与信息安全法规的合规性应该是,作为最新的迭代PCI DSS(支付卡行业数据安全标准)称其“照常营业”。
但是,许多企业感觉他们在法规不断符合他们都没有给他们太多的时间来运行他们的业务通常这样的海洋淹没。
合规框架,大多数针对特定行业,但有时重叠的,量的字母汤,可以使IT经理的目光呆滞,甚至前开始看印刷精美的确实数目。
最有名的,因为它会影响信用卡的安全性(并且已经在零售行业已经让很多高调的破坏),是PCI DSS。但是,这样的例子不胜枚举......而上。
萨班斯奥克斯利法案旨在保护投资者免受会计欺诈;HIPAA(健康保险可携性和责任法案)在医疗保健中保护个人身份信息(PII);美国国家标准与技术研究院(NIST),监管工业;能源供应商的NERC(北美电力可靠性公司);FISMA(联邦信息安全管理法案),适用于联邦机构;《公平准确信用交易法》,旨在防止身份盗窃;ISO 27K,提供关于信息安全管理的最佳实践建议;和更多。
让业内人士感到意外的是,许多组织并没有跟上。
Verizon的”2015年合规与安全报告”本月初公布,报告做了一些好消息 - 审计之间的达标率跨越的12项要求11平均增加了18%。
+也在网络世界足球竞猜app软件IT遵从性的7大难题以及cio如何解决它们+
但在很多情况下,这意味着起点很低。在中期报告中被确认为合规的公司比例增加了9%,但这一比例仅上升到20%。
其他调查显示,目标和现实之间也存在类似的差距。一个DataMotion调查调查发现,约四分之三的受访者表示,他们的员工偶尔会违反公司的合规和安全政策,其中许多人是在知情的情况下这么做的,这样他们才能完成工作。
另一项调查当他们在1月1日成为强制性标准时,只有43%的受访者说他们达到了PCI DSS 3.0标准,尽管90%的人认为他们将在6个月内达到标准。
为什么差距?有些人称之为依从性疲劳。Unified Compliance Framework首席执行官克雷格•艾萨克斯表示:“合规已经失控,我们预计未来一年安全法规和标准将变得越来越严格。”大多数组织都不知道实际需要他们做什么,因为他们无法一次看到所有的需求,”他说。
Securosis分析师兼首席执行官里奇•穆格尔表示,这不是什么新鲜事。他说:“这种情况至少已经持续了10年,甚至更长时间。”“自从SOX法案在2002年生效以来,人们就一直在抱怨,一些CISOs花费了30%或更多的时间来处理合规问题。”
许多较小的组织对PCI DSS只是模糊的认识,或者根本不知道。PCI SSC(安全标准委员会)的CTO Troy Leach说政治报去年秋天,该地区经销商的销售点(PoS)已遭受多破坏系统“当被问及PCI合规,从来没有听说过的组织。”
没有遵守规定的过错在哪里,这是一个有争议的问题。Mogull过去曾严厉批评PCI DSS,他称该框架是“信用卡品牌将风险推给商家和支付处理商的一种方式”。
“小企业不应该必须了解它,”他说,“尤其是因为他们中的大多数完全将支付系统外包出去。”这些供应商是重要的,需要了解它。”
但也有人认为,信用卡供应商只是系统中的一个参与者,提高安全性需要所有人、所有级别的投资。
“很多商家希望信用卡公司,以‘修复系统’,知道是什么意思,”安东·丘瓦金,研究总监,安全和风险管理Gartner公司的技术专家说。“所以我的问题是:“OK,你会,商人,愿意芯片?毕竟,你是尽可能多的在这个利益相关者的。以我的经验”到现在为止,答案是‘不’。”
分析师爱特集团朱莉康罗伊表示,与合规的无奈是可以理解的。“它是昂贵的,unsexy,并且不产生收入,”她说。“在商业方面,许多人仍然认为安全的考虑令人讨厌的障碍快速的上市时间。”
但她补充说,尽管商家不喜欢因为数据泄露而被指责,“但事实是,商家是数据驻留在当前模型中的地方,也是妥协发生的地方。”
她和其他人还表示,合规性的头痛都是未成年人与那些将通过的一个重要突破口引起的比较。她提供了从在业务最大的球员之一的例子 - 苹果。
“我和一些银行谈过,他们的安全人员直到最后一刻才参与到有关Apple Pay发布的讨论中。其结果是:欺诈率几乎是行业平均水平的80倍,”她说。