Conformité ne sera pas toujours de garantir que vos informations de sécurité sont bien protégés. La sécurité est au-delà de la conformité.

Un exemple

Au cours de la dernière semaine de janvier 2009, Heartland Payment Systems a annoncé que son réseau ont été compromis et les pirates consulté leur client information.Hackers avaient accès à cœur de réseau pour plus d'une semaine.

Heartland est un des plus importants de traitement des paiements dans le monde qui traitent plus de 11 millions de transactions par jour et plus de 80 milliards de dollars en transactions par an.

Heartland PCI DSS sont conformes, mais ils n'ont pas remarqué jusqu'à ce que les activités des pirates informatiques, ils ont été alertés par Visa et MasterCard d'activités suspectes entourant les transactions par carte de traitement. Dans l'immédiat, l'action / réaction de Heratland a été de développer et End-to-End Encryption Solution. La semaine dernière, VISA Heartland temporairement retiré de sa liste de conformité PCI DSS de fournisseurs de services.

Plus de détails 2008breach

Trust fondée sécurité

Information sur les normes et les certifications de sécurité sont toujours bonnes et qu'elles aident les organisations à gagner la confiance des clients et d'obtenir des affaires. Mais le fait d'être conforme ne garantit pas que vos biens soient protégés. La sécurité est la confiance et la sécurité est compromise lorsque la confiance est perdue. Et la confiance est perdue lorsque vous perdez votre entreprise

Beaucoup de gens parlent de la sécurité pendant la annuel d'audit interne et externe. Et ils oublient que, une fois le processus de certification est terminée. Nous définissons la sécurité de l'information des politiques et des normes parce qu'ils sont obligatoires ou réglementaires ou nous avons besoin d'être en conformité.

Lors de l'exécution de l'analyse des risques pour chacun des actifs de l'entreprise d'évaluer les contrôles de sécurité, le cas échéant. Or, nous allons ajouter un nouveau s'il n'y en a pas. Mais les gens ne pensent pas au-delà du respect et de réfléchir sur le niveau de sécurité garanti par ces contrôles. Notre réseau n'est pas protégé uniquement parce que nous avons installé une solution IPS de l'un des grands fournisseurs. Nous avons besoin d'évaluer le niveau de confiance pour chaque actif (les personnes, les processus, les dispositifs et les données), avant et après le placement d'un contrôle de sécurité.

La dernière chose que l'on aimerait entendre à ce moment-là est une autre violation de données. Un contrôle continu et examen de la sécurité nous aidera à accroître le niveau de confiance pour chacun des actifs. Les entreprises ont besoin pour améliorer le niveau de confiance de leurs actifs de l'entreprise avant de demander les clients de leur faire confiance.

Disclaimer: "Que jamais je discutées ici sont mes opinions personnelles et ne représentent pas la opinions ou les positions de mon employeur ».




Plus d'informations ...