6 Otázek Dodržování Jsi nevěděl, Že máš
Zůstat v souladu můžete cítit jako nikdy nekončící boj. Jak se vaše firma rozšiřuje, existuje více pravidla dodržovat, více hrozeb na adresu, a více bezpečnostních děr na opravu. Nakonec, pouhé sestavení iniciativy pro dodržování předpisů se může zdát jako ohromující úkol.
je pochopitelné, že problémy s dodržováním předpisů se mohou objevit všude — možná ani nevidíte, že některé z nich přicházejí. Pokud chcete, aby se vaše podnikání z čelí statný pokuty, drahé porušení, nebo trapný skandál, musíte se ujistit, že nejste potýkají všechny hlavní otázky dodržování předpisů. Nejste si jisti, kde začít? Tady jsou 6 nejčastější problémy s dodržováním předpisů-a jak se s nimi můžete vypořádat.
Obtížnosti, které obsahují Více Dodržování Režimů
velké organizace, která podniká v několika zemích mohou snadno podléhat půl tuctu nebo více dodržování režimů — a to se nepočítá, HIPAA business associate dohod, vzory smluv, jimiž se řídí pohyb dat přes hranice, a jiné právní dohody s partnery, poskytovateli a klienty. Dokonce i zjištění, který produkt nebo služba se řídí jakým zákonem, může vyvolat vážné problémy s dodržováním předpisů. Zpracovatel dat by mohl být nucen žonglovat s HIPAA a CJIS, protože pracuje se zdravotními údaji pro vymáhání práva.
kromě toho se zákony neustále mění. Města, státy a kraje přicházejí s místními standardy. Země sjednávají nové obchodní smlouvy s dohodami o ochraně údajů. A úspěch to jen ztěžuje; čím více vaše podnikání roste a expanduje na nové trhy, tím složitější a složitější problémy s dodržováním předpisů se stávají.
nedostatečná implementace
faktem je, že neschopnost plně implementovat dodržování předpisů je mnohem častější než úspěch. Dokonce i podniky se silnými bezpečnostními kulturami mají často několik problémů s dodržováním předpisů. Podle zprávy o shodě s PCI Verizon 2015 selhávají 4 z 5 společností prozatímní testování PCI. Ačkoli průměrná shoda ve většině standardů PCI je silná, existuje tolik standardů, že téměř každý něco selže — a to je jen PCI.
podle společnosti Verizon je problém v tom ,že mnoho organizací vidí dodržování předpisů ” jako jednorázové cvičení nebo požární cvičení, které bezpečnostní tým vlastní a zbytek organizace nesouhlasí.”Přiznejme si to-dodržování předpisů je obtížné, drahé a únavné. Téměř každý v tom selže, protože vedení není ochotno zavázat peníze a čas, aby to udělalo správně.
špatná komunikace a zapojení také trápí iniciativy v oblasti dodržování předpisů. Společnosti jen zřídka vzít čas na školení pracovníků, řešit problémy s dodržováním předpisů nebo otázky, které přicházejí, a sledovat je průběžně. Nedělají bezpečnost součástí kultury pracoviště, takže pracovníci se vracejí ke starým zvykům tak často, jak ne.
Partner Souladu
Soulad iniciativ, jako je HIPAA jsou navrženy tak, aby data v bezpečí, nikoli k určování viny spravedlivě; pokud obchodní partner nebo dodavatel šrouby a dává pryč chráněných dat, můžete být na háku, taky.
smlouvy, jako jsou dohody HIPAA Business Associate (BAAs) a dohody o řízení řízení CJIS (MCAs), mohou poněkud pomoci. Zavedli pravidla pro přístup k informacím, bezpečnost, a reagovat na porušení, pomáhá oběma partnerům zůstat v souladu, a poskytnout zásadní právní krytí, pokud váš partner ztratí kontrolu nad chráněnými daty.
bohužel je často málo, co můžete udělat, abyste zajistili, že vaši partneři a dodavatelé budou držet svůj konec dohody. Nemocnice například často pracují se stovkami lékařů, kteří nejsou zaměstnanci. Mohou (a měli by), aby ti lékaři podepsat BAAs, ale není realistický způsob, jak ujistěte se, že vlastně podle pravidel.
totéž platí pro dodavatele softwaru nebo poskytovatele cloudového hostingu. Můžete uspořádat pravidelné audity nebo vybrat někoho auditovaného třetí stranou, ale pro každodenní bezpečnost je musíte vzít za slovo-i když je to pověst vaší společnosti na lince.
BYOD a z Domova
Organizace může zajistit pracoviště počítače pomocí nástroje, jako je šifrování, firewall a anti-malware programů, ale mnoho z těchto bezpečnostních funkcí jsou běžně obejít Přineste si Vlastní Zařízení (BYOD) pracoviště. A pro každého pracovníka, který bere bezpečnost BYOD vážně, bude alespoň několik dalších, kteří upřednostňují pohodlí před dodržováním předpisů.
pracovníci mohou ukládat svá hesla a zapomínat například vymazat mezipaměť prohlížeče. Hackerům to nejen usnadňuje přístup k jejich datům, ale pokud zloděj ukradne zařízení, mohlo by jim to poskytnout neomezený přístup k chráněným datům. Pokud zaměstnanci neinstalují záplaty a nespouštějí antivirové programy, jejich počítače by mohly být infikovány malwarem, který může ukrást firemní tajemství.
samotná práce z domova může narušovat bezpečnost a dodržování předpisů. Pokud vaši zaměstnanci používají veřejné, nezabezpečené připojení k internetu, hackeři mohou špehovat jejich provoz, potenciálně krást přihlašovací údaje nebo data. A práce z domova nemusí nutně vyřešit problém; dodržování režimů, jako jsou CJIS vyžadují vysokou úroveň zabezpečení sítě, a tam je obvykle žádný způsob, jak vědět, zda konkrétní telecommuter Wi-Fi je až do standardů.
špatný DLP
mnoho společností přistupuje k soukromí, jako by stavěly pevnost. Používají silná hesla, šifrování, firewally a další bezpečnostní nástroje, aby útočníky, ale neberou v úvahu, co by se stalo, kdyby jejich obrana byla prolomena.
problém je, že hacker by teoreticky mohl ukrást cokoli, k čemu má zaměstnanec přístup. Pokud mají všichni vaši zaměstnanci neomezený přístup k databázi 80 000 jmen zákazníků, jedno porušení by je mohlo odhalit všechny. A to se může stát i bez hackera; vše, co zaměstnanec musí udělat, je poslat přílohu nebo e-mail s přihlašovacími údaji nebo chráněnými údaji nesprávné osobě, a můžete mít na rukou zásadní porušení.
prevence ztráty dat (DLP) vám může pomoci minimalizovat potenciální ztráty omezením přístupu k citlivým dokumentům. Společnosti musí začít kategorizovat citlivé informace, jako je duševní vlastnictví a osobní identifikační údaje (PII), a zajistit, aby každá osoba měla přístup pouze k informacím, které potřebují. Pokud hacker získá přístup, DLP může znamenat rozdíl mezi vystavením několika záznamů a celé databáze.
nedostatek adekvátního šifrování
šifrování dat je jedním z nejdůležitějších dostupných nástrojů pro dodržování předpisů. Jakmile jsou data šifrována, je nečitelné a prakticky nemožné bez kryptografického klíče. I když je zákazník schopen přistupovat k databázi společnosti nebo zachytit e-mail zaměstnance, silné šifrování udrží data v bezpečí.
bohužel organizace, které by měly vědět lépe, nedokáží šifrovat data v klidu a data v pohybu, s katastrofálními výsledky. Hack Anthem, který odhalil osobní údaje desítek milionů lidí, je pouze jedním z mnoha hacků, kterým by šifrování mohlo zabránit.
organizace se často rozhodnou nešifrovat, protože považují šifrování za méně pohodlné, protože se obávají, že jejich databáze budou nečitelné. Ve skutečnosti však, pokud společnosti označí své šifrované soubory, mají přístup k informacím, které potřebují, aniž by byla ohrožena bezpečnost dat.
ne všechna šifrování jsou stejně účinná. Delší klíče ztěžují šifrování, takže společnosti musí používat 128bitové nebo vyšší šifrování. Kromě toho by měli používat šifrování na straně klienta, kdykoli je to možné. Šifrování na straně klienta je mimořádně bezpečné, protože šifruje data, když opouští váš počítač—a dešifruje je pouze poté, co dosáhne svého cíle-což znamená, že můžete zaručit, že Vaše data jsou v bezpečí, když cestují tam, kam potřebují jít.
potřeba DLP a univerzálního silného šifrování
vaše bezpečnost je pouze tak dobrá jako vaše nejslabší spojení. Virtru pomáhá společnostem řešit širokou škálu problémů s dodržováním předpisů pomocí výkonných bezpečnostních nástrojů, které může použít kdokoli. Virtru šifrování chrání e-maily s jediným kliknutím, pomocí vojenské třídy, šifrování na straně klienta. Je to jediný program pro šifrování e-mailů, který nebrání žádné funkčnosti e-mailu nebo ztěžuje používání e-mailu. Na rozdíl od jiných e-mailu šifrovací nástroje, jako PGP, Virtru automaticky zpracovává e-mailové klíče, můžete šifrovat:
- Přílohy
e-Maily odeslané více příjemcům,
- e-Maily lidem, kteří nemají nainstalované Virtru je plug-in
Virtru Pro, přidává výkonné funkce, které podporu dodržování a dá vám větší kontrolu nad vaší komunikace. Můžete zrušit e-maily, nastavit časové limity a zakázat předávání, abyste zabránili příjemcům sdílet citlivé informace.
a na rozdíl od jiných e — mailových programů, které mají zrušení e-mailu, Virtru Pro funguje bez ohledu na to, jakou e-mailovou službu příjemce používá-i po otevření e-mailu. Když zaměstnanec omylem zadá nesprávnou adresu a zasáhne odeslat, může to znamenat rozdíl mezi blízkým hovorem a vážným problémem s dodržováním předpisů.
Virtru DLP (k dispozici pro G Suite I Outlook) řeší nejtěžší problém zabezpečení a dodržování předpisů ze všech: lidská chyba. Má přizpůsobitelné pravidla, která mohou zjistit, zda e-mail obsahuje citlivé informace, jako jsou čísla sociálního zabezpečení, které brání zaměstnanci z náhodně odesílání citlivých informací v nezabezpečené e-mail. Je dodáván s nastavení společných pravidel, jako jsou HIPAA a CJIS, což usnadňuje řešení otázek dodržování právních předpisů, které čelí vaše organizace. Také jsme právě přišli s doplňkem, který usnadňuje dodržování e-mailů HIPAA s balíčkem pravidel HIPAA. To může také automaticky šifrovat e-maily, strip přílohy, aby se zabránilo zveřejnění interních dokumentů, nebo dokonce správci CC umožnit sledování citlivých e-mailů.
Konečně, Virtru pro Google Apps (nyní známý jako Virtru pro G Apartmá) pomáhá zajistit celý váš cloud workspace s stejně výkonné, na straně klienta šifrování, které používá v našich dalších produktů. Můžete ovládat šipkami a řídit přístup k souborům a e-maily přes celou Doménu Google, poskytuje jednoduché nástroje pro správu, které zabraňují úniku dat bez poškození produktivity. Pro řešení problémů s dodržováním předpisů v cloudu to prostě není snazší-nebo bezpečnější-než Google a Virtru.