Verizon: เมื่อการปฏิบัติตามระเบียบการใช้บัตรเครดิตลดลงความเสี่ยงด้านความปลอดภัยทางไซเบอร์ก็เพิ่มขึ้น

ผู้เชี่ยวชาญด้านความปลอดภัย Frank Abagnale: วางบัตรเดบิตและตรึงเครดิตของคุณ Con man หันด้านความปลอดภัยทางไซเบอร์ Frank Abagnale พูดคุยกับ Karen Roby ของ TechRepublic เกี่ยวกับขั้นตอนที่ผู้คนสามารถใช้เพื่อปกป้องตัวตนของพวกเขา

ในอดีตธุรกิจเกือบทั้งหมดใช้เช็คและทุกคนยอมรับการจ่ายเงินสดอย่างมีความสุข ร้านค้าเริ่มวางสติกเกอร์ส่งเสริมการขายที่ประตูของพวกเขาขอให้ลูกค้าด้วยสัญญาว่าพวกเขารับบัตรเครดิต

ตอนนี้ร้านค้าบางแห่งไม่รับเงินสดและไม่ได้ทำอะไรนอกจากบัตรเครดิตและบัตรเดบิต สถานที่มากขึ้นเรื่อย ๆ ยอมรับ Apple Pay หรือ Samsung Pay เป็นค่าโทรศัพท์มือถือ ผู้ขายบางรายยอมรับการชำระเงินด้วย PayPal และต้องตรวจสอบอีเมลบนสมาร์ทโฟนของพวกเขาเพื่อให้แน่ใจว่าการชำระเงินของลูกค้าผ่านไปแล้ว อย่างไรก็ตามบัตรเครดิตยังคงเป็นวิธีที่ได้รับความนิยมสูงสุดสำหรับผู้ที่ซื้อสินค้าและทุกองค์กรที่ยอมรับพวกเขาจะต้องยอมรับตามมาตรฐานอุตสาหกรรมบัตรชำระเงิน (PCI) และมั่นใจได้ว่าลูกค้าของพวกเขาจะรักษาความปลอดภัยข้อมูลส่วนตัวของพวกเขา

ตั้งแต่ปี 2546 องค์กรต่างๆจำเป็นต้องปฏิบัติตามข้อบังคับอุตสาหกรรมบัตรชำระเงินและได้รับการประเมินตามมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน แต่องค์กรจำนวนมากกำลังประสบปัญหาการตรวจสอบประจำปีดังนั้นพวกเขาจำเป็นต้องย้ายการป้องกันข้อมูลและกระบวนการปฏิบัติตามและความสามารถไปสู่ระดับที่สำคัญยิ่งขึ้น การขาดกลยุทธ์ที่ดีในการวัดประสิทธิภาพในการปกป้องข้อมูลและความยั่งยืนสร้างความสูญเสียทางการเงินที่ไม่จำเป็นในการแสวงหาการปกป้องข้อมูลของ บริษัท และไม่อนุญาตให้องค์กรดำเนินการตามมาตรฐานได้ดีขึ้น วิธีการนี้อาจนำไปสู่การรักษาความปลอดภัยที่ผิดพลาด องค์กรหลายแห่งปรากฏอยู่ในรูปแบบของวงจรปฏิกิริยาโดยมุ่งเน้นที่การปฏิบัติตามข้อกำหนดพื้นฐานเท่านั้นและไม่มองไปข้างหน้าในเชิงรุกมากขึ้น

10 เคล็ดลับสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใหม่ (PDF ฟรี)

ในช่วงเก้าปีที่ผ่านมา Verizon ได้เผยแพร่รายงานความปลอดภัยการชำระเงิน (PSR) ซึ่งให้มุมมองเชิงลึกเกี่ยวกับแนวปฏิบัติด้านกฎระเบียบของอุตสาหกรรมบัตรชำระเงินรวมถึงคุณค่าและประสิทธิภาพของมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)

PSR รุ่น 2019 เพิ่งเปิดตัวและมุ่งเน้นไปที่การมองเห็นการควบคุมและการกำหนดและรวมถึงการวิเคราะห์การปรับเปลี่ยนโปรแกรมการปฏิบัติตามเพื่อปรับปรุงเป้าหมายและออกแบบเส้นทางที่ยั่งยืนเพื่อการปกป้องข้อมูลที่ดีขึ้น นอกจากนี้ยังสร้างจากปัจจัยที่จัดตั้งขึ้นจาก PSRs ก่อนหน้า

วัตถุประสงค์หลัก

Verizon ได้ฟังคำขอของ CISO (หัวหน้าเจ้าหน้าที่ความปลอดภัยของข้อมูล) เพื่อขอคำแนะนำเกี่ยวกับวัตถุประสงค์หลัก:

1. ประสิทธิภาพการควบคุมที่ยั่งยืน

2. ประสิทธิภาพของโปรแกรมและผลลัพธ์ที่คาดการณ์ได้

รายงานยังรวมถึงเครื่องมือใหม่ ๆ เช่น Verizon 9-5-4 Framework การประเมินประสิทธิภาพของโปรแกรมการปฏิบัติตามข้อกำหนด (DCCEF) เพื่อผลักดันการจัดการการปฏิบัติตามกฎระเบียบให้อยู่ในระดับที่สูงขึ้นของการประกันและการคาดการณ์

2019 ประเด็นหลัก

2019 PSR ครอบคลุม: สถานะการปฏิบัติตามทั่วโลกในปัจจุบันและวิธีการที่องค์กรต่าง ๆ ใช้ (และไม่บำรุงรักษา) การปฏิบัติตาม PCI DSS:

  1. ข้อพิจารณาที่สำคัญในการออกแบบโปรแกรม
  2. ข้อมูลเชิงลึกเกี่ยวกับการละเมิดความสัมพันธ์ของข้อมูลและการเตรียมความพร้อมเหตุการณ์
  3. แนวโน้มความปลอดภัยการชำระเงินมือถือ
  4. ปฏิทินอ้างอิงความสอดคล้อง PCI DSS
  5. แนวทางการเตรียมความพร้อมเหตุการณ์

PCI DSS ซึ่งก่อตั้งขึ้นในปี 1999 หมายถึงโปรแกรมการปกป้องข้อมูลผู้ถือบัตร วีซ่าเปิดตัวโครงการในปี 2004 และเห็นได้ชัดว่าองค์กรต่างๆจะบรรลุการปฏิบัติตามที่มีประสิทธิภาพและยั่งยืนภายในห้าปี ในปี 2010 Verizon เริ่มรายงานที่ติดตามเปอร์เซ็นต์ขององค์กรที่รักษาความสอดคล้องโดยการวัดการปฏิบัติตาม PCI DSS ระหว่างการประเมินระหว่างกาล l เป็นตัวบ่งชี้การปฏิบัติตามอย่างเต็มรูปแบบ การปฏิบัติตามกฎระเบียบอย่างสมบูรณ์มีตั้งแต่ 22% ในปี 2009 เป็นต่ำ 7.5% ในปี 2011 โดยสูงถึง 55.4% ในปี 2559

ตัวเลขต่ำในการปฏิบัติตามข้อกำหนด

รายงานในปีนี้เผยว่าองค์กรมากกว่าหนึ่งในสาม (36.7%) กำลังบำรุงรักษาโปรแกรม PCI DSS ในปี 2561 แนวโน้มที่ลดลง (จากระดับสูงดังกล่าวข้างต้นของปี 2559) ทำให้เกิดความกังวลอย่างมาก

หลาย บริษัท สร้างโปรแกรมที่ดูดีบนกระดาษ แต่ไม่สามารถทนต่อการตรวจสอบความปลอดภัยระดับมืออาชีพ โปรแกรมที่ล้มเหลวไม่เพียงพอหรือซับซ้อนเกินไปและเกิดจากการขาดความเชี่ยวชาญในการออกแบบใช้งานตรวจสอบและประเมินผลโปรแกรมการปฏิบัติตามการปกป้องข้อมูล (DPCP)

รายงานยังเผยว่ามีกลยุทธ์ในการปกป้องข้อมูลซึ่ง บริษัท จะต้องประเมินความเสี่ยงและวางแผนหลายขั้นตอนข้างหน้าแต่ละแผนดำเนินการ CISO ต้องการแนวทางการนำทางที่ชัดเจนและเข้าใจง่ายเพื่อช่วยให้พวกเขาส่งมอบผลลัพธ์ที่วัดได้และผลลัพธ์ที่คาดการณ์ได้

องค์กรต้องสามารถตอบสนองต่อการเปลี่ยนแปลงในสภาพแวดล้อมการควบคุมได้อย่างมีประสิทธิภาพ มันยากที่จะทำเมื่อ จำกัด เพียงวิธีการตามภารกิจของโปรแกรมการปฏิบัติตาม

ความท้าทายระดับโลกที่มีความมั่นคงด้านการชำระเงินไม่ใช่การขาดความยั่งยืนหรือประสิทธิภาพในการควบคุม สิ่งเหล่านี้เป็นเพียงอาการของปัญหาอย่างกว้างขวางที่เกิดจากกลยุทธ์ไม่เพียงพอซึ่งเกิดจากการขาดความเชี่ยวชาญในองค์กรในการออกแบบดำเนินการตรวจสอบและประเมินผลสำหรับโปรแกรมการปฏิบัติตามการปกป้องข้อมูลอย่างยั่งยืน

วัตถุประสงค์การควบคุม

วัตถุประสงค์การควบคุมพื้นฐานสามประการของการควบคุมภายใน (ORCs):

  1. วัตถุประสงค์การดำเนินงาน ประสิทธิผลและประสิทธิภาพของการปกป้องข้อมูลและการปฏิบัติตาม
  2. วัตถุประสงค์การรายงาน ความน่าเชื่อถือตรงเวลาและความโปร่งใสของการป้องกันข้อมูลและการรายงานการปฏิบัติตาม
  3. วัตถุประสงค์การ ปฏิบัติตามการปฏิบัติตามกฎระเบียบไม่เพียง แต่บนกระดาษเท่านั้น แต่ยังอยู่บนพื้นฐานของหลักฐานที่แสดงให้เห็นถึงความเชื่อมั่นอย่างสมเหตุสมผลว่าวัตถุประสงค์จะบรรลุและรักษาไว้ภายใต้กรอบด้วยระบบการควบคุมภายในที่มีประสิทธิภาพ

วัตถุประสงค์ทั้งหมดขึ้นอยู่กับความต้องการของ บริษัท ในการสร้างความสะดวกสบายให้กับลูกค้ากระตุ้นให้พวกเขากลับมาในขณะที่ยังคงรักษาความปลอดภัยแน่นหนาที่ไม่สามารถละเมิดได้

คำถามที่สำคัญ

รายงานจะสรุปคำถามสำคัญเพื่อถามและตอบเพื่อให้บรรลุเป้าหมายที่สำคัญที่สุด:

  • คุณมีข้อมูลใดอยู่มันอยู่ที่ไหนและมันไหลอย่างไร? คุณแน่ใจหรือไม่ว่าคุณรู้ว่าข้อมูลทั้งหมดของคุณอยู่ที่ไหนและใครเป็นผู้รับผิดชอบ? คุณติดตามข้อมูลที่คุณมีได้อย่างไร คุณรู้หรือไม่ว่าข้อมูลทั้งหมดนั้นจะต้องได้รับการปกป้องหรือไม่? คุณมีการควบคุมมากน้อยเพียงใดต่อข้อมูลที่ละเอียดอ่อนที่ไหลผ่านสภาพแวดล้อมของคุณ? คุณกำลังติดตามสถานที่ทั้งหมดหรือไม่ ในเวลาจริง
  • คุณปลอดภัยเพียงพอหรือไม่ คุณมีความมั่นใจเพียงใดเกี่ยวกับการปกป้องข้อมูลของคุณ? คุณจะรู้ได้อย่างไรว่าข้อมูลบัตรชำระเงินของคุณปลอดภัย ขึ้นอยู่กับหลักฐานอะไร? คุณติดตามการวัดเพื่อตอบคำถามนี้ การปฏิบัติตามหมายความว่าข้อมูลของคุณปลอดภัยจริง ๆ หรือไม่?
  • คุณมีความมั่นใจเพียงใดว่าการควบคุมที่ถูกต้องมีประสิทธิภาพและในสถานที่ที่เหมาะสมกระบวนการออกแบบการควบคุมของคุณระบุการควบคุมที่จำเป็นอย่างไร คุณมีหลักฐานอะไรบ้างสำหรับประสิทธิผลของการควบคุมของคุณ? คุณวัดประสิทธิภาพการควบคุมสำหรับการควบคุมทั้งหมดหรือไม่
  • ประสิทธิภาพของ DPCP ที่คาดการณ์ได้นั้นเป็นอย่างไร ด้วยความมั่นใจเท่าใดคุณสามารถทำนายผลลัพธ์ของวัตถุประสงค์ DPCP ที่สำคัญและคุณสามารถทำได้ทุกเวลา
  • คุณจะมั่นใจในคุณภาพและความทนทานของกระบวนการปกป้องข้อมูลและการปฏิบัติตามกฎระเบียบที่สำคัญได้อย่างไร คุณรู้หรือไม่ว่ากระบวนการเหล่านั้นประกอบด้วยอะไร? กระบวนการสำคัญของคุณสามารถทำซ้ำและสอดคล้องกันได้อย่างไร คุณสามารถทำนายความสำเร็จหรือความล้มเหลวด้วยระดับความมั่นใจล่วงหน้าได้หรือไม่?
  • คุณสามารถตรวจพบและตอบสนองต่อการเบี่ยงเบนนโยบายมาตรฐานและขั้นตอนได้เร็วเพียงใด? ความคาดหวังของคุณเกี่ยวกับการตรวจจับเหตุการณ์และการตอบสนองเหตุการณ์ตรงตามความเป็นจริงอย่างไร สิ่งที่เกี่ยวกับความคาดหวังของคุณในการตอบสนองกับการกระทำที่ถูกต้อง?
  • คุณมีการควบคุมเพื่อวัดประสิทธิภาพของการใช้ DPCP และกลยุทธ์ครบกำหนดหรือไม่? มันสอดคล้องกับกรอบของอุตสาหกรรมได้ดีเพียงใดและสามารถบรรลุวัตถุประสงค์การควบคุมของคุณได้หรือไม่? กลยุทธ์ของคุณครอบคลุมฐานที่สำคัญทั้งหมดหรือคุณมีช่องว่างในกลยุทธ์ DPCP ของคุณหรือไม่ คุณจะรู้ได้อย่างไรว่าคุณกำลังจัดลำดับความสำคัญของกิจกรรม DPCP ที่ถูกต้องในเวลาที่เหมาะสม
  • คุณให้ความสำคัญกับวัตถุประสงค์ที่ถูกต้องหรือไม่ ด้วยทรัพยากรที่มี จำกัด คุณจะรู้ได้อย่างไรว่าทีมของคุณใช้เวลาในงานที่ถูกต้องอย่างไร
  • คุณจัดการข้อ จำกัด ทั้งห้าของความชำนาญในองค์กรได้ดีเพียงใด: ความสามารถความสามารถความสามารถความมุ่งมั่นและการสื่อสาร คุณมีความสามารถในการมองเห็นความสามารถขององค์กรในการจัดการข้อ จำกัด ทั้งห้านี้หรือไม่? คุณเข้าใจถึงปัจจัย 9 ประการของการป้องกันประสิทธิผลและความยั่งยืนของการควบคุมได้อย่างไร คุณกำลังทำงานเพื่อบรรลุเป้าหมายในระยะยาวหรือไม่
  • คุณรู้หรือไม่ว่าคุณอยู่ที่ไหนด้วยการควบคุมประสิทธิผลและความยั่งยืนและความสามารถขององค์กรของคุณจะเป็นอย่างไรในเวลาหนึ่งปี?

การตอบคำถามเหล่านี้อาจดูน่ากลัว แต่เมื่อ บริษัท ได้ตรวจสอบและตอบคำถามเหล่านี้อย่างรอบคอบแล้วพวกเขาจะเติบโตใกล้ชิดกับการปฏิบัติตาม

จดหมายข่าวภายในไซเบอร์ปลอดภัย

เสริมสร้างการป้องกันความปลอดภัยด้านไอทีขององค์กรของคุณโดยการติดตามข่าวสารล่าสุดของการรักษาความปลอดภัยบนโลกไซเบอร์โซลูชั่นและแนวทางปฏิบัติที่ดีที่สุด จัดส่งวันอังคารและวันพฤหัสบดี

สมัครวันนี้

© Copyright 2020 | mobilegn.com