转译自 Forbes

一家公司可以 100% 合规，但 100% 为网络罪犯所有。许多公司记录每项网络安全措施并勾选所有适当的合规框。即便如此，他们仍然成为头条新闻并丢失客户数据。合规并不意味着安全。

以目标为例。我们大多数人都记得这家零售巨头 2013 年在一名网络罪犯进入其销售点系统后发生的大规模数据泄露事件。大多数人不知道的是，Target 于当年获得了支付卡行业 (PCI) 网络安全标准的认证。万豪可能也是如此，尽管欧洲通用数据保护条例和纽约州的数据泄露调查将证明这一点。

要了解合规性和安全性之间的差距，我们必须追溯网络安全监管的根源：银行监管。金融监管的出现是为了阻止不受欢迎的行为，例如内幕交易。在这个世界上，合规意味着记录违规行为以供事后调查。如果发生不当行为，银行可以惩罚不法行为者并事后改正。简而言之，银行合规是一种威慑形式。

在网络安全中，被盗数据一直被盗。一旦客户的数据落入罪犯之手，就很难让客户恢复完整。无论如何，这些罪犯在世界的另一端，受到不会起诉他们的政府的保护。威慑在这里并不那么有效——我们需要有效的预防。

凭借在传统 IT 领域的网络安全和合规背景，我在过去 10 年中一直在帮助企业确保其工作负载和数据的安全和合规，这些工作负载和数据现在位于传统的数据中心四壁之外。组织需要重新思考他们看待网络安全的方式。公司必须放弃最省力的、打勾的合规方法，转而采用目标驱动的思维方式，专注于保护客户数据而不是填写表格。

我们还没有。在最高管理层和高级管理层将安全性视为一种远远超出简单合规性的精神之前，我们需要三个临时措施：

规定性法规

第一项措施是更规范、范围更广的监管。目前的监管通常在两个方面失败。首先是其规则的深度。它不够规范。在网络安全领域尤其如此，因为技术发展如此之快。

今天的犯罪分子正在使用几年前会让大多数安全专家感到困惑的恶意数字攻击工具。勒索软件不会窃取数据，而是将其锁定并收取返还费用。Cryptojackers 通过使用它们来挖掘加密货币来危及企业计算机。民族国家的攻击者“靠土地为生”，使用受害者自己的技术工具渗透他们的网络并潜伏数月不为人知。法规通常无法明确指出这些新技术或推荐保护措施。

然后是范围问题。法规通常不会涵盖他们应该涵盖的公司。纽约金融服务部提供了一些美国更规范的网络安全法规，但在 Equifax 违规事件发生之前，它并未涵盖信用评级机构。该机构在 2018 年出台了新规则来纠正这一问题。

也许最具规范性的法规来自12 月下旬发布的最新FINRA 网络安全报告。管理银行业的新法规甚至要求特定技术，例如安全日志系统（称为 SIEM）、身份和访问管理 (IAM) 等用户访问控制、内部威胁和数据丢失防护 (DLP) 以及数据加密存储在服务器上并通过数字连接传输。新法规还要求特定的日志记录工件、年度证明以及特定的网络钓鱼攻击存档和清单。

定期调查 

有助于我们推动公司采取更积极主动的安全措施的第二步是定期调查。安全必须是一个受托问题，高管必须负责。我们可以通过让执行官签署一份描述公司经历的安全事件及其造成的后果的宣誓书来鼓励这一点。

我相信这些信息应该是公共记录的问题。很多时候，公司会在庭外解决数据泄露诉讼，以避免公开泄露他们的网络安全失败，这可能会引发进一步的诉讼。照亮它会让他们负起责任。

如果高级管理人员未能在他们的组织中推动必要的变革，我认为他们应该为这种不作为负责。这有助于使安全成为个人责任。

一个改进的循环 

第三步直接源于这些年度报告。定期反馈还为监管机构创造了宝贵的情报，监管机构可以整理这些信息并将其用于为不断发展的监管政策提供信息。随着新威胁的出现以及缓解这些威胁的技术，监管机构可以在规则更新中反映出来。

以这种方式使用行业违规数据可以通过创建改进循环来关闭不断发展的监管和合规策略中的循环。它将监管转变为对其环境做出反应的生物，并缩小了合规与真正安全之间的差距。

缩小合规性和安全性之间的差距不会一蹴而就。政府政策制定者行动缓慢，公司文化转变更慢。尽管如此，如果我们不想看到数亿客户记录落入有组织的犯罪分子手中，我们就必须做出改变。