In farmacia la sicurezza dei farmaci è sotto stretto controllo da parte delle autorità nazionali, ad es. FDA negli Stati Uniti. I rischi dei pazienti che assumono farmaci sono quindi minimizzati in modo efficace, sebbene comprensibilmente impossibile da ridurre a zero.
Quali autorità nazionali controllano in modo simile la sicurezza (sicurezza) di software e hardware utilizzati?
Non c'è organizzazione governativa che supervisiona la sicurezza delle informazioni. Quello che abbiamo sono insiemi di standard come PCI o leggi come Sarbanes Oxley e HIPPA . Quando una società vuole fare affari con MasterCard o Visa, sarà (di solito) richiesta per essere conforme PCI e fare un audit prima di poter fare affari. Se la tua attività dipende dalla comunicazione con le organizzazioni sanitarie e non rispetti gli standard HIPPA, (di solito) non faranno affari con te. Se una società intrattiene rapporti commerciali con un'altra società che non è conforme agli standard o alle normative pertinenti e vi è una violazione, ciò causerà un'enorme reazione pubblica contro entrambi il timore di tale perdita di reputazione e, pertanto, di affari in base alla legge i semi potrebbero risultare ciò che li tiene in riga.
Non esiste un tale controllo. Si potrebbe inoltre sostenere che se tale controllo esistesse, sarebbe quasi certamente fallire.
Alcune industrie hanno una propria regolamentazione; per esempio c'è l'HIPAA per l'assistenza sanitaria, il SOX per le società quotate in borsa e tutta una serie di norme per la difesa e gli appaltatori federali. Molte di queste regole non hanno nulla a che fare con la sicurezza IT, ma influenzano e informano il modo in cui i professionisti IT devono guardare al loro lavoro.
E poi c'è una serie di implicazioni di responsabilità, dalle quali si ottengono cose strane come il divieto esplicito di usare iTunes in una struttura nucleare o in una torre di controllo del traffico aereo.
Ma come per un'agenzia federale che stabilisce regole e regolamenti per mantenere Internet sicura: non esiste nulla di simile.
Nota
Esistono diverse organizzazioni commerciali che offrono indicazioni di sicurezza; PCI-DSS, ad esempio, è principalmente una creazione di Visa / MC / et.al. E la conformità è una questione di aderenza al contratto piuttosto che di controllo normativo.
Sebbene la conformità PCI non sia sufficiente per la sicurezza reale, è nell'interesse del settore delle carte di credito continuare a migliorare la politica tanto rapidamente quanto gestibile. La legge statunitense rende Visa e gli altri emittenti di carte (piuttosto che utenti o commercianti) in definitiva responsabili per il costo delle frodi che coinvolgono le loro carte, pertanto Visa agisce nel proprio interesse personale richiedendo un livello minimo di sicurezza per quanto riguarda l'utilizzo delle carte. / p>
Se tali regole fossero state prescritte da un ente governativo, sarebbero state soggette a politica, pressioni, liti partigiani e influenza sproporzionata da parte di organizzazioni ben collegate.
Invece, impostando gli incentivi in modo tale che l'organizzazione nella posizione migliore per rendere le regole (Visa et.al) stiano di più a perdere a causa dell'insicurezza, queste aziende stabiliranno naturalmente una linea di base di standard di sicurezza che corrisponde al costo di exploit (dal loro punto di vista) con il costo della sicurezza (di nuovo, dal loro punto di vista).
Per migliorare ulteriormente gli standard di sicurezza, la regolamentazione più efficace metterà il costo dello sfruttamento non necessariamente sulla vittima, ma piuttosto sull'organizzazione che si trova nella posizione migliore per migliorare le condizioni.
Sembra una domanda per i compiti. La risposta breve è: non esiste alcuna autorità per l'IT nel suo insieme, poiché la FDA ad esempio dispone di mandati legali e del potere di punire. Non esiste un'agenzia che abbia questo potere sulla sicurezza IT o IT.
Esistono tuttavia delle leggi che si applicano alla sicurezza in alcuni settori come l'assistenza sanitaria oi servizi finanziari, ma questo è un ambito abbastanza ristretto e la domanda necessita di più contesto prima di poter dare una risposta adeguata.
Anche se questa non è una risposta completa, non accetterei alcuna risposta che non menzioni almeno il NIST in questo contesto. Credo che i loro standard e raccomandazioni siano vincolanti solo per la sicurezza informatica del governo federale degli Stati Uniti. Tuttavia la loro importanza pratica (come linee guida o base per gli standard di settore) supera di gran lunga questo. Trova maggiori informazioni sul link .
Leggi altre domande sui tag government risk audit