6 Compliance spørgsmål, du ikke vidste, du havde

opholder kompatibel kan føles som en uendelig kamp. Når din virksomhed udvides, er der flere regler at følge, flere trusler at tackle og flere sikkerhedshuller at lappe. Til sidst kan det bare virke som en overvældende opgave at sammensætte et overholdelsesinitiativ.

forståeligt nok kan overholdelsesproblemer dukke op overalt — du kan måske ikke engang se nogle af dem komme. Hvis du vil forhindre, at din virksomhed står over for store bøder, dyre overtrædelser eller en pinlig skandale, skal du sørge for, at du ikke står over for større overholdelsesproblemer. Ikke sikker på, hvor du skal starte? Her er de 6 mest almindelige overholdelsesproblemer-og hvordan du kan håndtere dem.

vanskeligheder med at inkorporere flere Compliance regimer
utilstrækkelig implementering
Partneroverholdelse
BYOD og telearbejde
dårlig DLP
mangel på tilstrækkelig kryptering

vanskeligheder med at inkorporere flere Compliance regimer

en stor organisation, der driver forretning i flere lande, kan let være underlagt et halvt dusin eller flere compliance regimer — og det tæller ikke HIPAA business associate agreements, modelkontrakter om flytning af data på tværs af grænser og andre juridiske aftaler med partnere, udbydere og kunder. Selv at finde ud af, hvilket produkt eller hvilken tjeneste der er underlagt hvilken lov, der kan medføre alvorlige overholdelsesproblemer. En databehandler kan blive tvunget til at jonglere HIPAA og CJIS, fordi det fungerer med sundhedsdata til retshåndhævelse.

oven i købet, love ændrer konstant. Byer, stater og amter kommer med lokale standarder. Lande forhandler nye handelsaftaler med databeskyttelsesaftaler. Og succes gør det bare sværere; jo mere din virksomhed vokser og udvides til nye markeder, jo mere vanskelige og mere komplekse overholdelsesproblemer bliver.

utilstrækkelig implementering

faktum er, at manglende gennemførelse af overholdelse er langt mere almindeligt end at lykkes. Selv virksomheder med stærke sikkerhedskulturer har ofte flere overholdelsesproblemer. Ifølge PCI Compliance Report 2015 fejler 4 ud af 5 virksomheder midlertidig PCI-test. Selvom gennemsnitlig overholdelse på tværs af de fleste PCI — standarder er stærk, er der så mange standarder, at næsten alle fejler noget-og det er bare PCI.

problemet er, at mange organisationer ser compliance “som en engangsøvelse eller brandøvelse, som sikkerhedsteamet ejer, og resten af organisationen begrudges.”Lad os indse det — overholdelse er vanskelig, dyr og kedelig. Næsten alle fejler på det, fordi lederskab er uvillig til at forpligte penge og tid til at gøre det rigtigt.

dårlig kommunikation og engagement plager også overholdelsesinitiativer. Virksomheder tager sjældent tid til at uddanne arbejdstagere, adressere eventuelle overholdelsesproblemer eller spørgsmål, der kommer op, og overvåge dem løbende. De gør ikke sikkerhed til en del af arbejdspladskulturen, så arbejdere går lige tilbage til gamle vaner så ofte som ikke.

Partneroverholdelse

Overholdelsesinitiativer som HIPAA er designet til at holde data sikre, ikke at fordele skylden retfærdigt; hvis en forretningspartner eller entreprenør skruer op og giver beskyttede data væk, kan du også være på krogen.

kontrakter, såsom HIPAA Business Associate Agreements (BAAs) og CJIS Management Control Agreements (MCAs), kan hjælpe noget. De indfører regler for adgang til information, sikkerhed, og reagere på overtrædelser, hjælpe begge partnere med at forblive kompatible, og give afgørende juridisk dækning, hvis din partner mister kontrollen over beskyttede data.

Desværre er der ofte lidt, du kan gøre for at sikre, at dine partnere og entreprenører holder deres ende af købet. Hospitaler arbejder for eksempel ofte med hundreder af læger, der ikke er ansatte. De kan (og bør) få disse læger til at underskrive BAAs, men der er ingen realistisk måde at sikre, at de rent faktisk følger reglerne.
det samme gælder for leverandører eller cloud hosting-udbydere. Du kan arrangere periodiske revisioner eller vælge en person, der er revideret af en tredjepart, men for den daglige sikkerhed skal du tage dem på deres ord-selv når det er din virksomheds omdømme på linjen.

BYOD og telearbejde

organisationer kan beskytte arbejdspladscomputere ved hjælp af værktøjer som kryptering, brandvægge og anti-ondsindede programmer, men mange af disse sikkerhedsfunktioner omgås rutinemæssigt i Medbring din egen enhed (BYOD) arbejdspladser. Og for hver arbejdstager, der tager BYOD sikkerhed alvorligt, vil der være mindst et par andre, der sætter bekvemmelighed forud for overholdelse.

arbejdere kan gemme deres adgangskoder og glemme at rydde deres cache. Dette gør det ikke kun lettere for hackere at få adgang til deres data, men hvis en tyv stjæler en enhed, kan det give dem ubegrænset adgang til beskyttede data. Hvis medarbejderne ikke installerer programrettelser og kører antivirusprogrammer, kan deres computere blive inficeret af skadelige programmer, der kan stjæle virksomhedens hemmeligheder.

telearbejde i sig selv kan forstyrre sikkerhed og overholdelse. Hvis dine medarbejdere bruger offentlige, usikrede internetforbindelser, hackere kan spionere på deres trafik, potentielt stjæle loginoplysninger eller data. Og at arbejde hjemmefra løser ikke nødvendigvis problemet; compliance regimer som CJIS kræver et højt niveau af netværkssikkerhed, og der er normalt ingen måde at vide, om en bestemt telecommuters trådløse internet er op til standarder.

dårlig DLP

mange virksomheder nærmer sig privatlivets fred, som om de byggede et fort. De bruger stærke adgangskoder, kryptering, brandvægge og andre sikkerhedsværktøjer til at holde angribere ude, men overvej ikke, hvad der ville ske, hvis deres forsvar blev overtrådt.

problemet er, at en hacker teoretisk kunne stjæle alt, hvad en medarbejder har adgang til. Hvis alle dine medarbejdere har ubegrænset adgang til en database med 80.000 kundenavne, kan et brud afsløre dem alle. Og det kan ske selv uden en hacker; alt, hvad en medarbejder skal gøre, er at sende en vedhæftet fil eller e-mail med loginoplysninger eller beskyttede data til den forkerte person, og du kan have et stort brud på dine hænder.

forebyggelse af datatab (DLP) kan hjælpe dig med at minimere potentielle tab ved at begrænse adgangen til følsomme dokumenter. Virksomheder skal begynde at kategorisere følsomme oplysninger, såsom intellektuel ejendomsret og personligt identificerbare oplysninger (PII), og sikre, at hver person kun har adgang til de oplysninger, de har brug for. Hvis en hacker får adgang, kan DLP betyde forskellen mellem at udsætte et par poster og en hel database.

mangel på tilstrækkelig kryptering

datakryptering er et af de vigtigste overholdelsesværktøjer til rådighed. Når data er krypteret, er det ulæseligt og næsten umuligt at knække uden den kryptografiske nøgle. Selv hvis en kunde er i stand til at få adgang til en virksomheds database eller opfange en medarbejders e-mail, vil stærk kryptering holde dataene sikre.

desværre undlader organisationer, der burde vide bedre, at kryptere data-i-hvile og data-i-bevægelse med katastrofale resultater. Anthem-hacket, der udsatte de personlige data for titusinder af mennesker, er kun en af mange hacks, der kunne have været forhindret ved kryptering.

organisationer vælger ofte ikke at kryptere, fordi de ser kryptering som mindre praktisk, da de frygter, at det vil gøre deres databaser ulæselige. I virkeligheden, men hvis virksomheder tagger deres krypterede filer, kan de få adgang til de oplysninger, de har brug for, uden at gå på kompromis med datasikkerheden.

ikke al kryptering er lige så effektiv. Længere nøgler gør kryptering meget sværere at knække, så virksomheder skal bruge 128-bit eller højere kryptering. Derudover skal de bruge kryptering på klientsiden, når det er muligt. Kryptering på klientsiden er ekstra sikker, da den krypterer data, når den forlader din computer, og kun dekrypterer den, når den når sin destination—hvilket betyder, at du kan garantere, at dine data er sikre, når de rejser til, hvor de skal hen.

behovet for DLP og Universal Strong Encryption

din sikkerhed er kun så god som dit svageste led. Virtru hjælper virksomheder med at løse en lang række overholdelsesproblemer med kraftfulde sikkerhedsværktøjer, som alle kan bruge. Virtru kryptering beskytter e-mails med et enkelt klik, ved hjælp af militær-grade, klient-side kryptering. Det er det eneste e-mail-krypteringsprogram, der ikke hæmmer nogen e-mail-funktionalitet eller gør e-mail vanskeligere at bruge. I modsætning til andre e-mail-krypteringsværktøjer som PGP håndterer Virtru automatisk e-mail-nøgler og kan kryptere:

vedhæftede filer

e-mails sendt til flere modtagere

e-mails til personer, der ikke har installeret Virtru ‘ s plug-in

Virtru Pro, tilføjer kraftfulde funktioner, der hjælper overholdelse og giver dig større kontrol over din kommunikation. Du kan tilbagekalde e-mails, indstille tidsfrister og deaktivere videresendelse for at forhindre modtagere i at dele følsomme oplysninger.

og i modsætning til andre e — mail-programmer, der har tilbagekaldelse af e-mail, fungerer Virtru Pro, uanset hvilken e-mail-tjeneste modtageren bruger-selv efter at de har åbnet e-mailen. Når en medarbejder ved et uheld indtaster den forkerte adresse og rammer send, kan det betyde forskellen mellem et tæt opkald og et alvorligt overholdelsesproblem.

Virtru DLP (fås til både G Suite og Outlook) løser det sværeste sikkerheds-og overholdelsesproblem af alle: menneskelige fejl. Det har regler, der kan tilpasses, der kan registrere, om en e-mail indeholder følsomme oplysninger såsom CPR-numre, forhindrer medarbejdere i ved et uheld at sende følsomme oplysninger i en usikret e-mail. Den leveres med indstillinger for fælles regler, såsom HIPAA og CJIS, hvilket gør det lettere at løse de overholdelsesproblemer, der står over for din organisation. Vi kom også lige med en tilføjelse, der gør HIPAA-e-mail-overholdelse endnu lettere med HIPAA-Regelpakken. Det kan også automatisk kryptere e-mails, strip vedhæftede filer for at forhindre offentliggørelse af interne dokumenter eller endda CC-administratorer for at tillade overvågning af følsomme e-mails.

endelig hjælper Virtru til Google Apps (nu kendt som Virtru til G Suite) med at sikre hele dit cloud-arbejdsområde med den samme kraftfulde kryptering på klientsiden, der bruges i vores andre produkter. Du kan styre nøgler og administrere adgang til filer og e-mails gennem hele dit Google-Domæne og give nemme administratorværktøjer, der forhindrer datalækager uden at skade produktiviteten. For at løse overholdelsesproblemer i skyen bliver det simpelthen ikke lettere — eller sikrere — end Google og Virtru.