4 Modi per Ottenere il massimo dal Vostro PCI QSAs
In un'intervista con CSOonline il mese scorso, Heartland Payment Systems Inc. CEO Robert Carr è scagliato contro qualified security assessor (QSAs) che, verificata la sua azienda per il PCI di conformità di sicurezza, sostenendo di aver perso la chiave di rete fori che, in definitiva, abilitato un'enorme violazione della sicurezza dati. Lettori di colpo, sbattendo Carr per non confessare i problemi dilagante nella sua operazione di sicurezza -- per esempio, leggere di Un Uomo Vista: Heartland CEO Deve Accettare la Responsabilità.
Vedi anche Heartland amministratore delegato, in caso di Violazione di Dati: QSAs deluso
In risposta alla risposta, CSOonline intervistati esperti di sicurezza che hanno effettuato e ricevuto valutazioni, nel tentativo di creare un breve elenco di controllo per raggiungere l'azienda-QSA rapporto di sconto per il miglior inizio possibile. Qui ci sono quattro importanti suggerimenti:
1. Scegli il tuo fornitore di saggiamente
Un problema comune è che la QSA è scelto troppo in fretta perché l'azienda vuole ottenere il processo con il più velocemente possibile. Il risultato è che l'azienda assume un assessore che non è esperto in problemi del loro ambiente.
Mark Allison, vice presidente della sicurezza delle informazioni a Las Vegas Globale basato su Cassa di Accesso, ha detto che le aziende devono effettuare un accurato esame di tutti QSA fornitori per garantire che chi viene scelto è specializzata in problemi più comuni nel loro settore specifico.
"Assicurarsi che il venditore ha le PMI che soddisfano le vostre esigenze e non allarmatevi se alcuni fornitori di conto lavoro con altri soggetti qualificati, per costruire una risposta globale," ha detto. "Come voi, professionisti sfruttare i loro punti di forza e di costa fino limitazioni con l'assunzione di competenze. Fare il vostro lavoro e valutare le credenziali di tutti i fornitori e partecipanti e capire come fusione i loro sforzi in un piano globale può portare a successo di esecuzione."
2. Gettare le basi
Una cosa che è certa, per avere una azienda sicurezza valutazione fuori ad un cattivo inizio è una mancanza di pianificazione, Allison ha detto. Pertanto, si raccomanda di iniziare con una auto-valutazione. In quel modo, l'azienda ha una buona idea di dove sono i punti deboli sono la prima QSA arriva. Il giorno 1, gli amministratori della sicurezza devono informare la QSA su tutto ciò che si sa fino a che punto. In questo modo, il QSA può affinare il suo/la sua attenzione su particolari aree problematiche e venire con un più produttivo elenco di azioni.
"Ottenere la versione più recente questionario di auto-valutazione dal PCI DSS sito," Allison ha detto. "E ricordate che niente di meno che completo candore ostacolerà la vostra assessore capacità di completare il loro lavoro in modo efficiente ed efficace."
3. Dare il QSA di accesso per i giocatori chiave
Un'altra cosa che può paralizzare il processo di valutazione è che l'azienda cerca di limitare il QSAs esposizione a più persone possibili. Questo potrebbe essere perché la direzione non vuole che il QSA raggiungere poveri direzione da parte dei dipendenti che non necessariamente hanno una piena comprensione delle cose. Ma è sempre meglio dare la QSA di accesso a tutti gli attori chiave, ha detto Daniel Wallace, Detroit consulente di sicurezza delle informazioni e di gestione del progetto. Wallace ha scritto di recente un post completo sul tema della Sicurezza delle Informazioni Risorse blog.
QSAs spesso condotta più interviste con i dirigenti per essere assolutamente certi che ogni aspetto dell'operazione è stato studiato per la massima misura possibile. Prima che il QSA arriva, la società dovrebbe fare una lista di persone che possono fare le interviste iniziali. La pianificazione degli appuntamenti per il QSA dal get-go sarà la velocità del processo a lungo termine. Una cosa che può trascinare il processo e quando i giocatori chiave di pausa o di dimenticare i loro appuntamento per il colloquio, Wallace ha detto.
4. Non trattare il QSA come un nemico
Un altro problema comune, soprattutto dalla prospettiva di QSAs si avvicinò per questo articolo-è che gli assessori sono spesso trattati come un serpente a sonagli che si avvicina dalla società che ci sei per la revisione. Anche questa è una ricetta per il fallimento, e deve essere evitato a tutti i costi.
"Non c'è spazio per l'ego" Allison ha detto. "Il perito trovare punti deboli. Ottenere su di esso e imparare da esso."
Vedere anche il PCI Post-Audit Punti di Dolore
Ed Moyle, partner fondatore di Sicurezza in Curva e l'ex vice presidente della sicurezza delle informazioni presso Merrill Lynch, ha sperimentato gli aspetti positivi e negativi del processo di valutazione da entrambi i lati e d'accordo con queste osservazioni. Egli ha riconosciuto che le valutazioni non sempre completo di come dovrebbero essere, e la colpa di solito appartiene con la società e il QSA.
Egli ha osservato che la pressione è alta per il QSA così come la società, e la pressione possono portare a errori.
"Il cliente paga e vuole essere in linea con," ha detto. "Hai anche grandi ambienti complessi con molte parti in movimento e c'è un sacco di opportunità a trascurare le cose."
Detto questo, Moyle notato che le ulteriori informazioni e per accedere al QSA, migliore è la possibilità di una accurata revisione di successo che può impedire una violazione dei dati più ulteriormente giù la linea.
"La società ambiente può essere tremendamente complesso, con centinaia di sedi in tutto il paese o il mondo e un luogo può avere debolezze", ha detto. "Se si dispone di più linee di business e non puoi dire il QSA su tutti, il QSA non sanno guardare in quelle zone, e qualcosa si sta andando a perdere. Non è QSA di colpa."
Data di pubblicazione: Vedi anche Heartland amministratore delegato, in caso di Violazione di Dati: QSAs deluso
In risposta alla risposta, CSOonline intervistati esperti di sicurezza che hanno effettuato e ricevuto valutazioni, nel tentativo di creare un breve elenco di controllo per raggiungere l'azienda-QSA rapporto di sconto per il miglior inizio possibile. Qui ci sono quattro importanti suggerimenti:
1. Scegli il tuo fornitore di saggiamente
Un problema comune è che la QSA è scelto troppo in fretta perché l'azienda vuole ottenere il processo con il più velocemente possibile. Il risultato è che l'azienda assume un assessore che non è esperto in problemi del loro ambiente.
Mark Allison, vice presidente della sicurezza delle informazioni a Las Vegas Globale basato su Cassa di Accesso, ha detto che le aziende devono effettuare un accurato esame di tutti QSA fornitori per garantire che chi viene scelto è specializzata in problemi più comuni nel loro settore specifico.
"Assicurarsi che il venditore ha le PMI che soddisfano le vostre esigenze e non allarmatevi se alcuni fornitori di conto lavoro con altri soggetti qualificati, per costruire una risposta globale," ha detto. "Come voi, professionisti sfruttare i loro punti di forza e di costa fino limitazioni con l'assunzione di competenze. Fare il vostro lavoro e valutare le credenziali di tutti i fornitori e partecipanti e capire come fusione i loro sforzi in un piano globale può portare a successo di esecuzione."
2. Gettare le basi
Una cosa che è certa, per avere una azienda sicurezza valutazione fuori ad un cattivo inizio è una mancanza di pianificazione, Allison ha detto. Pertanto, si raccomanda di iniziare con una auto-valutazione. In quel modo, l'azienda ha una buona idea di dove sono i punti deboli sono la prima QSA arriva. Il giorno 1, gli amministratori della sicurezza devono informare la QSA su tutto ciò che si sa fino a che punto. In questo modo, il QSA può affinare il suo/la sua attenzione su particolari aree problematiche e venire con un più produttivo elenco di azioni.
"Ottenere la versione più recente questionario di auto-valutazione dal PCI DSS sito," Allison ha detto. "E ricordate che niente di meno che completo candore ostacolerà la vostra assessore capacità di completare il loro lavoro in modo efficiente ed efficace."
3. Dare il QSA di accesso per i giocatori chiave
Un'altra cosa che può paralizzare il processo di valutazione è che l'azienda cerca di limitare il QSAs esposizione a più persone possibili. Questo potrebbe essere perché la direzione non vuole che il QSA raggiungere poveri direzione da parte dei dipendenti che non necessariamente hanno una piena comprensione delle cose. Ma è sempre meglio dare la QSA di accesso a tutti gli attori chiave, ha detto Daniel Wallace, Detroit consulente di sicurezza delle informazioni e di gestione del progetto. Wallace ha scritto di recente un post completo sul tema della Sicurezza delle Informazioni Risorse blog.
QSAs spesso condotta più interviste con i dirigenti per essere assolutamente certi che ogni aspetto dell'operazione è stato studiato per la massima misura possibile. Prima che il QSA arriva, la società dovrebbe fare una lista di persone che possono fare le interviste iniziali. La pianificazione degli appuntamenti per il QSA dal get-go sarà la velocità del processo a lungo termine. Una cosa che può trascinare il processo e quando i giocatori chiave di pausa o di dimenticare i loro appuntamento per il colloquio, Wallace ha detto.
4. Non trattare il QSA come un nemico
Un altro problema comune, soprattutto dalla prospettiva di QSAs si avvicinò per questo articolo-è che gli assessori sono spesso trattati come un serpente a sonagli che si avvicina dalla società che ci sei per la revisione. Anche questa è una ricetta per il fallimento, e deve essere evitato a tutti i costi.
"Non c'è spazio per l'ego" Allison ha detto. "Il perito trovare punti deboli. Ottenere su di esso e imparare da esso."
Vedere anche il PCI Post-Audit Punti di Dolore
Ed Moyle, partner fondatore di Sicurezza in Curva e l'ex vice presidente della sicurezza delle informazioni presso Merrill Lynch, ha sperimentato gli aspetti positivi e negativi del processo di valutazione da entrambi i lati e d'accordo con queste osservazioni. Egli ha riconosciuto che le valutazioni non sempre completo di come dovrebbero essere, e la colpa di solito appartiene con la società e il QSA.
Egli ha osservato che la pressione è alta per il QSA così come la società, e la pressione possono portare a errori.
"Il cliente paga e vuole essere in linea con," ha detto. "Hai anche grandi ambienti complessi con molte parti in movimento e c'è un sacco di opportunità a trascurare le cose."
Detto questo, Moyle notato che le ulteriori informazioni e per accedere al QSA, migliore è la possibilità di una accurata revisione di successo che può impedire una violazione dei dati più ulteriormente giù la linea.
"La società ambiente può essere tremendamente complesso, con centinaia di sedi in tutto il paese o il mondo e un luogo può avere debolezze", ha detto. "Se si dispone di più linee di business e non puoi dire il QSA su tutti, il QSA non sanno guardare in quelle zone, e qualcosa si sta andando a perdere. Non è QSA di colpa."
Autore: Keylogger.Org Team
