דיון עם פרדריק Jesupret, קצין אבטחת מידע קבוצתי ב- Allianz Partners
ככל שתקנות פרטיות חדשות נוצרות ומתעדכנות, מתרבים הדיונים על ניהול פרטיות ברחבי העולם.
גטי
מאז שמועצת האבטחה של תקני PCI פרסמה את גרסה 4.0 של PCI DSS ב-31 במרץ, היא הפכה למרכז הדיון בתעשיית התשלומים והתאימות העולמית.
ככל שתקנות פרטיות חדשות נוצרות ומתעדכנות, מתרבים הדיונים על ניהול פרטיות ברחבי העולם.
לאחרונה שוחחתי עם פרדריק Jesupret, קצין אבטחת מידע קבוצתי ב- Allianz Partners, חברת הבת הגלובלית של שירותי הסיוע והביטוח של קבוצת Allianz, על השינויים בעמידה ב-PCI DSSv.4.0, מרכיבים מרכזיים בניהול תקנות בינלאומיות, אתגרי הדרכה ותאימות.
האבולוציה של PCI DSS v4.0 – מה חדש?
PCI DSS v4.0 הופיע השנה עם ההצעה לקחת תאימות לרמה חדשה ולהגביר את האבטחה בתעשיית התשלומים. עם זאת, על החברות להיערך לשילוב התקן החדש בתחומה.
התקן החדש מאפשר לחברות להשתמש בדרכים שונות כדי לעמוד בדרישות האבטחה.
לדברי פרדריק, האתגר הוא שחברות יצטרכו להסתגל לתקן החדש ולדרישות למערכות שלהן. עם זאת, הוא מוסיף כי PCI DSS v.4.0 יהיה צעד חשוב עבור חברות שכן "התקן החדש יעזור לנו לשפר את התאימות שלנו וגם להכין אותנו לעמידה בתקנים אפשריים אחרים בעתיד".
ניהול מסגרות מרובות ותקנות בינלאומיות
חברות גלובליות נדרשות לציית לתקנות הפרטיות והגנת הנתונים המקומיות והבינלאומיות. זה מוביל לתהליך ניהול מורכב, במיוחד בתקופה שבה תקנות הגנת המידע הלאומיות הולכות ומחמירות.
ביחס לכך, פרדריק מייעץ:
- לעמוד בתקני החברה כגון ISO27001.
- הכן תבניות כדי לעזור לישויות מקומיות להשיג ציות.
- אמצו גישה סטנדרטית לאבטחת IT ולסיכון IT כדי להפיק דוחות סטנדרטיים.
- אמצו את אותה גישה לניהול כל האלמנטים.
עצות מרכזיות לשמור על השכלה וצייתיות
זה יכול להיות אתגר לא קטן עבור CISOs לנהל משא ומתן על מסגרות ותקנות מרובות.
עבור פרדריק, עמידה בקצב הציות הוא "סיפור בלתי נגמר" הדורש קריאה רבה, מחקר אינטרנטי ושימוש בערוצי מידע יקרי ערך כמו המועצה המייעצת של Vigitrust.
לצד זה האתגר לשמור על ציות. כפי שמגדיר זאת פרדריק, "אלה המשימות היומיומיות שעלינו להתמקד בהן כדי להגיע לאבן דרך נוספת בציות זמן קצר לאחר מכן."
מקור: https://www.forbes.com/sites/forbesbooksauthors/2022/09/09/what-is-the-role-of-a-ciso-in-compliance/