈交易。

云计算和外包

一般而言,云计算和外包已经为企业遵守安全合规性带来了越来越多的压力。英国解决方案销售商CA Technologies的高级总监Paul Briault指出,软件即服务(SaaS)应用程序所涉及到得企业的敏感或机密数据可以说是另一大主要问题。

据Briault看来,SaaS或应用程序外包提供商通常未能很好的解决关于企业客户的机密数据或私有数据所涉及到的相关法律风险等重要问题:数据存储在何处,或者其是如何传播的。这可能会导致危险的合规性缺口和潜在的法律成本。在这种情况下,要求第三方和最终用户要敢于大胆的向他们的云服务提供商提问棘手的问题,以解决遵守合规性和安全问题。

“一个很好的起点将包括提问了解:谁有权访问数据和平台,数据中心的具体地理位置,该企业需要了解任何具体国家的相关立法规定,以及一旦数据泄露问题发生,该机构需要遵守的任何具有法律约束力的规定。”Briault说。

SolarWinds是一家具有网络管理权限的软件公司,但该公司现在越来越注重合规性。SolarWinds公司的安全主管Mav Turner说,他们现在所面临的不断增加的问题,所有不同的数据源整合在一起的合规性。

“对于数据信息有很大的需求,而性能数据加上安全性,无论其是防火墙的日志,或是来自Apache服务器或任何其他来源的数据,企业均需要将这些数据通过入侵检测(IDS)和入侵防御(IPS)系统将他们整合在一起,关联数据寻找漏洞,无论其是在Web服务器或其他地方。”他说。

Turner补充说,由于需要与其他终端保护系统、服务器、和任何运行系统日志的设备连接,整合仅仅只是起点。然而,他认为,好消息是,很多人不只是简单的找到“勾选框”了,他们也开始明白理解需求的严重性,他描述说“如果我要投资增加安全性,那么这不只是让企业内部管理团队运行一个报告”。换句话说,这其中既有业务责任也会有技术责任。

“遵守法规是没有恶意的。我们的目标不是创造难以管理的开销,但企业必须重新优化,并确保相关的资源和时间用得其所,因为这不再是一个选项,“Turner说。

合规性准则指南

Good Practice Guide (GPG) 13是另一项英国的长期合规性指南,同样为企业的IT部门带来了大量的工作,根据SolarWinds的经销商Kenson公司的Glen Kershaw介绍:GPG 13是重点关注保护监测,包括IDS和IPS,以及日志和日志分析的政策。Kershaw声称,40%的客户正在寻求探索他们的合规性战略的下一个步骤,无论是涉及风险水平和管理水平。

“我们有很多客户要求我们为GPG 13提供解决方案,以方便他们能够安装软件和继续发展。”他说。但他认为,更重要的是要建立一个专门处理安全性的工作团队。

“我不相信单独由一个人来负责是可能的。企业有专门的IT部门,那么其他服务于客户的安全团队则取决于公司的规模,也许对中小企业部门而言会依赖于软件;而对于那些高端企业则依赖于特定的个人。”Kershaw说。

对于监测现有准则在细节水平方面的日益提高,并注重实时分析,也是另一个消耗IT时间的重要方面。用来测试漏洞和测量合规性的典型的方法是使用漏洞扫描,安全合规性解决方案提供商New Net Technologies公司的首席技术官Mark Kedgley说。

但是,他说,有两个问题的方法:首先,扫描只是合规性的快照,并不会被检测到的扫描之间的,使系统容易受到攻击,直到下一次计划的扫描。另一个主要问题是,一台扫描仪是盲目的初始威胁(zero-day threats),并没有提供任何文件完整性监控,以检测违规活动。Kedgley认为,不停的文件完整性监控是提供持续的合规性评估和实时检测违约的唯一办法。

例如,BCH数字化,交互式语音应答(IVR)呼叫管理服务供应商BCH Digital公司,就需要确保其电话卡支付业务的合规性。

BCH Digital公司的一名技术经理克里斯·约翰逊说:“PCI合规性要求企业必须确保对各种文件的跟踪和系统的监控到位。而在寻找功能全面、易于使用、且可以很容易地集成到我们的系统的跟踪软件以帮助我们实现PCI合规性方面,我们面对的是一个难以逾越的障碍。”

在试用了几种不同的软件解决方案之后,BCH Digital公司选择采用了New Net Technologies的变化跟踪解决方案(Change Tracker solution)。这里的关键是,合规性跟踪不仅仅只是一个“必须有”的标记复选框,而是实际上有助于企业的业务拓展。

“展望未来,我们相信,我们将继续通过PCI-DSS审核,并继续保持兼容。”约翰逊说。“这是我们保持客户和业务持续增长的一个关键组成部分。”

可以肯定的是,遵守合规性和相关准则指南不会简单地消失,反而还会将进一步优化和调整。

然而,同样明显的是,这对于软件企业是一个巨大的市场机会:越来越多的解决方案以及相关的专业知识迎来市场机遇将成为可能。同时,现有的解决方案将会被优化改进。至于企业IT部门,他们会越来越需要保持与企业其他如行政管理,安全,金融财务等部门紧密合作。

作者:litao984lt

来源:51CTO

时间: 2024-10-27 14:08:27

安全合规性仍然是企业的老大难的相关文章

Verizon PCI报告:防火墙合规性、安全测试是主要问题

托管IT服务巨头Verizon指出了导致商家未能满足PCI DSS合规的两个关键问题领域. 日前,Verizon透露了其备受期待的年度报告中的内容,这份报告对Verizon Enterprise Solutions在过去三年期间执行的数千次PCI DSS合规性评估的结果进行了分析. "照常营业"PCI合规被证明很困难 根据Verizon表示,2015年的数据表明大多数商家都在艰难地维持全年PCI合规性.该公司称,在通过审核后的不到一年时间内,只有不到三分之一的企业保持完全的PCI合规性

Commvault王波:企业数据备份的四个方面

在经济全球化和信息化浪潮助推下,大数据已成为当今企业发掘更多商业价值的重要推动力.企业要想在数字经济时代中脱颖而出,就必须制定完整的数据保护策略,深度挖掘数据价值. 但是,数据是一把双刃剑,在给企业带来商业价值的同时,也面临着黑客.恶意及勒索软件等一系列数据安全威胁.根据亚信安全发布的勒索软件风险研究报告,从2015年9月到2016年6月,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍,勒索软件呈现日益严峻的威胁形态.一旦发生灾难,企业数据安全就无法保证.因此,数据备份

谷歌 vs 苹果:企业市场Android能否硬一把?

尽管在智能手机领域,谷歌 Android 已经占据主导地位,并且拥有极高的市场份额,坐收丰厚的利润.不过,谷歌似乎已经忽略了企业领域同样需要移动设备,需要应用程序和服务.此前,全球最具权威的 IT 研究与顾问咨询公司 Gartner 发布报告称,2014 年全球 IT 支持达到 3.7 万亿美元,而且越来越多的支出正逐步转向智能手机.平板电脑以及应用程序和服务的支持. 众所周知,黑莓曾主导企业市场很多年,但其未能抓住更广阔的的消费级市场,导致最终灰飞烟灭.近几年,一种称为"携带自己的设备办公(B

Exchange Server 2010学习(七)多邮箱搜索找出神秘邮件的出处

铃---.半夜中被一阵急促的手机铃声吵醒,年度服务客户打来电话需要进行邮件的排查和删除工作.问其原因,原来是组织中有人发了一封关于领导的不健康的邮件,并在企业内部进行了转发,领导要求立即找出此类邮件并进行删除.管理员深知领导的暴脾气,不敢怠慢! 其实找出有问题的邮件进行删除并不难,利用Exchange Server2010提供的多邮箱搜索功能就可以实现.此功能使用的是由 Exchange 搜索创建的内容索引,来提供对整个组织内所有或者是指定范围内的邮件内容进行搜索能力,以满足类似于法律法规等合规

全球调研:自动化发展普及势不可挡

BMC Software委托了Forrester Consulting针对IT自动化的相关安全问题进行了一次全方位的调研,此次调研得到的新发现对全世界的CIO们发出一记预警. 越来越多的IT部门已经开始通过自动化技术进行了效率上的提高并且大大降低了人为失误.比如,随着中国商业竞争的愈演愈烈,各大企业面临着需要在缩减开支的基础上同时需要更为高效的工作效率这一压力.有51%的中国受访者们认为,对IT部门整体效率的提升将会成为IT部门在2012年度的关键任务.然而,在对全世界展开的调查结果表明,绝大多

Radware 9大方法为云安全保驾护航

无论企业是否已经将部分或全部基础设施迁移到了云端,或是仍在考虑是否要迁移到云端,企业都应该认真考虑安全性问题.很多时候,企业都在使用云服务提供商所提供的一定程度的安全防护,但却没有采取相应措施,以保证云端应用和数据具有与托管在数据中心的数据一样的安全性. 云技术的范围之广生成了一系列的新安全挑战.从在混合环境中协调安全策略,到密切注意云合作租户,这其中有太多需要关注的地方.日益复杂的攻击现状只是让问题更加复杂,需要敏感性高且能够不断适应变化的安全系统才可以缓解这些复杂攻击.以下是Radware为

Blue Coat 拓展安全行业最大的加密流量管理协作组织

Blue Coat,今天宣布七家新合作伙伴加入到 Blue Coat Encrypted Traffic Management(ETM,加密流量管理)Ready 计划,合作伙伴总数达到 17 家.这 17 家领先的安全供应商构组了最大的行业协作组织,旨在帮助客户发现并抗击加密流量中隐藏的威胁,同时保护隐私和确保合规性.ETM Ready 计划启动于 2015 年 3 月,旨在对 Blue Coat 技术联盟合作伙伴进行准备和认证,以将 SSL 可见性解决方案整合到 Blue Coat 架构中,从

澳大利亚着手出台《数据泄露通报制度》敦促安全建设

澳大利亚的2017年隐私权修正(数据泄露通报)法案标志着信息安全立法的一大里程碑.整个技术行业又一次对有无必要进行法律干预开展争论!RSA的彼得·特兰立足于全球视角对澳大利亚新出台的强制性数据泄露通知方案作出评论. 截至目前,包括澳大利亚在内的全球约90个国家出已台了信息安全相关法律法规,而其严格程度.执行方式以及处罚力度亦各不相同.目前美国约47个州拥有自己的安全违规通报法,尽管尚未在国家层面引入统一的法律要求.但大多数数据泄露事件仍然未被及时发现与报告. 信息安全相关法律关注的重点不再应该是

肖钢上任一周年治市蓝图清晰:转型和改革并重

到今天,被誉为"坐在火山口上"的证监会主席一职,肖钢坐了整整一年.在肖钢上任之初,有人这样描述:从北京西单路口西北角皿a href="http://zdb.pedaily.cn/Enterprise/中国银行/" target=_blank>中国银行总部,到证监会所在的金融畿/a>富凯大厦,他的办公室向西北位移了1.4公里,管辖范围却从一宿a href="http://news.pedaily.cn/industry/银行/" tar