6 Compliance-Probleme, von denen Sie nicht wussten, dass Sie sie hatten

by Posted on

Konformität kann sich wie ein nie endender Kampf anfühlen. Wenn Ihr Unternehmen expandiert, müssen mehr Regeln befolgt, mehr Bedrohungen behoben und mehr Sicherheitslücken geschlossen werden. Letztendlich kann es eine überwältigende Aufgabe sein, nur eine Compliance-Initiative zusammenzustellen.

Verständlicherweise können Compliance-Probleme überall auftauchen – einige davon sehen Sie möglicherweise nicht einmal. Wenn Sie verhindern möchten, dass Ihr Unternehmen mit hohen Geldstrafen, teuren Verstößen oder einem peinlichen Skandal konfrontiert wird, müssen Sie sicherstellen, dass Sie keine größeren Compliance-Probleme haben. Nicht sicher, wo ich anfangen soll? Hier sind die 6 häufigsten Compliance-Probleme — und wie Sie damit umgehen können.

Schwierigkeiten bei der Integration mehrerer Compliance—Regelungen

Eine große Organisation, die in mehreren Ländern tätig ist, kann leicht einem halben Dutzend oder mehr Compliance-Regelungen unterliegen – und das gilt nicht für HIPAA Business Associate Agreements, Modellverträge, die den grenzüberschreitenden Datenverkehr regeln, und andere rechtliche Vereinbarungen mit Partnern, Anbietern und Kunden. Selbst herauszufinden, welches Produkt oder welche Dienstleistung welchem Recht unterliegt, kann schwerwiegende Compliance-Probleme mit sich bringen. Ein Datenverarbeiter könnte gezwungen sein, HIPAA und CJIS zu jonglieren, weil er mit Gesundheitsdaten für die Strafverfolgung arbeitet.

Darüber hinaus ändern sich die Gesetze ständig. Städte, Staaten und Landkreise haben lokale Standards. Länder verhandeln neue Handelsabkommen mit Datenschutzabkommen. Und Erfolg macht es nur schwieriger; Je mehr Ihr Unternehmen wächst und in neue Märkte expandiert, desto heikler und komplexer werden Compliance-Probleme.

Unzureichende Umsetzung

Tatsache ist, dass die Einhaltung der Vorschriften nicht vollständig umgesetzt wird, ist weitaus häufiger als Erfolg. Selbst Unternehmen mit starken Sicherheitskulturen haben oft mehrere Compliance-Probleme. Laut dem PCI-Compliance-Bericht von Verizon 2015 bestehen 4 von 5 Unternehmen die PCI-Zwischentests nicht. Obwohl die durchschnittliche Compliance bei den meisten PCI-Standards stark ist, gibt es so viele Standards, dass fast jeder an etwas scheitert — und das ist nur PCI.

Laut Verizon besteht das Problem darin, dass viele Organisationen Compliance “als einmalige Tick-Box-Übung oder Feuerübung betrachten, die das Sicherheitsteam besitzt und die der Rest der Organisation missbilligt.” Seien wir ehrlich — Compliance ist schwierig, teuer und langwierig. Fast jeder scheitert daran, weil die Führung nicht bereit ist, das Geld und die Zeit zu investieren, um es richtig zu machen.

Schlechte Kommunikation und Engagement plagen auch Compliance-Initiativen. Unternehmen nehmen sich selten die Zeit, Mitarbeiter zu schulen, auftretende Compliance-Probleme oder Fragen anzugehen und diese kontinuierlich zu überwachen. Sie machen Sicherheit nicht zu einem Teil der Arbeitsplatzkultur, daher kehren die Arbeitnehmer so oft wie möglich zu alten Gewohnheiten zurück.

Partner Compliance

Compliance-Initiativen wie HIPAA sind darauf ausgelegt, Daten sicher zu halten und nicht die Schuld fair zu verteilen.

Verträge wie HIPAA Business Associate Agreements (BaaS) und CJIS Management Control Agreements (MCAs) können etwas helfen. Sie legen Regeln für den Zugriff auf Informationen, die Sicherheit und die Reaktion auf Verstöße fest, helfen beiden Partnern, konform zu bleiben, und bieten einen entscheidenden rechtlichen Schutz, falls Ihr Partner die Kontrolle über geschützte Daten verliert.

Leider gibt es oft wenig, was Sie tun können, um sicherzustellen, dass Ihre Partner und Auftragnehmer ihr Ende der Abmachung einhalten. Krankenhäuser zum Beispiel arbeiten oft mit Hunderten von Ärzten, die keine Angestellten sind. Sie können (und sollten) diese Ärzte dazu bringen, BaaS zu unterzeichnen, aber es gibt keinen realistischen Weg, um sicherzustellen, dass sie tatsächlich die Regeln befolgen.
Gleiches gilt für Softwareanbieter oder Cloud-Hosting-Anbieter. Sie können regelmäßige Audits arrangieren oder jemanden auswählen, der von einem Dritten auditiert wird, aber für die tägliche Sicherheit müssen Sie ihn beim Wort nehmen – auch wenn es um den Ruf Ihres Unternehmens geht.

BYOD und Telearbeit

Unternehmen können Arbeitsplatzcomputer mit Tools wie Verschlüsselung, Firewalls und Anti-Malware-Programmen schützen, aber viele dieser Sicherheitsfunktionen werden routinemäßig an BYOD-Arbeitsplätzen (Bring Your Own Device) umgangen. Und für jeden Mitarbeiter, der BYOD-Sicherheit ernst nimmt, wird es mindestens ein paar andere geben, die Bequemlichkeit vor Compliance stellen.

Mitarbeiter speichern möglicherweise ihre Kennwörter und vergessen beispielsweise, den Browser-Cache zu leeren. Dies erleichtert Hackern nicht nur den Zugriff auf ihre Daten, sondern kann ihnen auch uneingeschränkten Zugriff auf geschützte Daten gewähren, wenn ein Dieb ein Gerät stiehlt. Wenn Mitarbeiter keine Patches installieren und keine Antivirenprogramme ausführen, können ihre Computer mit Malware infiziert sein, die Unternehmensgeheimnisse stehlen kann.

Telearbeit selbst kann die Sicherheit und Compliance beeinträchtigen. Wenn Ihre Mitarbeiter öffentliche, ungesicherte Internetverbindungen nutzen, können Hacker ihren Datenverkehr ausspionieren und möglicherweise Anmeldeinformationen oder Daten stehlen. Compliance-Regelungen wie CJIS erfordern ein hohes Maß an Netzwerksicherheit, und es gibt normalerweise keine Möglichkeit zu wissen, ob das WLAN eines bestimmten Telearbeiters den Standards entspricht.

Schlechtes DLP

Viele Unternehmen nähern sich dem Datenschutz, als würden sie eine Festung bauen. Sie verwenden starke Passwörter, Verschlüsselung, Firewalls und andere Sicherheitstools, um Eindringlinge fernzuhalten, überlegen jedoch nicht, was passieren würde, wenn ihre Verteidigung verletzt würde.

Das Problem ist, dass ein Hacker theoretisch alles stehlen könnte, worauf ein Mitarbeiter Zugriff hat. Wenn alle Ihre Mitarbeiter uneingeschränkten Zugriff auf eine Datenbank mit 80.000 Kundennamen haben, kann ein einziger Verstoß sie alle aufdecken. Und es kann auch ohne Hacker passieren; Alles, was ein Mitarbeiter tun muss, ist einen Anhang oder eine E-Mail mit Anmeldeinformationen oder geschützten Daten an die falsche Person zu senden, und Sie könnten eine große Verletzung an Ihren Händen haben.

Data Loss Prevention (DLP) kann Ihnen helfen, potenzielle Verluste zu minimieren, indem Sie den Zugriff auf vertrauliche Dokumente einschränken. Unternehmen müssen anfangen, sensible Informationen wie geistiges Eigentum und personenbezogene Daten (PII) zu kategorisieren und sicherzustellen, dass jede Person nur Zugriff auf die Informationen hat, die sie benötigt. Wenn ein Hacker Zugriff erhält, kann DLP den Unterschied zwischen der Offenlegung einiger Datensätze und einer gesamten Datenbank bedeuten.

Unzureichende Verschlüsselung

Datenverschlüsselung ist eines der wichtigsten verfügbaren Compliance-Tools. Sobald Daten verschlüsselt sind, sind sie unlesbar und ohne den kryptografischen Schlüssel praktisch unmöglich zu knacken. Selbst wenn ein Kunde auf die Datenbank eines Unternehmens zugreifen oder die E-Mails eines Mitarbeiters abfangen kann, schützt eine starke Verschlüsselung die Daten.

Leider scheitern Organisationen, die es besser wissen sollten, daran, ruhende und bewegte Daten zu verschlüsseln, mit katastrophalen Ergebnissen. Der Anthem-Hack, der die persönlichen Daten von zig Millionen Menschen enthüllte, ist nur einer von vielen Hacks, die durch Verschlüsselung hätten verhindert werden können.

Organisationen entscheiden sich oft dafür, nicht zu verschlüsseln, weil sie die Verschlüsselung als weniger bequem ansehen, da sie befürchten, dass ihre Datenbanken dadurch unlesbar werden. Wenn Unternehmen jedoch ihre verschlüsselten Dateien markieren, können sie auf die benötigten Informationen zugreifen, ohne die Datensicherheit zu beeinträchtigen.

Nicht jede Verschlüsselung ist gleich wirksam. Längere Schlüssel erschweren das Knacken der Verschlüsselung erheblich, sodass Unternehmen eine 128-Bit-Verschlüsselung oder eine höhere Verschlüsselung verwenden müssen. Darüber hinaus sollten sie nach Möglichkeit eine clientseitige Verschlüsselung verwenden. Die clientseitige Verschlüsselung ist besonders sicher, da sie Daten beim Verlassen Ihres Computers verschlüsselt und erst entschlüsselt, wenn sie ihr Ziel erreicht haben.

Die Notwendigkeit von DLP und universeller starker Verschlüsselung

Ihre Sicherheit ist nur so gut wie Ihr schwächstes Glied. Virtru hilft Unternehmen bei der Lösung einer Vielzahl von Compliance-Problemen mit leistungsstarken Sicherheitstools, die jeder verwenden kann. Virtru Encryption schützt E-Mails mit einem einzigen Klick mit clientseitiger Verschlüsselung auf Militärniveau. Es ist das einzige E-Mail-Verschlüsselungsprogramm, das keine E-Mail-Funktionalität einschränkt oder die Verwendung von E-Mails erschwert. Im Gegensatz zu anderen E-Mail-Verschlüsselungstools wie PGP verarbeitet Virtru automatisch E-Mail-Schlüssel und kann verschlüsseln:

  • Anhänge

E-Mails an mehrere Empfänger gesendet

  • E-Mails an Personen, die das Virtru-Plug-In nicht installiert haben

Virtru Pro bietet leistungsstarke Funktionen, die die Compliance unterstützen und Ihnen eine bessere Kontrolle über Ihre Kommunikation ermöglichen. Sie können E-Mails widerrufen, Zeitlimits festlegen und die Weiterleitung deaktivieren, um zu verhindern, dass Empfänger vertrauliche Informationen weitergeben.

Und im Gegensatz zu anderen E—Mail-Programmen mit E-Mail-Widerruf funktioniert Virtru Pro unabhängig davon, welchen E-Mail-Dienst der Empfänger verwendet – auch nachdem er die E-Mail geöffnet hat. Wenn ein Mitarbeiter versehentlich die falsche Adresse eingibt und auf Senden klickt, kann dies den Unterschied zwischen einem engen Anruf und einem schwerwiegenden Compliance-Problem bedeuten.

Virtru DLP (sowohl für G Suite als auch für Outlook verfügbar) behandelt das schwierigste Sicherheits- und Compliance-Problem von allen: menschliches Versagen. Es verfügt über anpassbare Regeln, die erkennen können, ob eine E-Mail vertrauliche Informationen wie Sozialversicherungsnummern enthält, und verhindern, dass Mitarbeiter versehentlich vertrauliche Informationen in einer ungesicherten E-Mail senden. Es enthält Einstellungen für allgemeine Regeln wie HIPAA und CJIS, die es einfacher machen, die Compliance-Probleme Ihres Unternehmens anzugehen. Wir haben auch gerade ein Add-On entwickelt, das die Einhaltung von HIPAA-E-Mails mit dem HIPAA Rule Pack noch einfacher macht. Es kann auch E-Mails automatisch verschlüsseln, Anhänge entfernen, um die Offenlegung interner Dokumente zu verhindern, oder sogar CC-Administratoren, um die Überwachung vertraulicher E-Mails zu ermöglichen.

Schließlich hilft Virtru für Google Apps (jetzt bekannt als Virtru für G Suite), Ihren gesamten Cloud-Arbeitsbereich mit derselben leistungsstarken clientseitigen Verschlüsselung zu sichern, die in unseren anderen Produkten verwendet wird. Sie können Schlüssel steuern und den Zugriff auf Dateien und E-Mails über Ihre gesamte Google-Domain verwalten. Für die Lösung von Compliance-Problemen in der Cloud wird es einfach nicht einfacher — oder sicherer — als Google und Virtru.

Published by admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.