最近的大新闻似乎是所有的数据泄露, ransomware攻击, 以及全世界的企业都在遭受的安全黑客攻击. 根据安永 & 年轻的时候, 网络安全威胁 它们的进化速度比以往更快吗. 在某种程度上,这是因为正如软件作为一种服务提供一样,恶意软件也是如此. 犯罪分子可以轻而易举地得到基本的恶意软件程序,就像你的企业可以轻易地访问电子邮件一样. 从那里,很容易修改代码,使其更好或更有效.

打击日益猖獗的网络犯罪, 联邦政府已经发布了许多旨在保护数据和系统的合规法规.  目前存在数十条安全法规,但最常见的有三种:

法规遵从不是安全程序

对于许多企业, 遵守行业特定的法规是他们对IT安全的唯一真正指导. 这种想法是,如果公司能够通过合规审计, 那么安全措施应该足够好,以保护企业及其客户. 不幸的是,事实并非如此.

遵从性通常被视为安全的最低级别. 实际上,遵从性只是您的安全程序在某个时刻的一个快照. 下面是它的工作原理. 法规概述了满足符合性的要求. 这些规定是基于 过去的安全威胁. 然后企业使用这些规则来指导安全控制.

在某些情况下, 企业将努力实现合规, 所以如果审计发生了, 他们可以安然通过. 但是,一旦达到了这一遵守程度,就不再作出额外的努力.  这种做法存在两方面的缺陷.

首先, 为了有效,安全应该是主动的. 这意味着要为每时每刻都在发生的威胁做好准备. 遵从性依赖于历史数据,但没有考虑到未来的威胁.

第二个缺陷是 没有意识到有效的安全并不是一个恒定的状态. 而, 这是一种变化迅速的状态, 昨天运行良好的安全工具和应用程序明天可能就毫无价值了. 没有持续的关注, 您的安全程序变得陈旧和无效,组织面临的风险呈指数级增长.

如果顺从还不够,那么什么才是?

这里有一个你应该问自己的问题:

您的安全努力的目的是什么?

如果您的目的是通过遵从性审查或审计,那么您并没有关注安全性. 安全不合规.  遵从性是安全的一个元素, 而是创建一个安全程序来保护你和你的客户, 安全必须优先考虑. 所有的时间.

企业应该细粒度地研究它们的安全能力, 检讨从硬件、政策到执行的各个方面, 维护, 以及培训,以了解哪些地方需要改进,以保证公司和客户的安全. 努力需要重新评估,因为这不是定期发生的.

在硬件升级过程中,您可能需要一些帮助, 发展政策, 或实施培训. 找一个值得信赖的伙伴来帮助你改善安全状况是可以的. 一定要选择能够帮助您专注于整体安全计划的人,而不是仅仅帮助您达到一种遵从性的状态,直到下一次审计或审查被安排.