6 Problemas de cumplimiento Que no Sabías Que Tenías
Mantenerse en cumplimiento puede parecer una batalla interminable. A medida que su negocio se expande, hay más reglas que seguir, más amenazas que abordar y más agujeros de seguridad que corregir. Con el tiempo, simplemente armar una iniciativa de cumplimiento puede parecer una tarea abrumadora.
Comprensiblemente, los problemas de cumplimiento pueden aparecer en todas partes, es posible que ni siquiera vea algunos de ellos. Si desea evitar que su negocio se enfrente a multas cuantiosas, infracciones costosas o un escándalo vergonzoso, debe asegurarse de no enfrentar ningún problema importante de cumplimiento. ¿No sabes por dónde empezar? Estos son los 6 problemas de cumplimiento más comunes y cómo puede tratarlos.
Dificultad para incorporar múltiples Regímenes de Cumplimiento
Una gran organización que realiza negocios en varios países puede estar fácilmente sujeta a media docena o más regímenes de cumplimiento, y eso no incluye los acuerdos de socios comerciales HIPAA, los contratos modelo que rigen el movimiento de datos a través de las fronteras y otros acuerdos legales con socios, proveedores y clientes. Incluso averiguar qué producto o servicio se rige por qué ley puede plantear problemas graves de cumplimiento. Un procesador de datos podría verse obligado a hacer malabares con HIPAA y CJIS porque funciona con datos de salud para la aplicación de la ley.
Además, las leyes cambian constantemente. Las ciudades, los estados y los condados crean estándares locales. Los países negocian nuevos tratados comerciales con acuerdos de protección de datos. Y el éxito solo lo hace más difícil; cuanto más crece su negocio y se expande a nuevos mercados,más espinosos y complejos se vuelven los problemas de cumplimiento.
Implementación inadecuada
El hecho es que no implementar completamente el cumplimiento es mucho más común que tener éxito. Incluso las empresas con culturas de seguridad sólidas a menudo tienen múltiples problemas de cumplimiento. Según el Informe de cumplimiento de PCI de Verizon 2015, 4 de cada 5 empresas fallan en las pruebas de PCI provisionales. Aunque el cumplimiento promedio de la mayoría de los estándares PCI es sólido, hay tantos estándares que casi todo el mundo falla en algo, y eso es solo PCI.
De acuerdo con Verizon, el problema es que muchas organizaciones ven el cumplimiento “como un ejercicio de casilla de verificación o simulacro de incendio que el equipo de seguridad posee y el resto de la organización regaña.”Seamos realistas: el cumplimiento es difícil, costoso y tedioso. Casi todo el mundo falla en ello, porque el liderazgo no está dispuesto a comprometer el dinero y el tiempo para hacerlo bien.
La mala comunicación y el compromiso también afectan a las iniciativas de cumplimiento. Las empresas rara vez se toman el tiempo para capacitar a los trabajadores, abordar cualquier problema o pregunta de cumplimiento que surja y monitorearlos de forma continua. No hacen de la seguridad una parte de la cultura del lugar de trabajo, por lo que los trabajadores vuelven a los viejos hábitos tan a menudo como no.
Cumplimiento de socios
Las iniciativas de cumplimiento como HIPAA están diseñadas para mantener la seguridad de los datos, no para repartir la culpa de manera justa; si un socio comercial o contratista arruina y regala datos protegidos, también podría estar en el gancho.
Los contratos, como los Acuerdos de Socios Comerciales HIPAA (BAA) y los Acuerdos de Control de Gestión CJIS (MCA), pueden ayudar en cierta medida. Establecen reglas para el acceso a la información, la seguridad y la respuesta a las infracciones, lo que ayuda a ambos socios a cumplir con las normas y proporciona una cobertura legal crucial en caso de que su socio pierda el control de los datos protegidos.
Desafortunadamente, a menudo es poco lo que puede hacer para asegurarse de que sus socios y contratistas cumplan con su parte del trato. Los hospitales, por ejemplo, a menudo trabajan con cientos de médicos que no son empleados. Pueden (y deben) hacer que esos médicos firmen BAAs, pero no hay una forma realista de asegurarse de que realmente sigan las reglas.
Lo mismo ocurre con los proveedores de software o los proveedores de alojamiento en la nube. Puede organizar auditorías periódicas o seleccionar a alguien auditado por un tercero, pero para la seguridad del día a día, tiene que tomarle la palabra, incluso cuando la reputación de su empresa está en juego.
BYOD y teletrabajo
Las organizaciones pueden proteger los equipos del lugar de trabajo mediante herramientas como cifrado, cortafuegos y programas antimalware, pero muchas de estas características de seguridad se eluden de forma rutinaria en los lugares de trabajo de Bring Your Own Device (BYOD). Y por cada trabajador que se tome en serio la seguridad BYOD, habrá al menos algunos otros que antepongan la comodidad al cumplimiento.
Los trabajadores pueden estar almacenando sus contraseñas y olvidando borrar la caché de su navegador, por ejemplo. Esto no solo hace que sea más fácil para los hackers acceder a sus datos, sino que si un ladrón roba un dispositivo, podría darles acceso sin restricciones a los datos protegidos. Si los empleados no instalan parches ni ejecutan programas antivirus, sus equipos podrían estar infectados por malware que puede robar secretos corporativos.
El teletrabajo en sí puede interferir con la seguridad y el cumplimiento. Si sus empleados utilizan conexiones de Internet públicas y no seguras, los hackers pueden espiar su tráfico, robando potencialmente credenciales o datos de inicio de sesión. Y trabajar desde casa no necesariamente resuelve el problema; los regímenes de cumplimiento, como los CJIS, requieren un alto nivel de seguridad de red y, por lo general, no hay forma de saber si el Wi-Fi de un teletrabajo en particular cumple con los estándares.
DLP pobre
Muchas empresas se acercan a la privacidad como si estuvieran construyendo un fuerte. Usan contraseñas seguras, cifrado, cortafuegos y otras herramientas de seguridad para mantener alejados a los invasores, pero no consideran qué pasaría si se violaran sus defensas.
El problema es que un hacker teóricamente podría robar cualquier cosa a la que un empleado tenga acceso. Si todos sus empleados tienen acceso sin restricciones a una base de datos de 80.000 nombres de clientes, una violación podría exponerlos a todos. Y puede suceder incluso sin un hacker; todo lo que un empleado necesita hacer es enviar un archivo adjunto o un correo electrónico con información de inicio de sesión o datos protegidos a la persona equivocada, y podría tener una brecha importante en sus manos.
La prevención de pérdida de datos (DLP) puede ayudarlo a minimizar las pérdidas potenciales al limitar el acceso a documentos confidenciales. Las empresas deben comenzar a categorizar la información sensible, como la propiedad intelectual y la Información de Identificación Personal (PII), y asegurarse de que cada persona solo tenga acceso a la información que necesita. Si un hacker obtiene acceso, DLP puede significar la diferencia entre exponer unos pocos registros y una base de datos completa.
Falta de cifrado adecuado
El cifrado de datos es una de las herramientas de cumplimiento más importantes disponibles. Una vez que los datos están cifrados, son ilegibles y prácticamente imposibles de descifrar sin la clave criptográfica. Incluso si un cliente puede acceder a la base de datos de una empresa o interceptar el correo electrónico de un empleado, un cifrado sólido mantendrá los datos seguros.
Desafortunadamente, las organizaciones que deberían saber más no están cifrando los datos en reposo y los datos en movimiento, con resultados desastrosos. El Hackeo de Anthem, que expuso los datos personales de decenas de millones de personas, es solo uno de los muchos hackeos que podrían haberse evitado mediante el cifrado.
Las organizaciones a menudo optan por no cifrar porque consideran que el cifrado es menos conveniente, ya que temen que haga que sus bases de datos sean ilegibles. Sin embargo, en realidad, si las empresas etiquetan sus archivos cifrados, pueden acceder a la información que necesitan sin comprometer la seguridad de los datos.
No todo el cifrado es igual de efectivo. Las claves más largas hacen que el cifrado sea mucho más difícil de descifrar, por lo que las empresas necesitan usar un cifrado de 128 bits o superior. Además, deben usar cifrado del lado del cliente siempre que sea posible. El cifrado del lado del cliente es extra seguro, ya que cifra los datos a medida que salen de su computadora y solo los descifra una vez que llegan a su destino, lo que significa que puede garantizar que sus datos estén seguros mientras viajan a donde deben ir.
La necesidad de DLP y Cifrado Fuerte Universal
Su seguridad es tan buena como su eslabón más débil. Virtru ayuda a las empresas a resolver una amplia gama de problemas de cumplimiento con potentes herramientas de seguridad que cualquiera puede usar. El cifrado Virtru protege los correos electrónicos con un solo clic, utilizando un cifrado de nivel militar del lado del cliente. Es el único programa de cifrado de correo electrónico que no inhibe ninguna funcionalidad de correo electrónico ni hace que el correo electrónico sea más difícil de usar. A diferencia de otras herramientas de cifrado de correo electrónico como PGP, Virtru maneja automáticamente las claves de correo electrónico y puede cifrar:
- Adjuntos
Correos electrónicos enviados a varios destinatarios
- Correos electrónicos a personas que no han instalado el plug-in de Virtru
Virtru Pro, agrega potentes funciones que ayudan al cumplimiento y le brindan un mayor control de su comunicación. Puede revocar correos electrónicos, establecer límites de tiempo y deshabilitar el reenvío para evitar que los destinatarios compartan información confidencial.
Y a diferencia de otros programas de correo electrónico que tienen revocación de correo electrónico, Virtru Pro funciona sin importar el servicio de correo electrónico que use el destinatario, incluso después de haber abierto el correo electrónico. Cuando un empleado ingresa accidentalmente la dirección incorrecta y hace clic en enviar, puede significar la diferencia entre una llamada cercana y un problema grave de cumplimiento.
Virtru DLP (disponible tanto para G Suite como para Outlook) aborda el problema de seguridad y cumplimiento más difícil de todos: el error humano. Tiene reglas personalizables que pueden detectar si un correo electrónico contiene información confidencial, como números de seguro social, lo que evita que los empleados envíen accidentalmente información confidencial en un correo electrónico no seguro. Viene con configuraciones para reglas comunes, como HIPAA y CJIS, lo que facilita abordar los problemas de cumplimiento a los que se enfrenta su organización. También se nos acaba de ocurrir un complemento que hace que el cumplimiento de correo electrónico de HIPAA sea aún más fácil con el paquete de reglas de HIPAA. También puede cifrar automáticamente correos electrónicos, eliminar archivos adjuntos para evitar la divulgación de documentos internos o incluso administradores de CC para permitir el monitoreo de correos electrónicos confidenciales.
Finalmente, Virtru para Google Apps (ahora conocido como Virtru para G Suite) ayuda a proteger todo su espacio de trabajo en la nube con el mismo cifrado potente del lado del cliente que se usa en nuestros otros productos. Puedes controlar claves y administrar el acceso a archivos y correos electrónicos a través de todo tu dominio de Google, lo que proporciona herramientas de administración sencillas que evitan fugas de datos sin perjudicar la productividad. Para resolver problemas de cumplimiento en la nube, simplemente no es más fácil, ni más seguro, que Google y Virtru.