6 megfelelőségi problémák, amelyekről nem tudta, hogy

by Posted on

a megfelelés megtartása soha véget nem érő csatának érezheti magát. Ahogy a vállalkozás bővül, több szabályt kell követni, több fenyegetést kell kezelni, és több biztonsági rést kell javítani. Végül is, csak egy megfelelőségi kezdeményezés összeállítása elsöprő feladatnak tűnhet.

érthető, hogy a megfelelőségi problémák mindenhol felbukkanhatnak — lehet, hogy nem is látja őket. Ha meg akarja akadályozni, hogy vállalkozása súlyos bírságokkal, drága jogsértésekkel vagy kínos botrányokkal szembesüljön, meg kell győződnie arról, hogy nem szembesül-e jelentős megfelelési problémákkal. Nem tudja, hol kezdje? Íme a 6 leggyakoribb megfelelési probléma — és hogyan kezelheti őket.

nehézség több megfelelőségi rendszer beépítése

egy több országban üzleti tevékenységet folytató nagy szervezet könnyen fél tucat vagy annál több megfelelőségi rendszer hatálya alá tartozhat — és ez nem számít bele a HIPAA üzleti partneri megállapodásaiba, az adatok határokon átnyúló mozgását szabályozó modellszerződéseibe, valamint a partnerekkel, szolgáltatókkal és ügyfelekkel kötött egyéb jogi megállapodásokba. Még annak kiderítése is, hogy melyik termékre vagy szolgáltatásra melyik törvény vonatkozik, komoly megfelelési problémákat vethet fel. Az adatfeldolgozót arra lehet kényszeríteni, hogy zsonglőrködjön a HIPAA-val és a CJIS-szel, mert az egészségügyi adatokkal dolgozik a bűnüldözés érdekében.

ráadásul a törvények folyamatosan változnak. A városok, az államok és a megyék helyi szabványokat hoznak létre. Az országok új kereskedelmi szerződéseket tárgyalnak adatvédelmi megállapodásokkal. És a siker csak megnehezíti; minél inkább növekszik és bővül az új piacok felé, annál nehezebb és összetettebb megfelelési problémák merülnek fel.

nem megfelelő végrehajtás

tény, hogy a megfelelés teljes körű végrehajtásának elmulasztása sokkal gyakoribb, mint a siker. Még az erős biztonsági kultúrával rendelkező vállalkozásoknak is gyakran több megfelelési problémája van. A Verizon 2015 PCI megfelelőségi jelentése szerint 4 vállalatból 5 nem sikerül az időközi PCI tesztelésen. Bár a legtöbb PCI szabvány átlagos megfelelése erős, olyan sok szabvány létezik, hogy szinte mindenki kudarcot vall valamiben — és ez csak a PCI.

a Verizon szerint a probléma az, hogy sok szervezet a megfelelést “egyszeri jelölőnégyzet-gyakorlatnak vagy tűzgyakorlatnak tekinti, amelyet a biztonsági csapat birtokol, a szervezet többi része pedig felháborodik.”Nézzünk szembe a tényekkel — a megfelelés nehéz, drága és unalmas. Szinte mindenki kudarcot vall, mert a vezetés nem hajlandó pénzt és időt fordítani arra, hogy helyesen tegye.

a rossz kommunikáció és elkötelezettség a megfelelőségi kezdeményezéseket is sújtja. A vállalatok ritkán szánnak időt a munkavállalók képzésére, a felmerülő megfelelési kérdések vagy kérdések kezelésére, és folyamatosan figyelemmel kísérik őket. Nem teszik a biztonságot a munkahelyi kultúra részévé, így a munkavállalók olyan gyakran térnek vissza a régi szokásokhoz, mint nem.

Partner Compliance

a HIPAA-hoz hasonló megfelelőségi kezdeményezések célja az adatok biztonságának megőrzése, nem pedig a felelősség igazságos elosztása; ha egy üzleti partner vagy vállalkozó elcseszi és védett adatokat ad ki, akkor te is a horogra kerülhetsz.

a szerződések, mint például a HIPAA Business Associate Agreements (Baas) és a CJIS Management Control Agreements (MCAs), némileg segíthetnek. Szabályokat vezetnek be az információkhoz való hozzáférésre, a biztonságra és a jogsértésekre való reagálásra, segítve mindkét partnert a megfelelés megőrzésében, és kulcsfontosságú jogi fedezetet nyújtanak arra az esetre, ha partnere elveszíti az irányítást a védett adatok felett.

sajnos gyakran keveset tehetünk annak érdekében, hogy Partnereink és vállalkozóink betartsák az alku végét. A kórházak például gyakran több száz orvossal dolgoznak, akik nem alkalmazottak. Lehet (és kell), hogy ezek az orvosok aláírják a BAAs-t, de nincs reális módja annak, hogy megbizonyosodjanak arról, hogy valóban betartják a szabályokat.
ugyanez vonatkozik a szoftvergyártókra vagy a felhőalapú tárhelyszolgáltatókra. Rendszeres ellenőrzéseket szervezhet, vagy kiválaszthat valakit, akit egy harmadik fél ellenőriz, de a napi biztonság érdekében szavukra kell vennie őket-még akkor is, ha ez a vállalat hírneve a sorban.

BYOD és távmunka

a szervezetek képesek megvédeni a munkahelyi számítógépeket olyan eszközökkel, mint a titkosítás, a tűzfalak és a rosszindulatú programok elleni programok, de ezek közül a biztonsági funkciók közül sokat rutinszerűen megkerülnek a Bring Your Own Device (BYOD) munkahelyeken. És minden olyan munkavállaló számára, aki komolyan veszi a BYOD biztonságát, lesz legalább néhány másik, aki a kényelmet a megfelelés elé helyezi.

a dolgozók például eltárolják a jelszavukat, és elfelejtik törölni a böngésző gyorsítótárát. Ez nemcsak megkönnyíti a hackerek számára az adataikhoz való hozzáférést, hanem ha egy tolvaj ellop egy eszközt, akkor korlátlan hozzáférést biztosíthat számukra a védett adatokhoz. Ha az alkalmazottak nem telepítenek javításokat és nem futtatnak víruskereső programokat, számítógépeiket megfertőzhetik olyan rosszindulatú programok, amelyek ellophatják a vállalati titkokat.

a távmunka önmagában is zavarhatja a biztonságot és a megfelelőséget. Ha alkalmazottai Nyilvános, nem biztonságos internetkapcsolatot használnak, a hackerek kémkedhetnek a forgalmukon, potenciálisan ellophatják a bejelentkezési adatokat vagy adatokat. Az otthoni munkavégzés nem feltétlenül oldja meg a problémát; a megfelelőségi rendszerek, mint például a CJIS, magas szintű hálózati biztonságot igényelnek, és általában nem lehet tudni, hogy egy adott távmunkás Wi-Fi-je megfelel-e a szabványoknak.

gyenge DLP

sok vállalat úgy közelíti meg a magánélet védelmét, mintha erődöt építene. Erős jelszavakat, titkosítást, tűzfalakat és más biztonsági eszközöket használnak a betolakodók távol tartására, de nem veszik figyelembe, Mi történne, ha a védelmüket megsértenék.

a probléma az, hogy egy hacker elméletileg bármit ellophat, amihez egy alkalmazott hozzáfér. Ha minden alkalmazottjának korlátlan hozzáférése van egy 80 000 ügyfélnevet tartalmazó adatbázishoz, egy megsértés mindet felfedheti. És ez még hacker nélkül is megtörténhet; az alkalmazottnak csak annyit kell tennie, hogy rossz személynek küld egy mellékletet vagy e-mailt bejelentkezési adatokkal vagy védett adatokkal, és súlyos megsértést okozhat a kezedben.

az adatvesztés megelőzése (DLP) segíthet a potenciális veszteségek minimalizálásában azáltal, hogy korlátozza az érzékeny dokumentumokhoz való hozzáférést. A vállalatoknak el kell kezdeniük az érzékeny információk, például a szellemi tulajdon és a személyazonosításra alkalmas információk (PII) kategorizálását, és biztosítaniuk kell, hogy minden személy csak a szükséges információkhoz férjen hozzá. Ha egy hacker hozzáférést kap, a DLP jelentheti a különbséget néhány rekord és egy teljes adatbázis felfedése között.

a megfelelő titkosítás hiánya

az adattitkosítás az elérhető legfontosabb megfelelőségi eszközök egyike. Ha az adatok titkosítva vannak, olvashatatlanok és gyakorlatilag lehetetlen feltörni a kriptográfiai kulcs nélkül. Még akkor is, ha az ügyfél képes hozzáférni egy vállalat adatbázisához vagy elfogni egy alkalmazott e-mailjét, az erős titkosítás biztonságban tartja az adatokat.

sajnos azok a szervezetek, amelyeknek jobban kellene tudniuk, nem titkosítják a nyugalmi és a mozgásban lévő adatokat, ami katasztrofális eredménnyel jár. A Himnusz Hack, amely több tízmillió ember személyes adatait tárta fel, csak egy a sok Hack közül, amelyet titkosítással meg lehetett volna akadályozni.

a szervezetek gyakran úgy döntenek, hogy nem titkosítanak, mert a titkosítást kevésbé kényelmesnek tartják, mivel attól tartanak, hogy ez olvashatatlanná teszi adatbázisaikat. A valóságban azonban, ha a vállalatok megcímkézik titkosított fájljaikat, hozzáférhetnek a szükséges információkhoz az adatbiztonság veszélyeztetése nélkül.

nem minden titkosítás egyformán hatékony. A hosszabb kulcsok sokkal nehezebbé teszik a titkosítás feltörését, ezért a vállalatoknak 128 bites vagy magasabb titkosítást kell használniuk. Ezenkívül lehetőség szerint ügyféloldali titkosítást kell használniuk. Az ügyféloldali titkosítás rendkívül biztonságos, mivel titkosítja az adatokat, amikor elhagyja a számítógépet, és csak akkor dekódolja, ha eléri a rendeltetési helyét—ami azt jelenti, hogy garantálhatja az adatok biztonságát, amikor oda utazik, ahová kell.

a DLP és az univerzális erős titkosítás szükségessége

a biztonság csak annyira jó, mint a leggyengébb láncszem. A Virtru hatékony biztonsági eszközökkel segíti a vállalatokat a megfelelőségi problémák széles skálájának megoldásában, amelyeket bárki használhat. A Virtru titkosítás egyetlen kattintással védi az e-maileket, katonai szintű, ügyféloldali titkosítással. Ez az egyetlen e-mail titkosító program, amely nem gátolja az e-mail funkciókat, vagy megnehezíti az e-mail használatát. Más e-mail titkosítási eszközökkel, például a PGP-vel ellentétben a Virtru automatikusan kezeli az e-mail kulcsokat:

  • mellékletek

több címzettnek küldött e-mailek

  • e-mailek azoknak, akik még nem telepítették a Virtru plug-injét

a Virtru Pro hatékony funkciókat kínál, amelyek elősegítik a megfelelést és nagyobb ellenőrzést biztosítanak a kommunikáció felett. Visszavonhatja az e-maileket, beállíthatja a határidőket, és letilthatja a továbbítást, hogy megakadályozza a címzetteket az érzékeny információk megosztásában.

és ellentétben más e — mail programok, amelyek e-mail visszavonása, Virtru Pro működik, nem számít, milyen e-mail szolgáltatás a címzett használ-még azután is, hogy már megnyitotta az e-mailt. Ha egy alkalmazott véletlenül rossz címet ad meg, és elküldi a találatokat, ez jelentheti a különbséget a közeli hívás és a súlyos megfelelési probléma között.

a Virtru DLP (mind a G Suite, mind az Outlook számára elérhető) a legnehezebb biztonsági és megfelelőségi problémát kezeli: az emberi hibát. Testreszabható szabályokkal rendelkezik, amelyek felismerik, hogy egy e-mail tartalmaz-e érzékeny információkat, például társadalombiztosítási számokat, megakadályozva, hogy az alkalmazottak véletlenül bizalmas információkat küldjenek egy nem biztonságos e-mailben. Tartalmazza a közös szabályok beállításait, például a HIPAA-t és a CJIS-t, megkönnyítve ezzel a megfelelőségi problémák kezelését, amelyekkel a szervezet szembesül. Mi is csak jött egy add-on, ami HIPAA e-mail megfelelés még könnyebb a HIPAA szabály pack. Azt is automatikusan titkosítja az e-maileket, szalag mellékleteket, hogy megakadályozzák nyilvánosságra hozatala belső dokumentumok, vagy akár CC rendszergazdák, hogy figyelemmel kíséri az érzékeny e-maileket.

végül a Virtru for Google Apps (ma Virtru for G Suite néven ismert) segít a teljes felhőalapú munkaterület biztonságossá tételében ugyanazzal a hatékony, ügyféloldali titkosítással, amelyet más termékeinkben is használunk. A kulcsokat vezérelheti és kezelheti a fájlokhoz és e-mailekhez való hozzáférést a teljes Google domainen keresztül, egyszerű adminisztrációs eszközöket biztosítva, amelyek megakadályozzák az adatszivárgást anélkül, hogy károsítanák a termelékenységet. A megfelelőségi problémák megoldása a felhőben egyszerűen nem lesz könnyebb — vagy biztonságosabb -, mint a Google és a Virtru.

Published by admin

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.