4 Möglichkeiten, um das beste aus Ihrem PCI-QSAs
In einem interview mit CSOonline letzten Monat, Heartland Payment Systems, Inc. CEO Robert Carr Hieb gegen qualified security Beisitzer (QSAs), die auditiert seine Firma für PCI-security-compliance, behaupten, Sie verpasste die wichtigsten Netzwerk-Löcher, die letztlich aktiviert eine massive Daten-Sicherheitsverletzung. Leser schlug zurück, schlug Carr für nicht besitzen, bis die Probleme überhand in seinem IT-security-Betrieb-für ein Beispiel, Lesen One man ' s View: Heartland CEO Verantwortung Übernehmen Muss.
Siehe auch Heartland CEO bei Data Breach: QSAs Lassen Sie Uns nach Unten
In Reaktion auf die Antwort, CSOonline Befragten security-Experten durchgeführt und erhielt Beurteilungen, in einer Anstrengung, um erstellen Sie eine kurze Checkliste für die Unternehmens-QSA Beziehung aus, um den bestmöglichen start. Hier sind vier wichtige Vorschläge:
1. Wählen Sie Ihren Anbieter mit bedacht
Ein häufiges problem ist, dass der QSA ist entschieden zu hastig, denn das Unternehmen will, um den Prozess mehr mit, so schnell wie möglich. Das Ergebnis ist, dass die Unternehmen mietet ein Gutachter, der nicht so bewandert in den Themen, die einzigartig in Ihrer Umgebung.
Mark Allison, vice president of information security bei der Las Vegas-based Global Cash Access, sagte der Unternehmen muss eine Gründliche überprüfung der alle QSA-Anbieter, um sicherzustellen, wer gewählt wird, ist spezialisiert auf die Probleme, die am häufigsten in Ihrer jeweiligen Branche.
"Stellen Sie sicher, der Verkäufer hat KMU' s, die Ihre Bedürfnisse erfüllen und keine Panik, wenn einige Anbieter vergeben mit anderen qualifizierten Einrichtungen zu bauen, die eine umfassende Antwort", sagte er. "Wie Sie, die Profis nutzen, Ihre stärken und stützen Einschränkungen durch die Einstellung von know-how. Machen Sie Ihre Hausaufgaben, und bewerten Sie die Anmeldeinformationen, die von allen Anbietern und Teilnehmern und zu verstehen, wie Füllmethoden, Ihre Bemühungen zu einem umfassenden plan führen kann, die für eine erfolgreiche Durchführung."
2. Die Grundlagen
Eine Sache, die Sie ein die Sicherheit im Unternehmen-Bewertung aus, um einen schlechten start ist ein Mangel an Planung, Allison sagte. Daher empfiehlt er, beginnend mit einem self assessment. So, das Unternehmen hat eine ziemlich gute Vorstellung davon, wo die schwachen Punkte sind, bevor die QSA kommt. An Tag 1, security-Administratoren sollten kurz die QSA auf alles, was Sie wissen bis zu diesem Punkt. So, die QSA können, schärfen Sie seinen/Ihren Fokus auf bestimmte Problembereiche und kommen mit einer mehr produktive Aktion Liste.
"Erhalten Sie die neuesten self-assessment-Fragebogen aus dem PCI-DSS-website," Sagte Allison. "Und denken Sie daran, dass nichts weniger als die vollständige Offenheit erschwert Ihren assessor' s Fähigkeit, seine Arbeit effizient und effektiv."
3. Geben Sie die QSA Zugang zu den key-Playern
Eine andere Sache, das kann lähmen das assessment-Verfahren ist, dass das Unternehmen versucht zu begrenzen, die QSAs Exposition an so wenige Personen wie möglich. Das könnte sein, denn das management möchte nicht, das die QSA immer schlechte Richtung von Mitarbeitern, die nicht unbedingt einen vollen Griff auf die Dinge. Aber es ist immer besser zu geben, die QSA Zugriff auf alle wichtigen Akteure, sagte Daniel Wallace, ein Detroit-basierte Berater-und Informationssicherheit im Projekt-manager. Wallace schrieb vor kurzem einen umfangreichen post zu dem Thema in der Informations-Sicherheits-Ressourcen-blog.
QSAs oft führen mehrere interviews mit Schlüsselpersonen, um sicher zu gehen, dass jeder Aspekt der operation wurde untersucht, um den vollen Umfang möglich. Vor dem QSA kommt, sollte das Unternehmen eine Liste der Leute, die ersten interviews. Die Terminplanung für das QSA von der get-go zu beschleunigen den Prozess entlang in die lange Sicht. Eine Sache, ziehen Sie den Prozess und wird, wenn wichtige Spieler brechen oder vergessen, Ihre interview-Termin, Wallace sagte.
4. Behandeln Sie nicht die QSA wie ein Feind
Ein weiteres häufiges problem-vor allem aus der Perspektive von QSAs näherte sich für diesen Artikel-ist, dass die GutachterInnen und Gutachter werden oft behandelt wie eine Klapperschlange nähert sich von der Gesellschaft, dass Sie da sind, zu überprüfen. Auch dies ist ein Rezept für Misserfolg und sollte unter allen Umständen vermieden werden.
"Es ist kein Platz für egos," sagte Allison. "Der Gutachter wird Schwächen. Holen Sie sich über Sie und von Ihr zu lernen."
Siehe auch PCI-Post-Audit Schmerzen Punkte
Ed Moyle, founding partner bei Security-Kurve und der ehemalige vice president of information security bei Merrill Lynch, hat erlebt die guten und schlechten Aspekte der Bewertung von beiden Seiten und stimmt mit diesen Beobachtungen. Er räumte ein, dass Bewertungen nicht immer so gründlich wie Sie sein sollten und die Schuld in der Regel gehört mit der Gesellschaft und der QSA.
Er stellte fest, dass der Druck ist hoch für die QSA als auch den Unternehmen, und der Druck kann zu Fehlern führen.
"Der Kunde bezahlt Sie und will gefunden werden-konform", sagte er. "Sie haben auch große komplizierte Umgebungen mit vielen beweglichen teilen und es gibt reichlich Gelegenheit, zu übersehen, Dinge."
Das heißt, Moyle darauf hingewiesen, dass die mehr Informationen und den Zugang der QSA hat, desto besser ist die chance auf eine Gründliche, erfolgreiche Prüfung verhindern können, dass ein Verstoß gegen den Datenschutz weiter unten auf der Linie.
"Die Gesellschaft, die Umwelt enorm Komplex, mit Hunderten von Standorten im ganzen Land oder der Welt und einem Ort haben kann Schwächen", sagte er. "Wenn Sie mehrere Geschäftszweige, und Sie sagen nicht die QSA über alle von Ihnen, die QSA nicht geht, zu wissen, suchen Sie in diesen Bereichen und etwas geht zu verpassen. Das ist nicht der QSA ist Schuld."
Datum der Veröffentlichung: Siehe auch Heartland CEO bei Data Breach: QSAs Lassen Sie Uns nach Unten
In Reaktion auf die Antwort, CSOonline Befragten security-Experten durchgeführt und erhielt Beurteilungen, in einer Anstrengung, um erstellen Sie eine kurze Checkliste für die Unternehmens-QSA Beziehung aus, um den bestmöglichen start. Hier sind vier wichtige Vorschläge:
1. Wählen Sie Ihren Anbieter mit bedacht
Ein häufiges problem ist, dass der QSA ist entschieden zu hastig, denn das Unternehmen will, um den Prozess mehr mit, so schnell wie möglich. Das Ergebnis ist, dass die Unternehmen mietet ein Gutachter, der nicht so bewandert in den Themen, die einzigartig in Ihrer Umgebung.
Mark Allison, vice president of information security bei der Las Vegas-based Global Cash Access, sagte der Unternehmen muss eine Gründliche überprüfung der alle QSA-Anbieter, um sicherzustellen, wer gewählt wird, ist spezialisiert auf die Probleme, die am häufigsten in Ihrer jeweiligen Branche.
"Stellen Sie sicher, der Verkäufer hat KMU' s, die Ihre Bedürfnisse erfüllen und keine Panik, wenn einige Anbieter vergeben mit anderen qualifizierten Einrichtungen zu bauen, die eine umfassende Antwort", sagte er. "Wie Sie, die Profis nutzen, Ihre stärken und stützen Einschränkungen durch die Einstellung von know-how. Machen Sie Ihre Hausaufgaben, und bewerten Sie die Anmeldeinformationen, die von allen Anbietern und Teilnehmern und zu verstehen, wie Füllmethoden, Ihre Bemühungen zu einem umfassenden plan führen kann, die für eine erfolgreiche Durchführung."
2. Die Grundlagen
Eine Sache, die Sie ein die Sicherheit im Unternehmen-Bewertung aus, um einen schlechten start ist ein Mangel an Planung, Allison sagte. Daher empfiehlt er, beginnend mit einem self assessment. So, das Unternehmen hat eine ziemlich gute Vorstellung davon, wo die schwachen Punkte sind, bevor die QSA kommt. An Tag 1, security-Administratoren sollten kurz die QSA auf alles, was Sie wissen bis zu diesem Punkt. So, die QSA können, schärfen Sie seinen/Ihren Fokus auf bestimmte Problembereiche und kommen mit einer mehr produktive Aktion Liste.
"Erhalten Sie die neuesten self-assessment-Fragebogen aus dem PCI-DSS-website," Sagte Allison. "Und denken Sie daran, dass nichts weniger als die vollständige Offenheit erschwert Ihren assessor' s Fähigkeit, seine Arbeit effizient und effektiv."
3. Geben Sie die QSA Zugang zu den key-Playern
Eine andere Sache, das kann lähmen das assessment-Verfahren ist, dass das Unternehmen versucht zu begrenzen, die QSAs Exposition an so wenige Personen wie möglich. Das könnte sein, denn das management möchte nicht, das die QSA immer schlechte Richtung von Mitarbeitern, die nicht unbedingt einen vollen Griff auf die Dinge. Aber es ist immer besser zu geben, die QSA Zugriff auf alle wichtigen Akteure, sagte Daniel Wallace, ein Detroit-basierte Berater-und Informationssicherheit im Projekt-manager. Wallace schrieb vor kurzem einen umfangreichen post zu dem Thema in der Informations-Sicherheits-Ressourcen-blog.
QSAs oft führen mehrere interviews mit Schlüsselpersonen, um sicher zu gehen, dass jeder Aspekt der operation wurde untersucht, um den vollen Umfang möglich. Vor dem QSA kommt, sollte das Unternehmen eine Liste der Leute, die ersten interviews. Die Terminplanung für das QSA von der get-go zu beschleunigen den Prozess entlang in die lange Sicht. Eine Sache, ziehen Sie den Prozess und wird, wenn wichtige Spieler brechen oder vergessen, Ihre interview-Termin, Wallace sagte.
4. Behandeln Sie nicht die QSA wie ein Feind
Ein weiteres häufiges problem-vor allem aus der Perspektive von QSAs näherte sich für diesen Artikel-ist, dass die GutachterInnen und Gutachter werden oft behandelt wie eine Klapperschlange nähert sich von der Gesellschaft, dass Sie da sind, zu überprüfen. Auch dies ist ein Rezept für Misserfolg und sollte unter allen Umständen vermieden werden.
"Es ist kein Platz für egos," sagte Allison. "Der Gutachter wird Schwächen. Holen Sie sich über Sie und von Ihr zu lernen."
Siehe auch PCI-Post-Audit Schmerzen Punkte
Ed Moyle, founding partner bei Security-Kurve und der ehemalige vice president of information security bei Merrill Lynch, hat erlebt die guten und schlechten Aspekte der Bewertung von beiden Seiten und stimmt mit diesen Beobachtungen. Er räumte ein, dass Bewertungen nicht immer so gründlich wie Sie sein sollten und die Schuld in der Regel gehört mit der Gesellschaft und der QSA.
Er stellte fest, dass der Druck ist hoch für die QSA als auch den Unternehmen, und der Druck kann zu Fehlern führen.
"Der Kunde bezahlt Sie und will gefunden werden-konform", sagte er. "Sie haben auch große komplizierte Umgebungen mit vielen beweglichen teilen und es gibt reichlich Gelegenheit, zu übersehen, Dinge."
Das heißt, Moyle darauf hingewiesen, dass die mehr Informationen und den Zugang der QSA hat, desto besser ist die chance auf eine Gründliche, erfolgreiche Prüfung verhindern können, dass ein Verstoß gegen den Datenschutz weiter unten auf der Linie.
"Die Gesellschaft, die Umwelt enorm Komplex, mit Hunderten von Standorten im ganzen Land oder der Welt und einem Ort haben kann Schwächen", sagte er. "Wenn Sie mehrere Geschäftszweige, und Sie sagen nicht die QSA über alle von Ihnen, die QSA nicht geht, zu wissen, suchen Sie in diesen Bereichen und etwas geht zu verpassen. Das ist nicht der QSA ist Schuld."
Autor: Keylogger.Org Team
