EMC Consulting sfrutta l’esperienza RSA in tema di sicurezza e compliance per aumentare la fiducia dei clienti nei programmi di gestione della sicurezza delle informazioni
EMC Corporation, leader mondiale nelle soluzioni e tecnologie per la gestione dell’infrastruttura informativa, ha annunciato nuovi ed avanzati servizi di consulenza, destinati a supportare le organizzazioni nel rispettare le nuove linee guida definite dal nuovo Payment Card Industry Data Security Standard (PCI DSS) 2.0, in vigore a partire dal 1 gennaio. I nuovi servizi aiuteranno le organizzazioni a ridurre i costi legati alla compliance ed offriranno loro un approccio olistico ed orientato al Risk Management.
L’importanza di PCI DSS e le sue novità
• PCI DSS è un framework di best practice richieste a tutte le organizzazioni che raccolgono, processano o immagazzinano informazioni di transazioni e conti legati a carte di pagamento, che intende proteggere i dati delle carte lungo il loro intero ciclo di vita.
• La mancata conformità viene punita con sanzioni elevate, cosa che spinge molte aziende a destinare una parte significativa del loro budget a programmi di sicurezza dei dati collegati alla compliance, come PCI DSS 2.0, secondo una recente ricerca condotta da Forrester Consulting per conto di RSA e Microsoft.
• Le importanti novità introdotte nella versione 2.0, sottolineano la necessità per le organizzazioni di effettuare un’accurata analisi sugli obiettivi da raggiungere, prima di eseguire ogni assessment, per capire dove si trovano fisicamente i dati dei titolari di carta. Questo consente alle aziende di adottare un approccio risk-based, in fase di individuazione e prioritizzazione delle vulnerabilità, sulla base delle proprie specifiche caratteristiche di business.
I servizi PCI DSS Readiness and Response di EMC Consulting
• I nuovi servizi PCI DSS Readiness and Response di EMC Consulting rispondono alle novità introdotte da PCI DSS 2.0 ed aiutano a tramutare gli obiettivi di business in policy e strategie di gestione del rischio per le informazioni trattate.
• Sfruttando l’esperienza in tema di sicurezza e compliance di RSA, la Security Division di EMC, questi servizi vengono offerti tramite l’utilizzo delle tecnologie, e delle metodologie di settore. Tali servizi, includono anche la raccomandazione di separare le funzioni tra l’assessment PCI propriamente detto ed i piani di remediation e compliance allo standard.
“Le aziende non hanno ancora ben chiara l’importanza di separare Readiness e Compliance”, ha spiegato Chris Liebert, Senior Analyst Security Services di IDC. “La vera sfida che le organizzazioni devono affrontare non è il processo di assessment PCI in sé. Il PCI Security Standards Council stabilisce chiaramente i requisiti per un’autovalutazione, ed il processo annuale di assessment PCI on-site condotto da Qualified Security Assessors (QSA) è lineare e certificato dal Council. Un corretto approccio alla validazione della propria conformità PCI prevede un processo in tre momenti distinti: assessment, remediation e compliance. Accostando alla compliance PCI con un’analisi dettagliata di readiness e definendo attività di correzione prima che venga effettuato ogni valutazione on-site, le organizzazioni riducono il rischio di non superare l’assessment formale, e di dover quindi sostenere costi dovuti alla mancata conformità.”
I nuovi servizi comprendono:
• PCI Program Strategy and Implementation – le organizzazioni che si avvalgono di questo servizio, non solo risolvono le problematiche di conformità PCI, ma sviluppano un programma di sicurezza e compliance allineato agli obiettivi di business. Tra i nuovi servizi offerti, vi sono lo sviluppo e la gestione del programma, il disegno di framework strategici per il programma PCI, l’assessment e lo sviluppo di processi e best practice, e la formazione PCI per i team di sicurezza, i titolari di carta, gli stakeholder primari ed i team di auditing interni.
• PCI Readiness Assessment – questo servizio valuta la situazione attuale di un’organizzazione rispetto a PCI DSS ed aiuta a sviluppare una roadmap strategica di correzione prima di effettuare un formale assessment PCI. Gli esperti di EMC Consulting utilizzano una combinazione di interviste, review di sistema, visite onsite ed analisi documentali per scoprire eventuali lacune e problematiche nella conformita aziendale alla PCI DSS.
• Breach Management e Post-Event Readiness Assessment – anche le organizzazioni che hanno superato un assessment PCI possono avere problemi di sicurezza legati alle informazioni su carte e titolari. In questo caso, le azioni che si intraprendono dopo l’evento possono determinarne l’impatto finanziario sull’organizzazione. Questi nuovi servizi includono l’indagine conoscitiva ex-post, la valutazione e la definizione delle linee guida per garantire all’organizzazione la conformità futura.
Una lista completa dei servizi offerti da EMC Consulting in tema di Risk Management e Compliance è disponibile qui.
“EMC Consulting e RSA sono leader nell’offerta di programmi che aiutano i clienti a creare la strategia di sicurezza in grado di rispondere alle necessità normative e di governance”, ha spiegato Tom Roloff, Senior Vice President di EMC Consulting, business unit di EMC Corporation. “Abbiamo ben chiaro che dimostrare e mantenere la conformità PCI resta una delle sfide più ampie e complesse che le aziende oggi si trovano ad affrontare. Sfruttando l’esperienza di RSA, EMC Consulting opera come trusted security advisor, dando alle organizzazioni la massima fiducia di poter rispettare tutte le normative, ed anche di creare un’ampia base di best practice relative alla sicurezza dei dati.”