遵守信息安全法规应该是最新的迭代PCI DSS(支付卡行业数据安全标准)所说,“一切照旧。”
但许多组织感觉淹没在这样的海洋法规不断遵守他们都不给他们太多的时间来运行他们的业务。
确实合规框架的数量,大多数针对具体行业但有时重叠,一个字母汤量可以使IT经理的眼睛呆滞之前开始看小字。
最著名的,因为它影响信用卡安全(有很多引人注目的漏洞在零售业),PCI DSS。但不胜枚举…等等。
有袜(萨班斯奥克斯利法案),旨在保护投资者从会计欺诈;HIPAA(健康保险携带和责任法案)保护个人身份信息(PII)在医疗保健;NIST(国家标准与技术研究院),负责产业;NERC(北美电力可靠性公司)对能源供应商;FISMA(联邦信息安全管理法案》),适用于联邦机构;呈文(公平和准确的信贷交易法案》),旨在防止身份盗窃;ISO 27 k,它提供了最佳实践建议信息安全管理;和更多。
业内人士感到意外的是,很多组织并没有跟上。
Verizon的”2015年合规和安全报告,“本月早些时候发布的报告一个好消息——合规审计之间平均增加了18%在11 12的要求。
+同样在网络世界有个足球雷竞技app7最大的IT合规头痛和cio如何治愈他们+
但在许多情况下,这意味着从一个非常低的酒吧。公司验证兼容的百分比在他们的临时报告增加了9%,但这只提高这一比例提高到20%。
其他调查显示类似的目标和现实之间的差距。一个DataMotion调查发现,约四分之三的受访者表示,他们的员工偶尔违反合规和安全政策,他们中的许多人故意这样做,这样他们就可以完成他们的工作。
另一项调查Proficio,发现只有43%的受访者说他们符合PCI DSS 3.0标准,当他们成为强制性的1月1日,尽管90%的人认为他们会在六个月内兼容。
为什么差距?有些人称之为合规疲劳。根据克雷格•艾萨克斯的首席执行官统一的合规框架,“合规已经失控,和我们期待安全法规和标准越来越严格的未来一年。大多数组织都不知道实际上是要求他们,因为他们没有办法看到所有的需求,”他说。
丰富Mogull Securosis分析师兼首席执行官说,这并不是什么新鲜事。“这是至少10年,也许更长时间,”他说。“人们一直在抱怨因为袜(2002年),和一些CISOs 30%或者更多的时间处理合规问题。”
和许多较小的组织只是模糊地意识到PCI DSS与否。特洛伊Leach,首席技术官的PCI SSC(安全标准委员会)说政治报去年秋天,区域经销商的销售点(PoS)系统遭受多个漏洞,”当被问及PCI遵从性,从来没有听说过。”
缺乏故障所在的遵从性是一个有些争议的问题。Mogull,他一直在严厉的批评PCI DSS在过去,调用框架,“卡品牌的方式将风险在商人和付款处理器。
“小型企业不应该理解它,”他说,“特别是其中大部分是完全外包他们的支付系统。这些供应商的问题,需要了解它。”
但其他人认为,信用卡提供商系统中只有一个玩家,和改善安全需要一个来自每个人的投资,各级。
“许多商人希望信用卡公司修复系统,不管这意味着什么,”安东Chuvakin说,在Gartner研究主管、安全与风险管理技术的专业人士。“我的问题是:‘好吧,你会,商人,愿意芯片?毕竟,你的利益相关者。“直到现在,答案是“不,在我的经验。”
朱莉·康罗伊Aite Group的分析师表示,不满合规是可以理解的。“这是昂贵的,很枯燥,没有收入,”她说。“在业务方面,许多人仍然认为安全考虑一个烦人的障碍快速投放市场的时间。”
但她补充说,尽管商人不喜欢责怪被放置在他们违反,“事实是,商人就是数据驻留在当前模型,和妥协在哪里发生。”
她和其他人也说合规是小巫见大巫的头痛那些会引起的重大违反。她从一个最大的玩家提供了一个示例业务——苹果。
“我与银行的安全人不纳入讨论苹果支付发射,直到最后一刻。结果:欺诈率几乎是行业平均水平的80倍,”她说。