博客

Security Compliance

在这个科技星期二的播客中,Roger Walton与John Maher讨论了beat365官方app下载手机合规问题. 他解释了企业如何评估和改进它们对立法和供应商标准的遵从性.

朴茨茅斯 Computer Group · Security Compliance

约翰·马赫: Welcome to Tech Tuesday brought to you by beat365官方app下载手机, a managed services and security provider in 朴茨茅斯, 新汉普郡. I’m John Maher. With me today from beat365官方app下载手机 is Roger Walton. Welcome, Roger.

罗杰·沃尔顿: Great to be with you, John.

Why Do Businesses Need to Care 关于 Security Compliance?

约翰: So, Roger, today we’re talking about security compliance. Why do businesses need to be concerned about compliance?

罗杰:C遵从性是指一些人认为您的业务需要满足的一系列需求. 所以,在某些情况下,这可能是立法. So, 我们知道, 例如, 现在几乎所有的医疗工作者都需要满足HIPAA的要求.

但也有很多人提出了他们需要你遵守的要求. So, just to give you a couple of examples. If you are a supplier in the defense sector, 你的主承包商会有一套辩护要求所有的分包商都必须满足. 如果你想为他们工作,那么你就必须满足这些要求.

There are also vendor requirements. 很多人最熟悉的就是保险公司. If you want to get cyber insurance, 然后他们会提出一长串关于网络beat365官方app下载手机防御的问题,你必须回答. And if you don’t comply with that, then if you ever have a claim, 他们会仔细检查问卷上的所有内容并确保你遵守. 所以,如果你不遵守它,你可能会有严重的麻烦.

Other Types of Compliance Concerns

约翰: 还有其他企业需要关注的遵从性类型吗?

罗杰:T在这些宽泛的分类中,当然还有其他的例子. So, at the legislative level, 一些州有隐私要求,要求你保留员工的个人信息或你拥有的其他个人信息, they require you to keep that private. For folks that are playing in the financial sector, 然后,证券交易委员会有一些重要的要求,他们希望你满足.

In addition to the defense-related compliance elements, 还有一些在公用事业工作的人会发现他们有非常相似的要求,他们被要求遵守……如果我想成为电力公司的分包商, 例如, 然后他们会给我一套类似的合规要求,我必须满足. 供应商需求类别中的另一个例子是如果我想使用信用卡, 那么我的信用卡处理器将希望我遵守PCI或支付卡行业的要求.

Consequences of Not Being Compliant

约翰: And what are the consequences of 不 being compliant? I would imagine it depends on, 例如, 哪个政府机构在监督它, like you said, if it’s a credit card company that has certain rules, 也许你不再被允许接受那些信用卡或类似的东西. 不服从会产生什么后果?

罗杰: 在很多情况下,如果你不遵守规定,你就不能做生意. 我多次谈到国防部的供应链. 如果你不符合这些要求,你将不被允许成为大承包商之一的分包商.

约翰: 是的. 所以,我的意思是,我们正在谈论的事情可能会完全关闭你的公司,如果你不

罗杰: 没错,这是你所从事的行业的绝对要求. And it’s becoming much more common as well, 无论是这些事情发生的频率还是执行的严格程度, 在过去的几年里,我们已经看到了合规需求的大幅增加,我们当然希望这种需求继续增加.

How Do You Assess Compliance Issues?

约翰: So, how is compliance assessed? 比如说,企业会像税务问题那样接受审计吗?

罗杰:That is actually a very interesting question. 当然,在某些情况下,企业会接受独立第三方的审计, but by and large, 不. 总的来说,通过一种或另一种形式的自我认证来评估合规性. So, we certainly see cases where the Department of Defense, 例如, 是否宣布将开始要求审计合规基准, but that has 不 happened yet.

So, 更常见的是,遵从性标准是自我评估的, but if something goes wrong, then there could be consequences. And those consequences, 很明显,你可能会因为这种特殊的商业关系而被关闭, but it could also involve lawsuits and other things, 如果你被发现在某些方面有疏忽或欺诈行为……尤其是在合规调查问卷中伪造结果或答案.

How Businesses Meet Compliance Standards

约翰: 正确的. 你能给我举几个例子吗?作为一个公司,为了合规,我可能需要做些什么?

罗杰: Let me talk about IT security-related compliance, 因为肯定有远远超出这个范围的法规遵循要求. 但ITbeat365官方app下载手机合规是beat365官方app下载手机主要涉足的领域. 因此,我们当然看到了对一些流程和技术的要求. So, the types of passwords that you use, 目前,使用多因素身份验证是一个大问题. So, 当你输入密码时,手机上的第二个代码可以验证你的身份, having firewalls on your network, that kind of thing.

Just as important and some would argue more important, is that all your practices and processes are documented. Much of the requirements of compliance, 是拥有这些文档并确保你的团队成员都知道这些文档并且你积极地管理它们并保持更新. 然后 there are things like training, 确保你的团队或团队中合适的人知道如何在特定情况下做出反应.

显然,它适用于it用户识别钓鱼电子邮件,所以他们会知道怎么做. And more importantly, what 不 to do, 如果他们看到一些看起来像是钓鱼邮件的东西. 但是有培训,比方说,有权限访问管理帐户的特权用户. There’s training for senior management, 所以他们明白在任何情况下他们的责任和优先级.

How Can Businesses Learn More 关于 Compliance

约翰: 以及我如何发现怎样才能变得兼容? 我假设我有这些文档,它们概述了我需要遵循的规则, 而是我如何知道我的公司已经在做正确的事情, and what we’re 不 doing correctly, 以及为了变得兼容,需要改变什么?

罗杰: 确定. 是的. 所以,你是对的,在大多数情况下,合规要求被写在某处. 虽然, 它们对你们来说是否清晰取决于你们理解一些非常专业的语言的能力其中一些是用这些语言写的.

另一件有时很难确定的事情是,他们可能会告诉你,你需要一个特定的解决方案, 假设, vulnerability or threat, 但它们并没有告诉你必须如何实现它. 或者可能有几种不同的方法来满足特定的需求. 因此,理解什么是充分的,什么是最好的是重要的……

对于企业来说,理解什么足以满足需求并不总是一件容易的事情.

The Importance of a Compliance Assessment

约翰: 所以, 那么需要做些什么来确保我意识到需要改变什么呢?

罗杰:We typically recommend a compliance assessment. 然后我们会对你的环境有一些了解,这样我们就有了正确的上下文. 但是,然后与相关责任方坐下来讨论每一个需求, understand what you do today in that area, 如果有什么区别的话. 然后我们会讨论如果你没有完全满足我们的要求, what are the ways in which you might be able to do that? 所以,这是我们可以逐一完成的.

许多法规遵循框架有超过100种您必须满足的不同控制. 当然,在某些地区,它们可能会超过1000次控制,甚至更多. 大多数小型企业需要处理的是100到200的控制级别. 但是一旦你经历了这些并且考虑了所有需要满足的东西, the next question is, do you have to be 100% to do business?

所以metimes the answer may be yes, 但有时候,他们真正想看到的可能是你认真对待他们, 您拥有并记录了遵从性需求的某些部分, 你有真正的计划去解决其他的问题. So, in that latter case, then you have much more of a strategy question, 这是, 哪些是我现在真正应该做的,因为我做这些很划算? 在监管机构给予的权重方面,每一个合规要求并不一定是相等的.

Who Should Lead a Compliance Assessment?

约翰: 那么,谁最适合领导这样的beat365官方app下载手机遵从性评估呢?

罗杰:You really need two things. 一是你需要一个了解需求的人, 但你也需要一个了解IT环境的人. But ideally, your IT environment. 对一个审计员来说,走进这扇门是非常困难的. 我的意思是, 他们当然知道所有不符合要求的方法, but if they don’t know your environment, 他们很难就一个被认为是成功的实施计划给你具体的建议, 这在您的环境中实现起来相对简单.

我认为这是一个很了解你的人的组合, 但是,如果不, 是否习惯于为您这样的企业实现这样的系统. 但在一起, 通过对框架的理解以及作者对各种方法的理解等等.

What Happens After the Compliance Assessment?

约翰: So, what comes next after the compliance assessment? 这听起来像是你要提供一份公司需要做的事情的清单,以便变得合规. 也许它被组织成一种方式,这样你就可以首先处理绝对必要的最重要的事情. 然后, like you said, 制定一个长期计划,以确保你处理了所有其他事情. Is that sort of what the next step is?

罗杰: 这是正确的. And I will also say that very few small, 中型企业无法单独满足所有这些需求. 他们将需要一些帮助……但是他们在那里需要的帮助类型非常具体……因为他们可能有一些IT人员,肯定可以满足一些要求. They may have documentation people. They probably have IT training people.

所以,如果培训是他们需要的事情之一,那么这就是我们可以做的事情. 有很多工具和技术可以帮助您满足其中的许多需求. And those are also things that beat365官方app下载手机 can help you with. 是的, becoming compliant is a process. It’s going to take an investment. It’s going to take some time. And at least in the case of a small, medium business, 你当然需要一个合作伙伴与你一起度过这个过程.

How Often Should You Repeat Compliance Assessments?

约翰: 并且是否需要重复beat365官方app下载手机性遵从性评估? And if so, how often?

罗杰: 对于大多数法规遵循框架来说,它们需要做的频率是非常具体的. The typical requirement is once a year.

Contact beat365官方app下载手机 for More Information

约翰: 好吧. 好吧. Well, that’s really great information, Roger. Thanks again for speaking with me today.

罗杰: Thank you, John.

约翰: 要了解更多信息,你可以访问beat365官方app下载手机的网站metalexkuwait.com or call 603-431-4121.