4 Façons d'Obtenir le maximum de Votre PCI QSAs
Voir aussi Heartland chef de la direction de la Violation des Données: QSAs Nous
En réponse à la réponse, CSOonline interrogé les experts en sécurité qui ont effectué et reçu des évaluations dans un effort pour créer une courte liste de vérification pour le démarrage de l'entreprise-QSA relation off pour démarrer le mieux possible. Voici quatre suggestions:
1. Choisissez votre fournisseur à bon escient
Un problème commun est que l'ASQ est choisi trop à la hâte, parce que la société veut que le processus soit le plus le plus rapidement possible. Le résultat est que l'entreprise embauche un évaluateur qui n'est pas aussi bien versé dans les questions propres à leur environnement.
Mark Allison, vice-président de la sécurité de l'information à Las Vegas Global Accès à l'argent Comptant, dit que les entreprises doivent procéder à un examen approfondi de tous les QSA fournisseurs afin de s'assurer celui qui est choisi se spécialise dans les problèmes les plus communs dans leur secteur d'activité particulier.
"S'assurer que le vendeur a des PME qui répondent à vos besoins, et ne soyez pas alarmé si certains fournisseurs de sous-traitance avec d'autres entités qualifiées pour construire une réponse globale", dit-il. "Comme vous, professionnels de tirer parti de leurs points forts et de renforcer les limitations par l'embauche d'expertise. Faire vos devoirs et d'évaluer les informations d'identification de tous les fournisseurs et les participants et de comprendre la façon dont la fusion de leurs efforts dans un plan global peut conduire à la réussite de l'exécution."
2. Jeter les bases
Une chose est certain d'obtenir de l'entreprise évaluation de la sécurité à un mauvais début est un manque de planification, Allison dit. Par conséquent, il recommande de commencer avec une auto-évaluation. De cette façon, la société a une assez bonne idée de l'endroit où les points faibles de l'ASQ arrive. Le jour 1, de la sécurité, les administrateurs doivent informer le QSA sur tout ce qu'ils savent à ce point. De cette façon, l'ASQ pouvez affiner sa concentration particulière sur les zones à problème et de trouver une façon plus productive de la liste d'actions.
"Obtenir le dernier questionnaire d'auto-évaluation à partir de la norme PCI DSS site web," Allison dit. "Et rappelez-vous que rien de moins que complète la franchise sera entraver votre évaluateur de la capacité d'effectuer leur travail de manière efficiente et efficace."
3. Donner de la LVMQ, l'accès aux principaux acteurs
Une autre chose qui peut paralyser le processus d'évaluation est que la société tente de limiter l'QSAs de l'exposition pour que le moins de gens possible. Ce pourrait être parce que la direction ne veut pas de l'ASQ, s'appauvrit de direction de la part des employés qui n'ont pas nécessairement une compréhension complète sur les choses. Mais il est toujours mieux de donner l'ASQ accès à tous les principaux acteurs, a déclaré Daniel Wallace, un Détroit consultant en sécurité de l'information et de gestionnaire de projet. Wallace a récemment écrit un post complet sur le sujet de la Sécurité de l'Information des Ressources blog.
QSAs souvent d'effectuer de multiples entrevues avec les principaux gestionnaires de faire absolument certain que tous les aspects de l'opération a été étudié dans toute la mesure du possible. Avant l'ASQ arrive, la société devrait faire une liste des personnes qui peuvent faire des entretiens initiaux. Rendez-vous pour l'ASQ à partir de l'obtenir-aller permettra d'accélérer le processus, de même que dans le long terme. Une chose qui peut glisser le processus et est lorsque les principaux acteurs de casser ou d'oublier leur rendez-vous d'entretien, Wallace dit.
4. Ne pas traiter de la LVMQ, comme un ennemi
Un autre problème commun-en particulier du point de vue de QSAs approché pour cet article, est que les évaluateurs sont souvent traités comme l'approche d'un serpent à sonnettes par la société, ils sont là pour examen. C'est aussi une recette pour l'échec et devrait être évitée à tous les frais.
"Il n'y a pas de place pour l'ego," Allison dit. "L'évaluateur doit trouver des faiblesses. Get over it et apprendre de lui."
Voir aussi PCI après la Vérification des Points de Douleur
Ed Moyle, associé-fondateur de Sécurité de la Courbe et de l'ancien vice-président de la sécurité de l'information chez Merrill Lynch, a connu des bons et des mauvais aspects du processus d'évaluation des deux côtés et est en accord avec ces observations. Il a reconnu que les évaluations ne sont pas toujours aussi rigoureuse qu'ils devraient être, et le blâme appartient généralement à la fois la société et de l'ASQ.
Il a noté que la pression est forte pour l'ASQ ainsi que de la société, et de la pression peut conduire à des erreurs.
"Le client est de vous payer et veut être trouvé conforme," dit-il. "Vous avez aussi grande compliqué environnements avec de nombreuses pièces en mouvement et il y a beaucoup de possibilité de négliger les choses."
Cela dit, Moyle a noté que le plus d'informations et accéder à la QSA a, meilleure est la chance de faire une bonne, le succès de la vérification, qui peut empêcher une violation de données à la suite.
"Le contexte de l'entreprise peut être extrêmement complexe, avec des centaines d'endroits à travers le pays ou dans le monde et en tout lieu peut avoir des faiblesses," dit-il. "Si vous avez plusieurs lignes d'affaires et que vous ne dites pas à l'ASQ sur chacun d'entre eux, le QSA ne va pas savoir rechercher dans ces domaines, et que quelque chose va manquer. Ce n'est pas le QSA la faute."
Auteur: Keylogger.Org L'Équipe