各种网络攻击,并提供了保护信息系统的步骤。
各机构必须努力满足各种合规标准和要求,尤其是在实施新系统以支持更新的应用程序、替换旧的、老化的系统或实施新功能的过程中。除非机构制定了强有力的计划来理解和实施这些要求,否则它们可能会不合规并给机构带来网络安全风险。
在最近的一次采访中,QTS 公司企业 IT 和安全副总裁 Kurt Manske 分享了如何通过“一对多”方法来满足合规性要求并注重与服务提供商建立有效的工作关系,从而帮助机构更好地管理合规性要求并应对新的威胁。
将风险与合规性结合起来
Manske 建议,除了满足基本合规标准之外,还应考虑其他问题。每个组织都有独特的风险状况,基本合规标准必须与针对组织风险状况的具体努力相辅相成。“不幸的是,基本标准只是确保技术安全努力的一部分。如果想有效运营合规系统(包括云端系统),每个组织都需要付出更多努力,”他说。
简化合规性和安全性
每个组织都应确保通过考虑合规标准中可能重叠的要求来简化合规工作。
例如,如果某个联邦机构需要遵守 FedRAMP 的云服务要求,而且由于电子商务交易,他们还需要遵守支付卡行业 (PCI) 的要求,那么他们需要努力找出两个标准的要求重叠的地方,并实施一个能同时满足这两个要求的单一做法。
Manske 建议任何组织都应以“一对多”合规方法为目标,因为它可以减少实施时间和管理合规工作的时间。
各机构应警惕不同标准指南之间的细微差别,并确保他们了解如何解释和实施这些标准。
“许多合规计划都有某种监管监督组织,或者有一套明确的通用标准,规定了在 IT 环境中如何遵守或执行这些标准。这些标准和期望通常定义明确,但也可以是非书面的。重要的是,当您执行“一对多”监管合规方法时,机构必须牢牢掌握这些期望,以了解合规期望是什么。与监管机构和/或服务提供商建立良好的工作关系可以帮助您应对这些挑战。”
如果机构不了解这些差异,则可能导致严重的不合规和安全问题。在您的组织牢牢掌握不同的监管期望后,您将能够更好地开始以“一对多”的方式协调标准。您的服务提供商可以为这些准则提供额外的建议
转化为关系
了解合规性要求后,就该向服务提供商传达您的需求了。这不会是一次性的对话。现实情况是,网络安全威胁和做法会随着时间而变化——甚至每天都在变化。
“与服务提供商建立密切、沟通的关系非常重要,”Manske 说道。“这样,你们就可以共同努力实时解决安全问题和威胁。”
在考虑为您的技术寻找服务提供商时,Manske 鼓励企业内 喀麦隆电话 提出以下问题并进行积极的对话:
• 您的组织如何保证您在日常工作中确保安全?
• 从运营角度来看,您如何推动所做工作的安全性?
• 您如何在产品开发中提高安全性?
• 您如何在项目管理实践中提高安全性?
对话不应只涉及机构领导。除了技术运营负责人参与与服务提供商的对话外,您还应让机构的安全负责人、审计负责人和合规负责人参与进来。“机构的信息安全负责人需要在服务提供商处找到一个可以建立信任关系的人——一个可以就安全问题进行专业讨论的人。审计和合规也是如此。这些关系对于代表组织和提供商双方管理风险至关重要。”
一旦开始对话,就要随着情况的变化而继续下去。清楚地传达贵机构的目标和进展,无论是迁移到新的云平台、保持合规性要求还是掌握不断演变的网络威胁。
管理公共部门的网络威胁涉及许多方面。遵守合规标准和要求应是重中之重,但重要的是要记住另一个关键因素:您的机构用来对抗不断发展的网络威胁的人员和关系。稳固的关系将为这两个方面提供持续的思考和支持。