6 Compliance Issues you Didn ‘ t Know You Had
Staying compliant voi tuntua loputtomalta taistelulta. Kun yrityksesi laajenee, on enemmän sääntöjä seurata, enemmän uhkia käsitellä, ja enemmän tietoturva-aukkoja paikata. Lopulta pelkkä vaatimusten noudattamista koskevan aloitteen kokoaminen voi tuntua ylivoimaiselta tehtävältä.
ymmärrettävästi säännösten noudattamiseen liittyviä kysymyksiä voi putkahtaa esiin kaikkialla — kaikkia niistä ei välttämättä edes näe tulevan. Jos haluat estää yritystäsi kohtaamasta raskaita sakkoja, kalliita rikkomuksia tai noloa skandaalia, sinun on varmistettava, että et kohtaa mitään merkittäviä vaatimustenmukaisuusongelmia. Etkö ole varma, mistä aloittaa? Tässä 6 yleisintä vaatimustenmukaisuusongelmaa-ja miten voit käsitellä niitä.
vaikeus ottaa käyttöön useita Vaatimustenmukaisuusjärjestelmiä
suuri organisaatio, joka harjoittaa liiketoimintaa useissa maissa, voi helposti joutua puolen tusinan tai useamman vaatimustenmukaisuusjärjestelmän alaiseksi — eikä siihen lasketa HIPAA business associate-sopimuksia, mallisopimuksia, jotka koskevat tietojen liikkumista rajojen yli, eikä muita oikeudellisia sopimuksia kumppaneiden, palveluntarjoajien ja asiakkaiden kanssa. Jopa selvittää, mikä tuote tai palvelu on säännelty minkä lain voi tuoda esiin vakavia noudattamista kysymyksiä. Tietojenkäsittelijä voisi joutua jonglööraamaan HIPAA ja CJITÄ, koska se toimii terveystietojen kanssa lainvalvojille.
sen päälle lait muuttuvat jatkuvasti. Kaupungit, osavaltiot ja piirikunnat laativat paikallisia standardeja. Maat neuvottelevat uusia kauppasopimuksia tietosuojasopimuksilla. Ja menestys vain tekee siitä vaikeampaa; mitä enemmän yrityksesi kasvaa ja laajenee uusille markkinoille, sitä vaikeammaksi ja monimutkaisemmaksi vaatimusten noudattaminen tulee.
riittämätön täytäntöönpano
tosiasia on, että noudattamatta jättäminen on paljon yleisempää kuin onnistuminen. Yrityksilläkin, joilla on vahva turvallisuuskulttuuri, on usein useita vaatimustenmukaisuusongelmia. Verizon 2015 PCI Compliance Report-raportin mukaan 4 viidestä yrityksestä epäonnistuu PCI: n väliaikaisessa testauksessa. Vaikka useimpien PCI-standardien keskimääräinen noudattaminen on vahvaa, standardeja on niin paljon, että lähes kaikki epäonnistuvat jossain — ja se on vain PCI.
Verizonin mukaan ongelmana on se, että monet organisaatiot näkevät sääntöjen noudattamisen “kertaluonteisena rastinkoppiharjoituksena tai paloharjoituksena, jonka Turvatiimi omistaa ja muu organisaatio vastustaa.”Myönnettäköön, että sääntöjen noudattaminen on vaikeaa, kallista ja pitkäveteistä. Lähes kaikki epäonnistuvat siinä, koska johto ei halua sitoa rahaa ja aikaa siihen, että se tehdään oikein.
huono viestintä ja sitoutuminen vaivaavat myös compliance-aloitteita. Yritykset käyttävät harvoin aikaa työntekijöiden kouluttamiseen, mahdollisten sääntöjen noudattamiseen liittyvien kysymysten tai esiin tulevien kysymysten käsittelyyn ja niiden jatkuvaan seurantaan. Turvallisuus ei ole osa työpaikkakulttuuria, joten työntekijät palaavat vanhoihin tapoihin yhtä usein kuin eivät.
Partner Compliance
Compliance-aloitteet, kuten HIPAA, on suunniteltu pitämään tiedot turvassa, Ei jakamaan syyllisyyttä oikeudenmukaisesti; jos liikekumppani tai urakoitsija mokaa ja luovuttaa suojattuja tietoja, sinäkin voit joutua pulaan.
sopimukset, kuten HIPAA Business Associate Agreements (BAAs) ja CJIS Management Control Agreements (MCAs), voivat auttaa jonkin verran. He ottavat käyttöön säännöt, jotka koskevat tietojen saantia, turvallisuutta ja rikkomuksiin vastaamista, auttavat molempia osapuolia pysymään vaatimusten mukaisina ja tarjoavat ratkaisevan oikeudellisen suojan, jos kumppanisi menettää suojattujen tietojen hallinnan.
valitettavan harvoin voi varmistaa, että kumppanit ja urakoitsijat pitävät oman osansa sopimuksesta. Esimerkiksi sairaaloissa työskentelee usein satoja lääkäreitä, jotka eivät ole työntekijöitä. He voivat (ja heidän pitäisi) saada lääkärit allekirjoittamaan BAAs, mutta ei ole realistista tapaa varmistaa, että he todella noudattavat sääntöjä.
sama koskee ohjelmistotoimittajia tai pilvipalvelujen tarjoajia. Voit järjestää määräaikaistarkastuksia tai valita jonkun kolmannen osapuolen tarkastaman henkilön, mutta päivittäisen turvallisuuden vuoksi sinun on otettava hänet sanaansa-silloinkin, kun yrityksesi maine on vaakalaudalla.
BYOD ja etätyö
organisaatiot voivat suojata työpaikan tietokoneita käyttämällä työkaluja, kuten salausta, palomuureja ja haittaohjelmien torjuntaohjelmia, mutta monia näistä tietoturvaominaisuuksista kierretään rutiininomaisesti Bring Your Own Device (BYOD)-työpaikoilla. Ja jokaista työntekijää kohti, joka ottaa BYOD-turvallisuuden vakavasti, on ainakin muutamia muita, jotka asettavat mukavuuden noudattamisen edelle.
työntekijät saattavat säilyttää salasanojaan ja unohtaa esimerkiksi selaimen välimuistin tyhjentämisen. Tämä ei ainoastaan helpota hakkereiden pääsyä heidän tietoihinsa, mutta jos varas varastaa laitteen, se voi antaa heille rajoittamattoman pääsyn suojattuihin tietoihin. Jos työntekijät eivät asenna laastareita ja suorita virustorjuntaohjelmia, heidän tietokoneisiinsa voi tarttua yrityssalaisuuksia varastava haittaohjelma.
itse etätyö voi häiritä turvallisuutta ja vaatimustenmukaisuutta. Jos työntekijät käyttävät julkisia, suojaamattomia internet-yhteyksiä, hakkerit voivat vakoilla niiden liikennettä, mahdollisesti varastaa kirjautumistiedot tai tiedot. Ja työskentely kotoa ei välttämättä ratkaise ongelmaa; compliance järjestelmät, kuten CJIS vaativat korkean tason verkon turvallisuuden, ja ei yleensä ole mitään keinoa tietää, onko tietyn etätyökoneen Wi-Fi on standardien mukainen.
huono DLP
monet yritykset suhtautuvat yksityisyyteen kuin rakentaisivat linnoitusta. He käyttävät vahvoja salasanoja, salausta, palomuureja ja muita tietoturvatyökaluja pitääkseen hyökkääjät poissa, mutta eivät mieti, mitä tapahtuisi, jos heidän puolustuksensa murrettaisiin.
ongelmana on, että hakkeri voisi teoriassa varastaa kaiken, mihin työntekijällä on pääsy. Jos kaikilla työntekijöilläsi on rajoittamaton pääsy 80 000 asiakkaan tietokantaan, yksi tietomurto voi paljastaa heidät kaikki. Ja se voi tapahtua myös ilman hakkeria; työntekijän tarvitsee vain lähettää liitetiedosto tai sähköposti, jossa on kirjautumistiedot tai suojatut tiedot väärälle henkilölle, ja sinulla voi olla suuri aukko käsissäsi.
Data Loss Prevention (DLP) voi auttaa minimoimaan mahdolliset tappiot rajoittamalla pääsyä arkaluonteisiin asiakirjoihin. Yritysten on alettava luokitella arkaluonteisia tietoja, kuten immateriaalioikeuksia ja henkilökohtaisia tietoja (pii), ja varmistettava, että jokaisella on pääsy vain tarvitsemiinsa tietoihin. Jos hakkeri pääsee käsiksi,DLP voi tarkoittaa muutaman tiedoston ja kokonaisen tietokannan paljastamista.
riittävän salauksen puute
tietojen salaus on yksi tärkeimmistä käytettävissä olevista vaatimusten noudattamiseen käytettävistä välineistä. Kun data on salattu, se on lukukelvotonta ja käytännössä mahdotonta murtaa ilman salausavainta. Vaikka asiakas pääsisi yrityksen tietokantaan tai sieppaisi työntekijän sähköpostin, vahva salaus pitää tiedot turvassa.
valitettavasti organisaatiot, joiden pitäisi tietää paremmin, eivät onnistu salaamaan tietoja levossa ja liikkeessä tuhoisin seurauksin. Kymmenien miljoonien ihmisten henkilötiedot paljastanut Anthem Hack on vain yksi monista hakkeroinneista, jotka olisi voitu estää salauksella.
organisaatiot päättävät usein olla salaamatta, koska ne pitävät salausta vähemmän kätevänä, koska pelkäävät sen tekevän tietokannoistaan lukukelvottomia. Todellisuudessa yritykset voivat kuitenkin käyttää tarvitsemiaan tietoja tietoturvasta tinkimättä, jos ne merkkaavat salatut tiedostonsa.
kaikki salaus ei ole yhtä tehokasta. Pidemmät avaimet tekevät salauksesta paljon vaikeamman murtaa, joten yritysten on käytettävä 128-bittistä tai korkeampaa salausta. Lisäksi niiden tulisi käyttää asiakaspuolen salausta aina kun se on mahdollista. Asiakaspuolen salaus on erittäin turvallinen, koska se salaa tiedot poistuessaan tietokoneelta ja purkaa salauksen vasta saavuttuaan määränpäähänsä—eli voit taata, että tietosi ovat turvallisia, kun ne kulkevat sinne, minne niiden on mentävä.
DLP: n ja yleisen vahvan salauksen tarve
tietoturvasi on vain yhtä hyvä kuin heikoin lenkkisi. Virtru auttaa yrityksiä ratkaisemaan monenlaisia vaatimustenmukaisuusongelmia tehokkailla tietoturvatyökaluilla, joita kuka tahansa voi käyttää. Virtru-salaus suojaa sähköpostit yhdellä napsautuksella käyttäen sotilaallista, asiakaspuolen salausta. Se on ainoa sähköpostin salausohjelma, joka ei estä mitään sähköpostin toimintoja tai vaikeuta sähköpostin käyttöä. Toisin kuin muut sähköpostin salaustyökalut, kuten PGP, Virtru käsittelee automaattisesti sähköpostiavaimet ja voi salata:
- liitteet
usealle vastaanottajalle lähetetyt sähköpostit
- sähköpostit henkilöille, jotka eivät ole asentaneet Virtru-laajennusta
Virtru Pro, lisää tehokkaita ominaisuuksia, jotka tukevat vaatimustenmukaisuutta ja antavat sinulle paremman kontrollin viestintään. Voit peruuttaa sähköpostit, asettaa aikarajoja ja poistaa huolinnan käytöstä estääksesi vastaanottajia jakamasta arkaluonteisia tietoja.
ja toisin kuin muut sähköpostiohjelmat, joissa on sähköpostin kumoaminen, Virtru Pro toimii riippumatta siitä, mitä sähköpostipalvelua vastaanottaja käyttää-myös sähköpostin avaamisen jälkeen. Kun työntekijä syöttää vahingossa väärän osoitteen ja osuu lähettää, se voi tarkoittaa eroa läheltä piti ja vakava noudattaminen ongelma.
Virtru DLP (saatavilla sekä Gsuitelle että Outlookille) käsittelee kaikkein vaikeinta tietoturva-ja vaatimustenmukaisuusongelmaa: inhimillistä virhettä. Se on muokattavissa sääntöjä, jotka voivat havaita, jos sähköposti sisältää arkaluonteisia tietoja, kuten sosiaaliturvatunnukset, estää työntekijöitä vahingossa lähettää arkaluonteisia tietoja suojaamattomassa sähköpostissa. Sen mukana tulee asetuksia yhteisille säännöille, kuten HIPAA ja CJIS, mikä helpottaa organisaation kohtaamien sääntöjen noudattamista koskevien kysymysten käsittelyä. Olemme myös juuri keksineet lisäosan, joka tekee HIPAA-sähköpostin noudattamisesta entistä helpompaa HIPAA-Sääntöpaketin kanssa. Se voi myös automaattisesti salata sähköpostit, nauhat liitetiedostoja estää paljastaminen sisäisiä asiakirjoja, tai jopa CC järjestelmänvalvojat sallia seurannan arkaluonteisia sähköposteja.
Virtru for Google Apps (tunnetaan nykyisin nimellä Virtru for Gsuite) auttaa suojaamaan koko pilvityötilasi samalla tehokkaalla asiakaspuolen salauksella, jota käytetään muissa tuotteissamme. Voit hallita näppäimiä ja hallita tiedostoja ja sähköposteja koko Google domainin kautta, tarjoamalla helppoja admin-työkaluja, jotka estävät tietovuodot vahingoittamatta tuottavuutta. Vaatimustenmukaisuusongelmien ratkaiseminen pilvessä ei yksinkertaisesti ole helpompaa — tai turvallisempaa-kuin Google ja Virtru.