Mikä on CISO:n rooli vaatimusten noudattamisessa?

Keskustelu Allianz Partnersin tietoturvavastaavan Frédéric Jesupretin kanssa

Sen jälkeen kun PCI Standards Security Council julkaisi PCI DSS:n version 4.0 31. maaliskuuta, siitä on tullut keskustelun keskus maailmanlaajuisessa maksu- ja vaatimustenmukaisuusalalla.

Kun uusia tietosuojasääntöjä luodaan ja päivitetään, keskustelu tietosuojasta lisääntyy ympäri maailmaa.

Keskustelin äskettäin Allianz Groupin maailmanlaajuisen tuki- ja vakuutuspalveluiden tytäryhtiön Allianz Partnersin tietoturvapäällikön Frédéric Jesupretin kanssa muutoksista PCI DSSv.4.0:n yhteensopivuudessa, jotka ovat keskeisiä tekijöitä kansainvälisten määräysten, koulutuksen ja vaatimustenmukaisuushaasteiden hallinnassa.

PCI DSS v4.0:n kehitys – mitä uutta?

PCI DSS v4.0 ilmestyi tänä vuonna ehdotuksella nostaa vaatimustenmukaisuus uudelle tasolle ja lisätä turvallisuutta maksualalla. Yritysten on kuitenkin valmistauduttava sisällyttämään uusi standardi soveltamisalaansa.

Uusi standardi antaa yrityksille mahdollisuuden käyttää erilaisia ​​tapoja täyttää turvallisuusvaatimukset.

Frédéricin mukaan haasteena on se, että yritysten on mukauduttava uuteen standardiin ja järjestelmiensä vaatimuksiin. Hän kuitenkin lisää, että PCI DSS v.4.0 on tärkeä askel yrityksille, sillä "uusi standardi auttaa meitä parantamaan vaatimustenmukaisuuttamme ja valmistaa meitä myös muiden mahdollisten standardien noudattamiseen tulevaisuudessa."

Useiden puitteiden ja kansainvälisten säädösten hallinta

Maailmanlaajuisten yritysten on noudatettava paikallisia ja kansainvälisiä tietosuoja- ja tietosuojamääräyksiä. Tämä johtaa monimutkaiseen hallintoprosessiin, varsinkin nyt, kun kansalliset tietosuojasäännökset ovat yhä tiukemmat.

Frédéric neuvoo tähän liittyen:

• Noudata yrityksen standardeja, kuten ISO27001.
• Valmistele malleja, joiden avulla paikalliset tahot voivat saavuttaa vaatimustenmukaisuuden.
• Käytä standardoitua lähestymistapaa IT-tietoturvaan ja IT-riskeihin luodaksesi vakioraportteja.
• Käytä samaa lähestymistapaa kaikkien elementtien hallintaan.

Tärkeimmät neuvot pysyäksesi koulutettuna ja mukautuvana

CISO:lle voi olla melkoista haastetta neuvotella useista puitteista ja määräyksistä.

Frédéricille noudattamisen tahdissa pysyminen on "loputon tarina", joka vaatii paljon lukemista, Internet-tutkimusta ja arvokkaiden tietokanavien, kuten Vigitrust Advisory Boardin, käyttöä.

Tämän rinnalla on vaatimusten noudattamisen haaste. Kuten Frederic sanoo, "meidän on keskityttävä päivittäisiin tehtäviin, jotta voimme saavuttaa uuden vaatimustenmukaisuuden virstanpylvään hetken kuluttua."