4 способа получить максимальную отдачу от вашего PCI QSAs
В интервью CSOonline в прошлом месяце Heartland Payment Systems Inc. Генеральный директор Роберт Карр набросился на квалифицированных оценщиков безопасности (QSAs), которые проверяли его компанию на соответствие требованиям безопасности PCI, утверждая, что они пропустили ключевые сетевые дыры, которые в конечном итоге привели к массовому нарушению безопасности данных. Читатели ударили в ответ, хлопнув Карра за то, что он не признался в проблемах, свирепствующих в его ИТ-безопасности-например, прочитайте мнение одного человека: генеральный директор Heartland должен взять на себя ответственность .
Также смотрите Heartland CEO о нарушении данных: QSAs подвел нас
В ответ на этот ответ CSOonline опросила экспертов по безопасности, которые проводили и получали оценки, чтобы создать краткий контрольный список для того, чтобы отношения между компанией и QSA начались наилучшим образом. Вот четыре ключевых предложения:
1. Выбирайте поставщика с умом
Одна из распространенных проблем заключается в том, что QSA выбирается слишком поспешно, потому что компания хочет закончить процесс как можно быстрее. В результате компания нанимает оценщика, который не так хорошо разбирается в вопросах, уникальных для их среды.
Марк Эллисон, вице-президент по информационной безопасности компании Global Cash Access, базирующейся в Лас-Вегасе, сказал, что компании должны провести тщательную проверку всех поставщиков QSA, чтобы убедиться, что тот, кто будет выбран, специализируется на проблемах, наиболее распространенных в их конкретной отрасли.
"Убедитесь, что у поставщика есть МСП, которые отвечают вашим потребностям, и не пугайтесь, если некоторые поставщики заключат субподряд с другими квалифицированными организациями для создания всеобъемлющего ответа", - сказал он. - Как и вы, профессионалы используют свои сильные стороны и усиливают ограничения, нанимая специалистов. Сделайте свою домашнюю работу и оцените полномочия всех поставщиков и участников и поймите, как объединение их усилий в комплексный план может привести к успешному выполнению."
2. Заложить основу
Одна вещь, которая наверняка приведет оценку безопасности компании к плохому началу, - это отсутствие планирования, сказала Эллисон. Поэтому он рекомендует начать с самооценки. Таким образом, компания имеет довольно хорошее представление о том, где находятся слабые места до прибытия QSA. На 1-й день администраторы безопасности должны проинформировать QSA обо всем, что они знают до этого момента. Таким образом, QSA может заострить свое внимание на конкретных проблемных областях и составить более продуктивный список действий.
"Получите последнюю анкету для самооценки с веб-сайта PCI DSS- Сказала Эллисон. - И помните, что все, что меньше полной откровенности, будет препятствовать способности вашего эксперта эффективно и результативно выполнять свою работу."
3. Дайте QSA доступ к ключевым игрокам
Еще одна вещь, которая может повредить процессу оценки, заключается в том, что компания пытается ограничить воздействие QSAs как можно меньшим числом людей. Это может быть связано с тем, что руководство не хочет, чтобы QSA получала плохие указания от сотрудников, которые не обязательно имеют полное представление о вещах. Но всегда лучше предоставить QSA доступ ко всем ключевым игрокам, сказал Дэниел Уоллес, консультант из Детройта и руководитель проекта по информационной безопасности. Уоллес недавно написал исчерпывающий пост на эту тему в блоге Information Security Resources.
QSAs часто проводит многочисленные интервью с ключевыми менеджерами, чтобы быть абсолютно уверенным в том, что каждый аспект операции был изучен в максимально возможной степени. До того, как QSA прибудет, компания должна составить список людей, которые могут провести первоначальное собеседование. Планирование встреч для QSA с самого начала ускорит этот процесс в долгосрочной перспективе. Одна вещь, которая может затянуть этот процесс, - это когда ключевые игроки нарушают или забывают свое назначение на собеседование, сказал Уоллес.
4. Не относитесь к QSA как к врагу
Еще одна распространенная проблема - особенно с точки зрения QSA, рассматриваемой в этой статье, - заключается в том, что оценщики часто рассматриваются компанией, которую они там рассматривают, как приближающуюся гремучую змею. Это тоже рецепт неудачи, и его следует избегать любой ценой.
-Здесь нет места для эго, - сказала Эллисон. - Асессор найдет слабые места. Преодолейте это и учитесь на этом."
Также смотрите болевые точки PCI после аудита
Эд Мойл, партнер-основатель компании Security Curve и бывший вице-президент по информационной безопасности Merrill Lynch, испытал хорошие и плохие аспекты процесса оценки с обеих сторон и согласен с этими замечаниями. Он признал, что оценки не всегда так тщательны, как должны быть, и вина обычно лежит как на компании, так и на QSA.
Он отметил, что давление является высоким как для QSA, так и для компании, и давление может привести к ошибкам.
"Клиент платит вам и хочет, чтобы его нашли послушным", - сказал он. "У вас также есть большие сложные среды с большим количеством движущихся частей, и есть много возможностей не обращать внимания на вещи."
Тем не менее, Мойл отметил, что чем больше информации и доступа имеет QSA, тем больше шансов на тщательный, успешный аудит, который может предотвратить нарушение данных в дальнейшем.
"Окружающая среда компании может быть чрезвычайно сложной, с сотнями местоположений по всей стране или миру, и любое одно место может иметь слабые места", - сказал он. "Если у вас есть несколько направлений бизнеса, и вы не говорите QSA обо всех из них, QSA не будет знать, чтобы искать в этих областях, и что-то будет упущено. Это не вина QSA."
Дата публикации: Также смотрите Heartland CEO о нарушении данных: QSAs подвел нас
В ответ на этот ответ CSOonline опросила экспертов по безопасности, которые проводили и получали оценки, чтобы создать краткий контрольный список для того, чтобы отношения между компанией и QSA начались наилучшим образом. Вот четыре ключевых предложения:
1. Выбирайте поставщика с умом
Одна из распространенных проблем заключается в том, что QSA выбирается слишком поспешно, потому что компания хочет закончить процесс как можно быстрее. В результате компания нанимает оценщика, который не так хорошо разбирается в вопросах, уникальных для их среды.
Марк Эллисон, вице-президент по информационной безопасности компании Global Cash Access, базирующейся в Лас-Вегасе, сказал, что компании должны провести тщательную проверку всех поставщиков QSA, чтобы убедиться, что тот, кто будет выбран, специализируется на проблемах, наиболее распространенных в их конкретной отрасли.
"Убедитесь, что у поставщика есть МСП, которые отвечают вашим потребностям, и не пугайтесь, если некоторые поставщики заключат субподряд с другими квалифицированными организациями для создания всеобъемлющего ответа", - сказал он. - Как и вы, профессионалы используют свои сильные стороны и усиливают ограничения, нанимая специалистов. Сделайте свою домашнюю работу и оцените полномочия всех поставщиков и участников и поймите, как объединение их усилий в комплексный план может привести к успешному выполнению."
2. Заложить основу
Одна вещь, которая наверняка приведет оценку безопасности компании к плохому началу, - это отсутствие планирования, сказала Эллисон. Поэтому он рекомендует начать с самооценки. Таким образом, компания имеет довольно хорошее представление о том, где находятся слабые места до прибытия QSA. На 1-й день администраторы безопасности должны проинформировать QSA обо всем, что они знают до этого момента. Таким образом, QSA может заострить свое внимание на конкретных проблемных областях и составить более продуктивный список действий.
"Получите последнюю анкету для самооценки с веб-сайта PCI DSS- Сказала Эллисон. - И помните, что все, что меньше полной откровенности, будет препятствовать способности вашего эксперта эффективно и результативно выполнять свою работу."
3. Дайте QSA доступ к ключевым игрокам
Еще одна вещь, которая может повредить процессу оценки, заключается в том, что компания пытается ограничить воздействие QSAs как можно меньшим числом людей. Это может быть связано с тем, что руководство не хочет, чтобы QSA получала плохие указания от сотрудников, которые не обязательно имеют полное представление о вещах. Но всегда лучше предоставить QSA доступ ко всем ключевым игрокам, сказал Дэниел Уоллес, консультант из Детройта и руководитель проекта по информационной безопасности. Уоллес недавно написал исчерпывающий пост на эту тему в блоге Information Security Resources.
QSAs часто проводит многочисленные интервью с ключевыми менеджерами, чтобы быть абсолютно уверенным в том, что каждый аспект операции был изучен в максимально возможной степени. До того, как QSA прибудет, компания должна составить список людей, которые могут провести первоначальное собеседование. Планирование встреч для QSA с самого начала ускорит этот процесс в долгосрочной перспективе. Одна вещь, которая может затянуть этот процесс, - это когда ключевые игроки нарушают или забывают свое назначение на собеседование, сказал Уоллес.
4. Не относитесь к QSA как к врагу
Еще одна распространенная проблема - особенно с точки зрения QSA, рассматриваемой в этой статье, - заключается в том, что оценщики часто рассматриваются компанией, которую они там рассматривают, как приближающуюся гремучую змею. Это тоже рецепт неудачи, и его следует избегать любой ценой.
-Здесь нет места для эго, - сказала Эллисон. - Асессор найдет слабые места. Преодолейте это и учитесь на этом."
Также смотрите болевые точки PCI после аудита
Эд Мойл, партнер-основатель компании Security Curve и бывший вице-президент по информационной безопасности Merrill Lynch, испытал хорошие и плохие аспекты процесса оценки с обеих сторон и согласен с этими замечаниями. Он признал, что оценки не всегда так тщательны, как должны быть, и вина обычно лежит как на компании, так и на QSA.
Он отметил, что давление является высоким как для QSA, так и для компании, и давление может привести к ошибкам.
"Клиент платит вам и хочет, чтобы его нашли послушным", - сказал он. "У вас также есть большие сложные среды с большим количеством движущихся частей, и есть много возможностей не обращать внимания на вещи."
Тем не менее, Мойл отметил, что чем больше информации и доступа имеет QSA, тем больше шансов на тщательный, успешный аудит, который может предотвратить нарушение данных в дальнейшем.
"Окружающая среда компании может быть чрезвычайно сложной, с сотнями местоположений по всей стране или миру, и любое одно место может иметь слабые места", - сказал он. "Если у вас есть несколько направлений бизнеса, и вы не говорите QSA обо всех из них, QSA не будет знать, чтобы искать в этих областях, и что-то будет упущено. Это не вина QSA."
Автор: Keylogger.Org Команда
