合规性与安全性

我们必须承认，在本文的标题中使用了“ vs.”来引起您的注意。因此，我们将像约翰尼·卡什（Johnny Cash）一样，拉开长长的黑色面纱，让您知道，我们知道将合规性与安全性作为一种潜在选择是错误的叙述。
这不是一种选择。您知道这不是一个选择。如果董事会认为这是一个选择，那就让雷·查尔斯（Ray Charles）成为杰克…或杰奎琳（Jacqueline）吧。
因此，在开始之前，我们所有人都在同一页面上，事实是CISO角色的任务是平衡合规性指令与安全性目标。因此，我们求助于CSHub社区来校准衡量这种平衡的规模。 合规性和安全性具有不同的规则和不同的目标p 当我们问威斯康星大学麦迪逊分校首席信息安全官鲍勃·特纳说“合规性与安全性”时，您感觉如何，他he然回答：“这就像在烤架上说棒球运动员对足球运动员。安全是重中之重。您将合规扔在那里，如果您认为那是一项运动，那是不正确的。
合规不是安全。” 我们注意到，在考虑合规性和安全性时，“对抗”的构造不适用。就是说，“＆”符号的构造也不起作用（合规性和安全性）。
使用Bob的类比-游戏领域决定了您成功使用的技能。贝比·露丝（Babe Ruth），使用专家级的力量击球技巧在足球场上不会成功。是的-他的竞争精神将有所帮助，他的运动能力将适用-但棒球不是足球。
正如鲍勃所说，“守法不是安全。” 因此，两者都是目标，但在一起却充满危险。可悲的是，当然不能一次做到合规性和安全性。
如果您仅关注合规性，就会被违反。如果您只关注安全性，则会遭到起诉。这些结果中的每一个都不可接受。
Horizo​​n Power CISO的Jeff Campbell提出了一些令人寒寒的冷酷事实：“查看一些既符合PCI标准又符合27k标准但仍设法通过该合规计划验证过的简单控件的组织的主要黑客。”不符合PCI标准不是一种选择。但是，仅符合PCI标准也是一种选择。
做正确的事，做好正确的事p 因此，找到合规性与安全性之间的平衡是关键。美洲商业银行CISO的汤姆•卡塔诺维奇（Tom Kartanowicz）从行为的角度看待它。 “您想做正确的事，做好正确的事。遵从性是在做正确的事，而做好事在做就是安全。
” 虽然立法者通常不是网络安全专家，但从长远来看，精心设计的明智法规应该成为基线安全协议。卡塔诺维兹（Kartanowicz）类比：“由于联邦法规的约束，现在有了强制性的安全带规则，但您以前应该这样做。” 在发明安全带和证明其安全性的研究之间的某个地方，但是甚至在有关法规尚未辩论之前，对汽车安全带进行计划，设计，预算，采购和实施安全带都是最大的利益。
汽车制造商等待该法规生效，安全带的实施成本会高得多，必要的项目将被压缩，增长项目将被搁置。这些都是不好的结果。更恰当地说，这些是可以避免的结果。
合规性作为可感知的领先指标p 如果组织需要劝说以简单地了解情况，请考虑以将合规性作为主要指标来构建网络安全业务案例。正如SF地区检察官办公室的首席信息官Herman Brown所说：“如果您可以说，‘由于合规性，我们需要做点什么。 法规遵从，安全输出 当然，合规性可以通过多种方式发挥作用。
在整个价值链中传递合规性是一种良好的商业惯例。为价值链设置自己的合规性是提高价值链安全性标准的好方法。正如SPX Corp.
的CISO一样，Lisa Tuttle表示：“政府类型的客户有要求，他们必须顺从我们，而我们必须将这些东西顺应给我们的第三方。因此，这就是合理安全性的永无止境的循环。” 安全性使法规遵从p 您的整个价值链都来自同一首赞歌，遵循法规/安全性两步操作非常简单。
确保简单的制衡体系是切实可行的。田纳西大学（University of Tennessee）HRC的丹尼斯·勒伯（Dennis Leber）随后补充说：“安全使法规遵从。遵从性不能确保安全性，隐私也不能增强安全性。
要遵从性，要具有隐私性，就必须确保安全性。遍历您的组织并查看您拥有的所有合规性要求和法规，采用NIST网络安全框架之类的东西，然后将其映射回去，然后进行风险评估和业务影响分析，就容易得多。” 即使有一个简单的制衡系统，也很难绘制一个永无休止的合规性和安全性周期。电子表格左侧的安全控件，然后我们在不同的列中进行遍历，我们将探讨该控件如何帮助我们遵守任何法规-HIPAA，HITECH，FERPA，GLBA，GDPR，狮子和老虎和熊，噢，我的天。”那是我们必须去的地方。重要的是控制。
” 预测企业的未来安全性。赶超法规，确保提前合规并符合组织的安全基础架构。这样便可以确保您的合规性，也不会引起对安全性的误解。
。