6 Problemi di conformità che non sapevi di avere
Rimanere conformi può sembrare una battaglia senza fine. Man mano che la tua azienda si espande, ci sono più regole da seguire, più minacce da affrontare e più buchi di sicurezza da correggere. Alla fine, solo mettere insieme un’iniziativa di conformità può sembrare un compito travolgente.
Comprensibilmente, problemi di conformità possono pop-up ovunque-si potrebbe anche non vedere alcuni di loro in arrivo. Se vuoi impedire alla tua azienda di affrontare multe salate, violazioni costose o uno scandalo imbarazzante, devi assicurarti di non affrontare problemi di conformità importanti. Non sai da dove cominciare? Qui ci sono i 6 problemi di conformità più comuni — e come si può trattare con loro.
Difficoltà a incorporare più regimi di conformità
Una grande organizzazione che svolge attività in diversi paesi può facilmente essere soggetta a una mezza dozzina o più regimi di conformità — e che non conta gli accordi di business associate HIPAA, i contratti modello che disciplinano la circolazione dei dati attraverso le frontiere e altri accordi legali con partner, fornitori e clienti. Anche capire quale prodotto o servizio è regolato da quale legge può sollevare seri problemi di conformità. Un elaboratore di dati potrebbe essere costretto a destreggiarsi tra HIPAA e CJIS perché funziona con i dati sanitari per le forze dell’ordine.
Inoltre, le leggi cambiano costantemente. Città, stati, e contee venire con standard locali. I paesi negoziano nuovi trattati commerciali con accordi sulla protezione dei dati. E il successo rende solo più difficile;più il tuo business cresce e si espande in nuovi mercati, i problemi di conformità più spinosi e complessi diventano.
Implementazione inadeguata
Il fatto è che non implementare completamente la conformità è molto più comune che riuscire. Anche le aziende con una forte cultura della sicurezza hanno spesso molteplici problemi di conformità. Secondo il Verizon 2015 PCI Compliance Report, 4 su 5 aziende non riescono test PCI ad interim. Sebbene la conformità media nella maggior parte degli standard PCI sia forte, ci sono così tanti standard che quasi tutti falliscono in qualcosa — e questo è solo PCI.
Secondo Verizon, il problema è che molte organizzazioni vedono la conformità ” come una tantum esercizio tick-box o esercitazione antincendio che il team di sicurezza possiede e il resto dell’organizzazione begrudges.”Ammettiamolo: la conformità è difficile, costosa e noiosa. Quasi tutti non riescono a farlo, perché la leadership non è disposta a impegnare i soldi e il tempo per farlo bene.
La scarsa comunicazione e l’impegno affliggono anche le iniziative di conformità. Le aziende raramente prendono il tempo per formare i lavoratori, affrontare eventuali problemi di conformità o domande che si presentano e monitorarli su base continuativa. Non fanno della sicurezza una parte della cultura del posto di lavoro, quindi i lavoratori tornano alle vecchie abitudini tutte le volte che no.
Conformità ai partner
Le iniziative di conformità come HIPAA sono progettate per mantenere i dati al sicuro, non per attribuire la colpa in modo equo; se un partner commerciale o un appaltatore avvita e dà via i dati protetti, potresti anche essere sul gancio.
I contratti, come HIPAA Business Associate Agreements (BAAS) e CJIS Management Control Agreements (MCAS), possono aiutare in qualche modo. Mettono in atto regole per l’accesso alle informazioni, la sicurezza e la risposta alle violazioni, aiutando entrambi i partner a rimanere conformi e fornendo una copertura legale cruciale nel caso in cui il partner perda il controllo dei dati protetti.
Sfortunatamente, c’è spesso poco che puoi fare per garantire che i tuoi partner e appaltatori mantengano la loro fine. Gli ospedali, ad esempio, spesso lavorano con centinaia di medici che non sono dipendenti. Possono (e dovrebbero) far firmare a quei medici BaaS, ma non c’è un modo realistico per assicurarsi che seguano effettivamente le regole.
Lo stesso vale per i fornitori di software o cloud hosting provider. È possibile organizzare audit periodici o selezionare qualcuno controllato da una terza parte, ma per la sicurezza giorno per giorno, è necessario prendere in parola-anche quando è la reputazione della vostra azienda sulla linea.
BYOD e telelavoro
Le organizzazioni possono proteggere i computer sul posto di lavoro utilizzando strumenti come crittografia, firewall e programmi anti-malware, ma molte di queste funzionalità di sicurezza vengono regolarmente aggirate nei luoghi di lavoro BYOD (Bring Your Own Device). E per ogni lavoratore che prende sul serio la sicurezza BYOD, ci saranno almeno alcuni altri che mettono la convenienza davanti alla conformità.
I lavoratori potrebbero memorizzare le loro password e dimenticare di cancellare la cache del browser, ad esempio. Non solo questo rende più facile per gli hacker di accedere ai propri dati, ma se un ladro ruba un dispositivo, potrebbe dare loro accesso illimitato ai dati protetti. Se i dipendenti non installano patch ed eseguono programmi antivirus, i loro computer potrebbero essere infettati da malware in grado di rubare segreti aziendali.
Il telelavoro può interferire con la sicurezza e la conformità. Se i tuoi dipendenti utilizzano connessioni Internet pubbliche e non protette, gli hacker possono spiare il loro traffico, potenzialmente rubando credenziali di accesso o dati. E lavorare da casa non risolve necessariamente il problema; i regimi di conformità come CJIS richiedono un elevato livello di sicurezza della rete, e di solito non c’è modo di sapere se il Wi-Fi di un particolare telelavoro è all’altezza degli standard.
DLP scadente
Molte aziende si avvicinano alla privacy come se stessero costruendo un forte. Usano password complesse, crittografia, firewall e altri strumenti di sicurezza per tenere fuori gli invasori, ma non considerano cosa accadrebbe se le loro difese venissero violate.
Il problema è che un hacker potrebbe teoricamente rubare qualsiasi cosa a cui un dipendente ha accesso. Se tutti i dipendenti hanno accesso illimitato a un database di 80.000 nomi di clienti, una violazione potrebbe esporli tutti. E può accadere anche senza un hacker; tutto ciò che un dipendente deve fare è inviare un allegato o un’e-mail con informazioni di accesso o dati protetti alla persona sbagliata, e potresti avere una grave violazione sulle tue mani.
Data Loss Prevention (DLP) può aiutare a ridurre al minimo le potenziali perdite limitando l’accesso ai documenti sensibili. Le aziende devono iniziare a classificare le informazioni sensibili, come la proprietà intellettuale e le informazioni di identificazione personale (PII), e garantire che ogni persona abbia accesso solo alle informazioni di cui ha bisogno. Se un hacker ottiene l’accesso, DLP può significare la differenza tra l’esposizione di alcuni record e un intero database.
Mancanza di crittografia adeguata
La crittografia dei dati è uno degli strumenti di conformità più importanti disponibili. Una volta che i dati sono crittografati, è illeggibile e praticamente impossibile da decifrare senza la chiave crittografica. Anche se un cliente è in grado di accedere al database di una società o intercettare e-mail di un dipendente, crittografia forte manterrà i dati al sicuro.
Sfortunatamente, le organizzazioni che dovrebbero conoscere meglio non riescono a crittografare i dati a riposo e i dati in movimento, con risultati disastrosi. L’Hack Anthem, che ha esposto i dati personali di decine di milioni di persone, è solo uno dei tanti hack che avrebbero potuto essere impediti dalla crittografia.
Le organizzazioni spesso scelgono di non crittografare perché considerano la crittografia meno conveniente, poiché temono che renderà illeggibili i loro database. In realtà, tuttavia, se le aziende taggano i loro file crittografati, possono accedere alle informazioni di cui hanno bisogno senza compromettere la sicurezza dei dati.
Non tutta la crittografia è ugualmente efficace. Le chiavi più lunghe rendono la crittografia molto più difficile da decifrare, quindi le aziende devono utilizzare la crittografia a 128 bit o superiore. Inoltre, dovrebbero utilizzare la crittografia lato client quando possibile. La crittografia lato client è estremamente sicura, poiché crittografa i dati mentre lasciano il computer e li decrittografa solo una volta raggiunta la destinazione, il che significa che puoi garantire che i tuoi dati siano al sicuro mentre viaggiano dove devono andare.
La necessità di DLP e crittografia universale forte
La sicurezza è solo buono come il vostro anello più debole. Virtru aiuta le aziende a risolvere una vasta gamma di problemi di conformità con potenti strumenti di sicurezza che chiunque può utilizzare. Virtru encryption protegge le email con un solo clic, utilizzando la crittografia di livello militare lato client. E ‘ l’unico programma di crittografia e-mail che non inibisce alcuna funzionalità di posta elettronica, o rendere e-mail più difficile da usare. A differenza di altri strumenti di crittografia e-mail come PGP, Virtru gestisce automaticamente email le chiavi, e possibile crittografare:
- Allegati
Messaggi di posta elettronica inviati a più destinatari
- e-Mail a persone che non hanno installato Virtru plug-in
Virtru Pro, aggiunge potenti funzionalità che gli aiuti di conformità e di dare un maggiore controllo della comunicazione. È possibile revocare le e-mail, impostare limiti di tempo e disabilitare l’inoltro per impedire ai destinatari di condividere informazioni sensibili.
E a differenza di altri programmi di posta elettronica che hanno la revoca della posta elettronica, Virtru Pro funziona indipendentemente dal servizio di posta elettronica utilizzato dal destinatario, anche dopo aver aperto l’e-mail. Quando un dipendente inserisce accidentalmente l’indirizzo sbagliato e colpisce invia, può significare la differenza tra una chiamata ravvicinata e un grave problema di conformità.
Virtru DLP (disponibile sia per G Suite che per Outlook) affronta il problema di sicurezza e conformità più difficile di tutti: l’errore umano. Ha regole personalizzabili che possono rilevare se un’e-mail contiene informazioni sensibili come i numeri di previdenza sociale, impedendo ai dipendenti di inviare accidentalmente informazioni sensibili in un’e-mail non protetta. Viene fornito con le impostazioni per le regole comuni, come HIPAA e CJIS, rendendo più facile per affrontare i problemi di conformità che devono affrontare l’organizzazione. Abbiamo anche appena venuto con un add-on che rende HIPAA conformità e-mail ancora più facile con il pacchetto di regole HIPAA. Può anche crittografare automaticamente le e-mail, rimuovere gli allegati per impedire la divulgazione di documenti interni o persino gli amministratori CC per consentire il monitoraggio delle e-mail sensibili.
Infine, Virtru per Google Apps (ora noto come Virtru per G Suite) aiuta a proteggere l’intero spazio di lavoro cloud con la stessa potente crittografia lato client utilizzata negli altri nostri prodotti. Puoi controllare le chiavi e gestire l’accesso a file ed e-mail attraverso l’intero dominio Google, fornendo semplici strumenti di amministrazione che impediscono perdite di dati senza danneggiare la produttività. Per risolvere i problemi di conformità nel cloud, semplicemente non diventa più facile — o più sicuro — di Google e Virtru.