精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

觀點:合規不利于安全?

責任編輯:editor005 作者:王小瑞 |來源:企業網D1Net  2016-04-06 14:26:51 本文摘自:安全牛

一直以來,許多企業和安全顧問比較認可的一個安全解決方案就是合規,符合標準規定至少在某種程度上就意味著安全。

但有人認為,應該把兩者看做并列關系,而不是因果關系。或說兩者是互相影響的關系,安全可以有助于合規,合規可以是安全的副產品,但安全并不能自動成為合規的副產品。因為有時完全在合規的情況下,也可以是不安全的。

合規不利于安全?

合規是為了讓企業達到一個既定的標準,表面上給了客戶或股東一個滿足整套安全標準的樣子,其實是把每個人都拖到了一個最小的安全級別。不信就看看最近發生的 一些嚴重安全事件,無論是摩根大通還是塔吉特、家得寶,索尼影業,他們不都是宣稱自己企業的安全機制是合規的嗎?很明顯,這些案例中,要么有些人在撒謊, 要么所謂的“合規”實際上是不合規的。

合規的問題在哪里?

對 于推動合規的咨詢顧問和培訓認證行業來說,如何平衡企業的業務需求和安全機制是一個兩難的問題。這些行業是依靠幫助企業合規或說達標以獲得收入,因此當企業為了其業務需求或是成本控制,需要某種程度上的妥協時,安全隱患自此產生。同樣,風險控制管理、獨立的第三方審計和評估等工作,都有可能出現類似的情 形。

比如PCI標準規定在線金融服務需要通過ASV廠商(經認證的掃描廠商)執行互聯網環境的脆弱性掃描,但實際上在認證的掃描廠商名單上,全是付了錢并證明自己符合掃描標準的廠商。市場雖然很大,但廠商就這幾家。

這并不是在說所有的顧問公司都只想著拿到支票,而不管客戶的真實合規情況。但表面上通過合規,卻在實際審計中表現的慘不忍睹的企業并不少見。出現這種情況,要么是這些企業向顧問撒謊,要么就是顧問自己在撒謊。無論是哪種情況,安全問題沒有解決,最后吃虧的還是企業。

為什么合規不等于安全?

年度的合規審查是一個不錯的矯正問題的機會,但即使配備了外部的獨立審計,企業在平時也不能對內部真正的合規狀態掉以輕心。

大型企業在一周內就可能會有許多業務、管理方面的調整,年度的合規審計遠不能滿足動態的變化需求。把過去取得的靜態的合規認證,當作目前的合規狀態是愚蠢的。因此,要經常性的檢查內部的工作變化,并跟蹤最新的合規標準。

顧問的水準也是動態變化的,審計隊伍中經常會看到沒有幾年經驗的年輕畢業生在執行一般標準的審計。這是因為,顧問公司是要經營并贏利的,雇傭年輕的畢業生并訓練他們(一般都是相對基礎的技能),意味著人力成本的降低。

普通的顧問僅僅為了通過合規而工作,他們只想讓客戶簽字確認然后進行下一項工作。資深顧問則會絕對確保企業滿足標準,然后才會繼續。高級顧問則要確保企業超出合規標準,才算完成工作。

標準本身的問題

大多數合規標準允許限制合規范圍。比如,PCI把CDE(卡數據環境)和ISO27001作為合規標準范圍。這樣做的結果只是向第三方證明了你的合規,而不 是考慮整個環境的安全。PCI只關心支付卡的數據安全,并沒有考慮其他(這也可以理解,畢竟是支付行業寫的標準)。但問題在于,使用PCI合規標準的企業 并不是安全的。因為PCI合規只意味著企業對支付卡的數據處理和存儲是安全的,它并不負責企業客戶的其他數據安全。

理論與現實的脫節就此發生。如果企業一個較不重要的網絡被黑客入侵,那么即使保存在安全環境下的CDE中的數據,也最終會被黑客訪問到。

標準并不獎勵過分合規。大多數標準只是通過和不通過,你要么合規要么不合規。這也就意味著,企業往往只想符合最低的標準。而且標準的設計一定是大部分企業可以達到的,過高的話,人們要么不去遵守要么干脆撒謊。標準的到底應該定高還是定低一些的爭論一直就沒有停止過。

合規通常還被當作是對安全投入的回饋,企業在安全上花了錢,自然想得到一個認證標志,畢竟董事會需要知道他們的錢沒有打水漂。可實際上,這些投入僅僅是滿足 了合規標準,并不意味著安全得到了真正的改善。當然,把錢投入到純粹的安全環境上可以增加安全,但這一點很難展示給安全部門之外的人,更不用說企業的管理 者和投資者了,他們最想看到的是投入所帶來的有形的價值。

結論

現在問題來了,合規不利于安全嗎?

當然不是這樣。上文所表達的意思是:“為了合規而合規”對提高安全性的意義不大,合規不等于安全。但合規可以作為一個框架來幫助人們理解安全,指導安全工作。

點評

什么程度才是安全?這個問題太難有一致的答案。因此為了較好達成一致,合規方法有所幫助。當然,如果僅把合規作為唯一衡量準則,當然不利于安全。

合 規和安全就想體檢報告和身體健康程度,不能說體檢合格就肯定健康,相信一個沒得過重病的人也不一定體檢合格。企業安全是保障,投入就是成本,在不同行業不 同時期安全要考慮的是不一樣的,是一個常態化的過程,不是無限的投入就是好,也不是合規了就是好,從上到下要理解、支持,并要找一個平衡,從措施的有效性 來衡量。

最后,為了合規而合規是無法保障安全的,必須把合規工作作為安全的起點,不斷把技術和管理落到實處,并不斷提升員工安全意識,才能保障長期的安全。CS論壇

關注網絡空間安全(Cyber Security),解讀趨勢前瞻,聚焦管理策略、體系指引,為企業、機構安全規劃與實施提供咨詢建議。

關鍵字:安全解決方案安全投入

本文摘自:安全牛

x 觀點:合規不利于安全? 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

觀點:合規不利于安全?

責任編輯:editor005 作者:王小瑞 |來源:企業網D1Net  2016-04-06 14:26:51 本文摘自:安全牛

一直以來,許多企業和安全顧問比較認可的一個安全解決方案就是合規,符合標準規定至少在某種程度上就意味著安全。

但有人認為,應該把兩者看做并列關系,而不是因果關系。或說兩者是互相影響的關系,安全可以有助于合規,合規可以是安全的副產品,但安全并不能自動成為合規的副產品。因為有時完全在合規的情況下,也可以是不安全的。

合規不利于安全?

合規是為了讓企業達到一個既定的標準,表面上給了客戶或股東一個滿足整套安全標準的樣子,其實是把每個人都拖到了一個最小的安全級別。不信就看看最近發生的 一些嚴重安全事件,無論是摩根大通還是塔吉特、家得寶,索尼影業,他們不都是宣稱自己企業的安全機制是合規的嗎?很明顯,這些案例中,要么有些人在撒謊, 要么所謂的“合規”實際上是不合規的。

合規的問題在哪里?

對 于推動合規的咨詢顧問和培訓認證行業來說,如何平衡企業的業務需求和安全機制是一個兩難的問題。這些行業是依靠幫助企業合規或說達標以獲得收入,因此當企業為了其業務需求或是成本控制,需要某種程度上的妥協時,安全隱患自此產生。同樣,風險控制管理、獨立的第三方審計和評估等工作,都有可能出現類似的情 形。

比如PCI標準規定在線金融服務需要通過ASV廠商(經認證的掃描廠商)執行互聯網環境的脆弱性掃描,但實際上在認證的掃描廠商名單上,全是付了錢并證明自己符合掃描標準的廠商。市場雖然很大,但廠商就這幾家。

這并不是在說所有的顧問公司都只想著拿到支票,而不管客戶的真實合規情況。但表面上通過合規,卻在實際審計中表現的慘不忍睹的企業并不少見。出現這種情況,要么是這些企業向顧問撒謊,要么就是顧問自己在撒謊。無論是哪種情況,安全問題沒有解決,最后吃虧的還是企業。

為什么合規不等于安全?

年度的合規審查是一個不錯的矯正問題的機會,但即使配備了外部的獨立審計,企業在平時也不能對內部真正的合規狀態掉以輕心。

大型企業在一周內就可能會有許多業務、管理方面的調整,年度的合規審計遠不能滿足動態的變化需求。把過去取得的靜態的合規認證,當作目前的合規狀態是愚蠢的。因此,要經常性的檢查內部的工作變化,并跟蹤最新的合規標準。

顧問的水準也是動態變化的,審計隊伍中經常會看到沒有幾年經驗的年輕畢業生在執行一般標準的審計。這是因為,顧問公司是要經營并贏利的,雇傭年輕的畢業生并訓練他們(一般都是相對基礎的技能),意味著人力成本的降低。

普通的顧問僅僅為了通過合規而工作,他們只想讓客戶簽字確認然后進行下一項工作。資深顧問則會絕對確保企業滿足標準,然后才會繼續。高級顧問則要確保企業超出合規標準,才算完成工作。

標準本身的問題

大多數合規標準允許限制合規范圍。比如,PCI把CDE(卡數據環境)和ISO27001作為合規標準范圍。這樣做的結果只是向第三方證明了你的合規,而不 是考慮整個環境的安全。PCI只關心支付卡的數據安全,并沒有考慮其他(這也可以理解,畢竟是支付行業寫的標準)。但問題在于,使用PCI合規標準的企業 并不是安全的。因為PCI合規只意味著企業對支付卡的數據處理和存儲是安全的,它并不負責企業客戶的其他數據安全。

理論與現實的脫節就此發生。如果企業一個較不重要的網絡被黑客入侵,那么即使保存在安全環境下的CDE中的數據,也最終會被黑客訪問到。

標準并不獎勵過分合規。大多數標準只是通過和不通過,你要么合規要么不合規。這也就意味著,企業往往只想符合最低的標準。而且標準的設計一定是大部分企業可以達到的,過高的話,人們要么不去遵守要么干脆撒謊。標準的到底應該定高還是定低一些的爭論一直就沒有停止過。

合規通常還被當作是對安全投入的回饋,企業在安全上花了錢,自然想得到一個認證標志,畢竟董事會需要知道他們的錢沒有打水漂。可實際上,這些投入僅僅是滿足 了合規標準,并不意味著安全得到了真正的改善。當然,把錢投入到純粹的安全環境上可以增加安全,但這一點很難展示給安全部門之外的人,更不用說企業的管理 者和投資者了,他們最想看到的是投入所帶來的有形的價值。

結論

現在問題來了,合規不利于安全嗎?

當然不是這樣。上文所表達的意思是:“為了合規而合規”對提高安全性的意義不大,合規不等于安全。但合規可以作為一個框架來幫助人們理解安全,指導安全工作。

點評

什么程度才是安全?這個問題太難有一致的答案。因此為了較好達成一致,合規方法有所幫助。當然,如果僅把合規作為唯一衡量準則,當然不利于安全。

合 規和安全就想體檢報告和身體健康程度,不能說體檢合格就肯定健康,相信一個沒得過重病的人也不一定體檢合格。企業安全是保障,投入就是成本,在不同行業不 同時期安全要考慮的是不一樣的,是一個常態化的過程,不是無限的投入就是好,也不是合規了就是好,從上到下要理解、支持,并要找一個平衡,從措施的有效性 來衡量。

最后,為了合規而合規是無法保障安全的,必須把合規工作作為安全的起點,不斷把技術和管理落到實處,并不斷提升員工安全意識,才能保障長期的安全。CS論壇

關注網絡空間安全(Cyber Security),解讀趨勢前瞻,聚焦管理策略、體系指引,為企業、機構安全規劃與實施提供咨詢建議。

關鍵字:安全解決方案安全投入

本文摘自:安全牛

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
江陵县|
自治县|
汉沽区|
长海县|
巨鹿县|
山丹县|
池州市|
夹江县|
德钦县|
定兴县|
大化|
天镇县|
敦煌市|
偃师市|
广灵县|
松滋市|
麦盖提县|
汝南县|
同仁县|
凉城县|
池州市|
犍为县|
天柱县|
大丰市|
美姑县|
南木林县|
山丹县|
蒙山县|
崇阳县|
龙岩市|
兴化市|
故城县|
昌宁县|
潍坊市|
清原|
冕宁县|
洱源县|
尖扎县|
铁岭市|
宁国市|
南雄市|