Bir CISO'nun Uyumdaki Rolü Nedir?

Allianz Partners Grup Bilgi Güvenliği Sorumlusu Frédéric Jesupret ile bir tartışma

PCI Standartları Güvenlik Konseyi'nin 4.0 Mart'ta PCI DSS'nin 31 sürümünü yayınlamasından bu yana, küresel ödemeler ve uyumluluk endüstrisindeki tartışmaların merkezi haline geldi.

Yeni gizlilik düzenlemeleri oluşturulup güncellendikçe dünya çapında gizlilik yönetimine ilişkin tartışmalar artıyor.

Yakın zamanda Allianz Grubu'nun küresel yardım ve sigorta hizmetleri iştiraki Allianz Partners'ın Grup Bilgi Güvenliği Sorumlusu Frédéric Jesupret ile PCI DSSv.4.0'a uyumdaki değişiklikler, uluslararası düzenlemelerin yönetilmesindeki temel unsurlar, eğitim ve uyumluluk zorlukları hakkında konuştum.

PCI DSS v4.0'ın evrimi – yenilikler neler?

PCI DSS v4.0 bu yıl, ödemeler sektöründe uyumluluğu yeni bir seviyeye taşıma ve güvenliği artırma teklifiyle ortaya çıktı. Ancak şirketlerin yeni standardı kendi kapsamlarına dahil etmeye hazırlanmaları gerekiyor.

Yeni standart, şirketlerin güvenlik gereksinimlerini karşılamak için farklı yöntemler kullanmalarına olanak tanıyor.

Frédéric'e göre zorluk, şirketlerin yeni standarda ve sistemlerinin gereksinimlerine uyum sağlamaları gerekmesidir. Ancak PCI DSS v.4.0'ın şirketler için önemli bir adım olacağını da ekliyor: "Yeni standart, uyumluluğumuzu geliştirmemize yardımcı olacak ve aynı zamanda bizi gelecekte olası diğer standartlarla uyumluluğa da hazırlayacak."

Çoklu çerçeveleri ve uluslararası düzenlemeleri yönetme

Küresel şirketlerin yerel ve uluslararası gizlilik ve veri koruma düzenlemelerine uyması gerekmektedir. Bu, özellikle ulusal veri koruma düzenlemelerinin giderek daha sıkı hale geldiği bir dönemde, karmaşık bir yönetim sürecine yol açmaktadır.

Bununla ilgili olarak Frédéric şunları tavsiye ediyor:

• ISO27001 gibi şirket standartlarına uyun.
• Yerel kuruluşların uyumluluğu sağlamasına yardımcı olacak şablonlar hazırlayın.
• Standart raporlar oluşturmak için BT güvenliği ve BT riskine yönelik standartlaştırılmış bir yaklaşım benimseyin.
• Tüm unsurları yönetirken aynı yaklaşımı benimseyin.

Eğitimli ve uyumlu kalmak için temel tavsiyeler

CISO'ların birden fazla çerçeve ve düzenlemeyi müzakere etmesi oldukça zor olabilir.

Frédéric için uyumluluğa ayak uydurmak, çok fazla okumayı, internette araştırma yapmayı ve Vigitrust Danışma Kurulu gibi değerli bilgi kanallarının kullanılmasını gerektiren "bitmeyen bir hikaye".

Bunun yanı sıra uyumlu kalmanın zorluğu da var. Frederic'in belirttiği gibi, "Kısa bir süre sonra başka bir uyumluluk dönüm noktasına ulaşmak için odaklanmamız gerekenler günlük görevlerdir."