Overholdelse vil ikke altid garantere, at dit informationssikkerhedsproblemer aktiver er godt beskyttet. Sikkerhed er uden overholdelse.

Et eksempel

I den sidste uge af Januray 2009, Heartland Payment Systems meddelte, at deres netværk er blevet kompromitteret og hackere adgang til deres kunde information.Hackers haft adgang til Heartland's net for mere end en uge.

Heartland er et af de største betaling processor i verden, hvor mere end 11 millioner transaktioner om dagen og mere end $ 80 milliarder i transaktioner om året.

Heartland blev PCI DSS-kompatibel, men de gjorde ikke mærke den hacker-aktiviteter, indtil de blev advaret af Visa og MasterCard af mistænkelig aktivitet omkring forarbejdede kortet transaktioner. Den umiddelbare indsats / svar fra Heratland var at udvikle og end-to-end kryptering Solution. I sidste uge, VISA midlertidigt fjernet Heartland fra sin liste over PCI DSS kompatible tjenesteudbydere.

Flere oplysninger på 2008breach

Trust baseret Sikkerhed

Informationssikkerhed normer og certificeringer er altid godt, og de hjælper organisationer med at vinde kundernes tillid og få erhvervslivet. Men det at være kompatibel ikke garanterer, at din virksomhed aktiver er beskyttet. Sikkerhed er tillid til, og når sikkerheden er i fare tillid er tabt. Og når tillid er tabt du mister din virksomhed

Mange mennesker taler om sikkerhed i forbindelse med den årlige interne / eksterne revision. Og de glemmer, at når certificeringsprocessen er forbi. Vi definerer informationssikkerhed retningslinjer og standarder, fordi de enten er obligatoriske eller lovgivningsmæssige eller vi bare skal være i overensstemmende.

Når der udføres en risikoanalyse for hver virksomhed udtager vi evaluere den eksisterende sikkerhedskontrollen, hvis en sådan findes. Eller vil vi tilføje en ny en, hvis der er ingen. Men folk normalt tror ikke, ud over overholdelse og tænke på det niveau af sikkerhed er garanteret af disse kontroller. Vores netværk er ikke beskyttet, bare fordi vi installeret en IPS-løsning fra en førende leverandør. Vi er nødt til at evaluere den tillid plan for hvert enkelt forretningsområde aktiv (mennesker, processer, udstyr og data), før og efter markedsføringen af et security-kontrol.

Det sidste, nogen vil gerne høre på dette tidspunkt er en anden data brud. Ordentlig overvågning og continious sikkerhed revision vil hjælpe os med at øge graden af tillid til den enkelte virksomheds aktiver. Virksomhederne er nødt til at forbedre tillid niveau af deres aktiver før beder kunder at have tillid til dem.

Disclaimer: "Hvad nogensinde jeg drøftet her er mine personlige meninger, og de repræsenterer ikke udtalelser eller holdninger, som min arbejdsgiver ".




Mere ...