Mis on CISO roll nõuete täitmisel?

Arutelu Allianz Partnersi grupi infoturbeametniku Frédéric Jesupretiga

Pärast seda, kui PCI Standardite Julgeolekunõukogu avaldas 4.0. märtsil PCI DSS-i versiooni 31, on sellest saanud ülemaailmse maksete ja vastavuse valdkonna arutelude keskpunkt.

Uute privaatsuseeskirjade loomise ja uuendamisega sagenevad arutelud privaatsushalduse üle kogu maailmas.

Rääkisin hiljuti Allianz Groupi ülemaailmse abi- ja kindlustusteenuste tütarettevõtte Allianz Partnersi grupi infoturbeametniku Frédéric Jesupretiga muudatustest vastavuses standardiga PCI DSSv.4.0, mis on rahvusvaheliste eeskirjade haldamise, koolituse ja vastavuse väljakutsete põhielemendid.

PCI DSS v4.0 areng – mis on uut?

PCI DSS v4.0 ilmus sel aastal ettepanekuga viia vastavus uuele tasemele ja suurendada maksesektori turvalisust. Ettevõtted peavad aga valmistuma uue standardi lisamiseks oma kohaldamisalasse.

Uus standard võimaldab ettevõtetel turvanõuete täitmiseks kasutada erinevaid viise.

Frédéricu sõnul seisneb väljakutse selles, et ettevõtted peavad kohanema uue standardi ja oma süsteemidele esitatavate nõuetega. Siiski lisab ta, et PCI DSS v.4.0 on ettevõtete jaoks oluline samm, kuna "uus standard aitab meil parandada vastavust ja valmistab meid ette ka tulevikus muude võimalike standardite järgimiseks."

Mitme raamistiku ja rahvusvaheliste eeskirjade haldamine

Ülemaailmsed ettevõtted peavad järgima kohalikke ja rahvusvahelisi privaatsus- ja andmekaitseeeskirju. See toob kaasa keeruka haldusprotsessi, eriti ajal, mil riiklikud andmekaitseeeskirjad muutuvad järjest karmimaks.

Sellega seoses annab Frédéric nõu:

• Järgige ettevõtte standardeid, nagu ISO27001.
• Valmistage ette mallid, mis aitavad kohalikel üksustel nõuetele vastavust saavutada.
• Standardsete aruannete koostamiseks kasutage IT-turvalisuse ja IT-riskide jaoks standardset lähenemisviisi.
• Kasutage kõigi elementide haldamisel sama lähenemisviisi.

Peamine nõuanne, et hoida end harituna ja järgida

CISO-de jaoks võib olla üsna suur väljakutse pidada läbirääkimisi mitme raamistiku ja eeskirjade üle.

Frédéricu jaoks on nõuetele vastavusega sammu pidamine "lõputu lugu", mis nõuab palju lugemist, Interneti-uuringuid ja väärtuslike teabekanalite, nagu Vigitrust Advisory Board, kasutamist.

Selle kõrval on väljakutse järgida. Nagu Frederic ütleb: "Peame keskenduma igapäevastele ülesannetele, et jõuda mõne aja pärast teise vastavuse verstapostini."