人們已經看到，對合規性等同于安全性的過度依賴是許多公開報道的重大數據泄露事件的共同原因。一家大型零售商在采用了一種不太理想且成本更低的無線身份驗證之后，對外泄露了9000多萬張信用卡和借記卡信息。美國一家州政府丟失了該州75%的納稅人敏感數據，然后抱怨美國聯邦政府沒有要求數據加密。

 

 

網絡安全和合規都是復雜的職能領域，通常是超負荷工作和人手不足的專業團隊的責任。需要企業員工和他的同事在如何完成工作的問題上達成一致意見。

 

無論人們認為網絡安全更像是一門藝術還是一門科學，關于網絡安全唯一明確的是，有保證的解決方案往往需要澄清。與其相反，合規性更像是光譜科學的一端，因為證明遵從規定的授權往往更像是一種非黑即白、幾乎沒有灰色地帶的活動。

 

 

這種更直接的證明合規的性質有時使它被輕蔑地描述為一種復選框練習，這往往是一種不公平的貶低，因為從外科手術到飛機飛行之前的檢查再到安全檢查，檢查清單在非常關鍵的情況下被廣泛依賴。檢查表的可重復性可以更容易地驗證或確認企業是否遵守特定的規則或目標，無論是由政府法規還是整個行業的通用標準。

 

一項關于清單有效性的醫學研究表明，清單可能存在脫節的地方：清單本身是一種工具，而不是目標本身。在網絡安全領域，控制的檢查表及其推薦或需要的配置是工具，而不是目標。合規性領域有時可能過于關注在評估階段避免特定控制的失敗，從而有可能錯過如何保護企業持有的數據這一更廣泛的目標。

 

 

在過去的二十年，在試圖彌合安全性與合規性差距方面不斷改進的一個標準是支付卡行業數據安全標準(PCIDSS)，該標準專為跨多個垂直領域處理信用卡的組織而設計。當前版本于2022年初發布，直到2024年才生效，這可能是自從這一標準近20年前首次推出以來最主要的更新。

 

這次更新中的許多變化都是由現實世界的事件驅動的。過去最少7個字符的密碼現在最少達到12個字符。云計算和無服務器計算等最近的技術創新領域得到了更多的關注。通過NDR或XDR功能實現網絡可見性的重要性反映在網絡安全控制和檢測惡意軟件的需求中。“可見性”不再僅僅是關于日志，它一直是環境中動作的跟蹤指示器。也許最重要的是，在這一修訂版中，鼓勵將安全性視為一個連續的過程，而不是某個時間點的驗證度量。

 

有了這一最新的行業標準，就能認識到當今現實世界的挑戰，人們能指望永遠不會聽到一個完全符合PCIDSS的企業在未來發生網絡安全漏洞嗎?當然不能。

 

這就是應該開始驅散迷霧的地方：當從合規性的角度考慮標準和法規時，在將它們映射到安全問題時，它們應該被視為絕對最低的限度。合規性通知安全性，特別是圍繞這兩個功能所需的技術控制，但是合規性從來沒有被設計用來取代安全性。

 

 

具有安全意識的企業在其安全成熟之旅中已經進一步弄清楚了這種區別。實現這一目標的最快途徑是確保安全、合規、法律和高管之間圍繞可見性和風險接受的對話得到積極鼓勵和支持。如果沒有這種持續和透明的溝通，“安全”很容易看起來像是在核對合規性——這是企業在安全之旅中不成熟的一個重要跡象。這似乎令人滿意，直到發生網絡攻擊，此時安全團隊將站在對任何有缺陷的工具和實踐負責的前沿。

 

無論是行業還是政府實施的標準和法規，要跟上現實世界的發展，都一直是并將繼續面臨挑戰。安全團隊生活在這個快速變化的世界中，而居心不良者通過創新來實現他們的目標。

 

把安全性與合規性的關系想象成大多數人都經歷過的重要的成年儀式：十幾歲的孩子第一次通過駕照程序，就像頒發駕照之前進行的筆試和路考一樣，合規標準涵蓋了基本內容，但并沒有完全考慮到司機可能遇到的交通擁堵、惡劣天氣等挑戰。標準是必不可少的，但不能涵蓋所有可能性——這正是事件響應人員每天在網絡安全中所經歷的。

 

不要成為那種把自己的帽子掛在“合規=安全”謬論上的企業。要意識到標準和規定是有用和重要的，但它們也可能過時。企業需要確保安全性和合規性團隊定期溝通，并開展密切合作。企業至少每年審查和執行事件應變計劃，不要害怕在外部尋找精通安全性和合規性的合作伙伴，他們可以縮短識別差距所需的時間，并在正在進行的風險評估工作中提供有價值的指導。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。