การสนทนากับ Frédéric Jesupret เจ้าหน้าที่รักษาความปลอดภัยข้อมูลกลุ่มที่ Allianz Partners
เมื่อมีการสร้างและปรับปรุงข้อบังคับด้านความเป็นส่วนตัวใหม่ การสนทนาเกี่ยวกับการจัดการความเป็นส่วนตัวก็เพิ่มขึ้นทั่วโลก
เก็ตตี้
เนื่องจาก PCI Standards Security Council ได้เผยแพร่ PCI DSS เวอร์ชัน 4.0 เมื่อวันที่ 31 มีนาคม ได้กลายเป็นศูนย์กลางของการอภิปรายในอุตสาหกรรมการชำระเงินและการปฏิบัติตามข้อกำหนดทั่วโลก
เมื่อมีการสร้างและปรับปรุงข้อบังคับด้านความเป็นส่วนตัวใหม่ การสนทนาเกี่ยวกับการจัดการความเป็นส่วนตัวก็เพิ่มขึ้นทั่วโลก
เมื่อเร็ว ๆ นี้ฉันได้พูดคุยกับ Frédéric Jesupret เจ้าหน้าที่รักษาความปลอดภัยข้อมูลกลุ่มของ Allianz Partners ซึ่งเป็นบริษัทในเครือด้านความช่วยเหลือและการประกันภัยระดับโลกของ Allianz Group เกี่ยวกับการเปลี่ยนแปลงในการปฏิบัติตาม PCI DSSv.4.0 องค์ประกอบหลักในการจัดการกฎระเบียบระหว่างประเทศ การฝึกอบรม และความท้าทายด้านการปฏิบัติตามกฎระเบียบ
วิวัฒนาการของ PCI DSS v4.0–มีอะไรใหม่?
PCI DSS v4.0 ปรากฏขึ้นในปีนี้พร้อมกับข้อเสนอที่จะปฏิบัติตามระดับใหม่และเพิ่มความปลอดภัยในอุตสาหกรรมการชำระเงิน อย่างไรก็ตาม บริษัทต่างๆ จะต้องเตรียมที่จะรวมมาตรฐานใหม่ไว้ในขอบเขตของตน
มาตรฐานใหม่นี้ทำให้บริษัทต่างๆ สามารถใช้วิธีการต่างๆ ในการปฏิบัติตามข้อกำหนดด้านความปลอดภัยต่างๆ ได้
จากคำกล่าวของ Frédéric ความท้าทายคือบริษัทต่างๆ จะต้องปรับให้เข้ากับมาตรฐานใหม่และข้อกำหนดสำหรับระบบของตน อย่างไรก็ตาม เขาเสริมว่า PCI DSS v.4.0 จะเป็นขั้นตอนที่สำคัญสำหรับบริษัทต่างๆ เนื่องจาก "มาตรฐานใหม่นี้จะช่วยให้เราปรับปรุงการปฏิบัติตามข้อกำหนดของเราและเตรียมเราให้พร้อมสำหรับการปฏิบัติตามมาตรฐานที่เป็นไปได้อื่นๆ ในอนาคต"
การจัดการหลายกรอบงานและกฎระเบียบระหว่างประเทศ
บริษัทระดับโลกจำเป็นต้องปฏิบัติตามข้อบังคับด้านความเป็นส่วนตัวและการปกป้องข้อมูลทั้งในระดับท้องถิ่นและระดับสากล สิ่งนี้นำไปสู่กระบวนการจัดการที่ซับซ้อน โดยเฉพาะอย่างยิ่งในช่วงเวลาที่กฎระเบียบด้านการปกป้องข้อมูลระดับประเทศมีความเข้มงวดมากขึ้น
สำหรับเรื่องนี้ เฟรเดริกแนะนำว่า:
- เป็นไปตามมาตรฐานของบริษัท เช่น ISO27001
- เตรียมเทมเพลตเพื่อช่วยให้หน่วยงานในพื้นที่ปฏิบัติตามข้อกำหนด
- ใช้แนวทางที่เป็นมาตรฐานในการรักษาความปลอดภัยด้านไอทีและความเสี่ยงด้านไอทีเพื่อสร้างรายงานมาตรฐาน
- ใช้แนวทางเดียวกันในการจัดการองค์ประกอบทั้งหมด
คำแนะนำที่สำคัญเพื่อให้ได้รับการศึกษาและปฏิบัติตาม
อาจเป็นเรื่องท้าทายสำหรับ CISO ในการเจรจาเรื่องกรอบงานและระเบียบข้อบังคับต่างๆ
สำหรับ Frédéric การปฏิบัติตามข้อกำหนดคือ “เรื่องราวที่ไม่มีวันจบสิ้น” ที่ต้องใช้การอ่านอย่างมาก การวิจัยทางอินเทอร์เน็ต และการใช้ช่องทางข้อมูลที่มีค่า เช่น Vigitrust Advisory Board
ควบคู่ไปกับความท้าทายในการปฏิบัติตาม ตามที่ Frederic กล่าว "เป็นงานประจำวันที่เราต้องให้ความสำคัญเพื่อที่จะบรรลุขั้นตอนการปฏิบัติตามข้อกำหนดอื่นในเวลาอันสั้นในภายหลัง"
ที่มา: https://www.forbes.com/sites/forbesbooksauthors/2022/09/09/what-is-the-role-of-a-ciso-in-compliance/