6 Compliance Problemer Du Ikke Visste Du Hadde
Bor kompatibel kan føles som en endeløs kamp. Etter hvert som virksomheten din utvides, er det flere regler å følge, flere trusler å adressere og flere sikkerhetshull å lappe. Til slutt kan bare å sette sammen et compliance-initiativ virke som en overveldende oppgave.
Forståelig, compliance problemer kan dukke opp overalt — du kan ikke engang se noen av dem kommer. Hvis du vil forhindre at virksomheten din står overfor store bøter, dyre brudd eller en pinlig skandale, må du sørge for at du ikke står overfor noen store samsvarsproblemer. Ikke sikker på hvor du skal begynne? Her er de 6 vanligste samsvarsproblemene — og hvordan du kan håndtere dem.
Vanskeligheter Med Å Innlemme Flere Compliance Regimer
en stor organisasjon som driver virksomhet i flere land, kan lett bli underlagt et halvt dusin eller flere compliance regimer — og det teller ikke HIPAA business associate agreements, modellkontrakter som styrer bevegelsen av data over landegrensene, og andre juridiske avtaler med partnere, leverandører og kunder. Selv å finne ut hvilket produkt eller tjeneste som er regulert av hvilken lov kan føre til alvorlige samsvarsproblemer. En databehandler kan bli tvunget TIL Å sjonglere HIPAA og CJIS fordi den fungerer med helsedata for rettshåndhevelse.
på toppen av det endres lovene hele tiden. Byer, stater og fylker komme opp med lokale standarder. Land forhandler nye handelsavtaler med databeskyttelsesavtaler. Og suksess gjør det bare vanskeligere; jo mer virksomheten din vokser og utvider seg til nye markeder, blir de thornier og mer komplekse compliance-problemene.
Utilstrekkelig Implementering
faktum er at det å ikke fullt ut implementere samsvar er langt mer vanlig enn å lykkes. Selv bedrifter med sterke sikkerhetskulturer har ofte flere samsvarsproblemer. Ifølge VERIZON 2015 PCI Compliance Report, 4 ut av 5 selskaper mislykkes midlertidig PCI testing. Selv om gjennomsnittlig overholdelse på tvers AV DE FLESTE PCI-standarder er sterk, er det så mange standarder at nesten alle mislykkes i noe — og DET er BARE PCI.
ifølge Verizon er problemet at mange organisasjoner ser compliance “som en engangsboksøvelse eller brannøvelse som sikkerhetsteamet eier og resten av organisasjonen begrudges.”La oss innse det — compliance er vanskelig, dyrt og kjedelig. Nesten alle mislykkes på det, fordi lederskap er villig til å forplikte penger og tid til å gjøre det riktig.
Dårlig kommunikasjon og engasjement plager også compliance initiativer. Bedrifter tar sjelden tid til å trene arbeidstakere, ta opp eventuelle samsvarsproblemer eller spørsmål som kommer opp, og overvåke dem kontinuerlig. De gjør ikke sikkerhet til en del av arbeidsplassens kultur, så arbeidstakere går rett tilbake til gamle vaner så ofte som ikke.
Partner Compliance
Compliance initiativer som HIPAA er utformet for å holde data sikre, ikke å fordele skylden rettferdig; hvis en forretningspartner eller entreprenør skruer opp og gir bort beskyttede data, kan du også være på kroken.
Kontrakter, for eksempel HIPAA Business Associate Agreements (BAAs) og Cjis Management Control Agreements (MCAs), kan hjelpe noe. De setter regler på plass for informasjonstilgang, sikkerhet og respons på brudd, hjelper begge parter til å holde seg kompatible, og gir viktig juridisk dekning dersom partneren din mister kontroll over beskyttede data.
Dessverre er det ofte lite du kan gjøre for å sikre at dine partnere og entreprenører holder opp sin del av avtalen. Sykehus, for eksempel, jobber ofte med hundrevis av leger som ikke er ansatte. De kan (og bør) få disse legene til å signere BAAs, men det er ingen realistisk måte å sørge for at de faktisk følger reglene.
det samme gjelder for programvareleverandører eller cloud hosting-leverandører. Du kan ordne periodiske revisjoner eller velge noen revidert av en tredjepart, men for dag-til-dag sikkerhet, du må ta dem på deres ord — selv når det er bedriftens omdømme på linjen.
BYOD Og Telecommuting
Organisasjoner kan beskytte arbeidsplassdatamaskiner ved hjelp av verktøy som kryptering, brannmurer og anti-malware-programmer, men mange av disse sikkerhetsfunksjonene blir rutinemessig omgått I Bring Your Own Device (BYOD) arbeidsplasser. Og for hver arbeidstaker som tar BYOD sikkerhet på alvor, vil det være minst et par andre som setter bekvemmelighet foran compliance.
Arbeidere kan lagre passordene sine og glemme å tømme nettleserens cache, for eksempel. Ikke bare gjør dette det enklere for hackere å få tilgang til dataene sine, men hvis en tyv stjeler en enhet, kan den gi dem ubegrenset tilgang til beskyttede data. Hvis ansatte ikke installerer oppdateringer og kjører antivirusprogrammer, kan datamaskinene deres bli infisert av skadelig programvare som kan stjele bedriftshemmeligheter.
Telecommuting selv kan forstyrre sikkerhet og samsvar. Hvis dine ansatte bruker offentlige, usikrede internettforbindelser, kan hackere spionere på trafikken, potensielt stjele påloggingsinformasjon eller data. Og å jobbe hjemmefra løser ikke nødvendigvis problemet; compliance regimer som CJIS krever et høyt nivå av nettverkssikkerhet, og det er vanligvis ingen måte å vite om En bestemt telekommunikasjons Wi-Fi er opp til standarder.
Dårlig DLP
Mange selskaper nærmer seg personvern som om de skulle bygge et fort. De bruker sterke passord, kryptering, brannmurer og andre sikkerhetsverktøy for å holde inntrengere ute, men vurderer ikke hva som ville skje hvis deres forsvar ble brutt.
problemet er at en hacker teoretisk kan stjele alt en ansatt har tilgang til. Hvis alle dine ansatte har ubegrenset tilgang til en database med 80.000 kundenavn, kan ett brudd avsløre dem alle. Og det kan skje selv uten en hacker; alt en ansatt trenger å gjøre er å sende et vedlegg eller e-post med påloggingsinformasjon eller beskyttede data til feil person, og du kan få et stort brudd på hendene dine.
FOREBYGGING Av Datatap (DLP) kan hjelpe deg med å minimere potensielle tap ved å begrense tilgangen til sensitive dokumenter. Bedrifter må begynne å kategorisere sensitiv informasjon, for eksempel immateriell eiendom og PERSONLIG Identifiserbar Informasjon (PII), og sikre at hver person bare har tilgang til informasjonen de trenger. HVIS en hacker får tilgang, KAN DLP bety forskjellen mellom å utsette noen poster og en hel database.
Mangel På Tilstrekkelig Kryptering
datakryptering er et av de viktigste samsvarsverktøyene som er tilgjengelige. Når data er kryptert, er det uleselig og nesten umulig å knekke uten kryptografisk nøkkel. Selv om en kunde er i stand til å få tilgang til et selskaps database eller avskjære en ansattes e-post, vil sterk kryptering holde dataene trygge.
dessverre, organisasjoner som burde vite bedre, unnlater å kryptere data-i-hvile og data-i-bevegelse, med katastrofale resultater. Anthem Hack, som eksponerte personlige data fra titalls millioner mennesker, er bare en av mange hack som kunne vært forhindret ved kryptering.
Organisasjoner velger ofte ikke å kryptere fordi de ser kryptering som mindre praktisk, da de frykter at det vil gjøre databasene uleselige. I virkeligheten, men hvis selskaper tagger sine krypterte filer, kan de få tilgang til informasjonen de trenger uten å gå på kompromiss med datasikkerheten.
ikke all kryptering er like effektiv. Lengre nøkler gjør kryptering mye vanskeligere å knekke, så bedrifter må bruke 128-bit eller høyere kryptering. I tillegg bør de bruke kryptering på klientsiden når det er mulig. Kryptering på klientsiden er ekstra sikker, da den krypterer data når den forlater datamaskinen, og dekrypterer den bare når den når målet—noe som betyr at du kan garantere at dataene dine er trygge når de reiser til hvor de må gå.
BEHOVET FOR DLP Og Universell Sterk Kryptering
din sikkerhet er bare så god som ditt svakeste ledd. Virtru hjelper bedrifter med å løse et bredt spekter av samsvarsproblemer med kraftige sikkerhetsverktøy som alle kan bruke. Virtru kryptering beskytter e-post med et enkelt klikk, ved hjelp av militær-grade, klient-side kryptering. Det er det eneste e-postkrypteringsprogrammet som ikke hemmer noen e-postfunksjonalitet, eller gjør e-post vanskeligere å bruke. I motsetning til andre e-krypteringsverktøy SOM PGP, Håndterer Virtru automatisk e-postnøkler, og kan kryptere:
- Vedlegg
E-Post sendt til flere mottakere
- E-Post Til personer som ikke har installert Virtru ‘ s plug-in
Virtru Pro, legger til kraftige funksjoner som bidrar til samsvar og gir deg større kontroll over kommunikasjonen din. Du kan tilbakekalle e-post, angi tidsgrenser og deaktivere videresending for å hindre mottakere i å dele sensitiv informasjon.
Og i motsetning til andre e-postprogrammer som har tilbakekalling av e-post, Fungerer Virtru Pro uansett hvilken e — posttjeneste mottakeren bruker-selv etter at de har åpnet e-posten. Når en ansatt ved et uhell legger inn feil adresse og treff send, kan det bety forskjellen mellom en nær samtale og et alvorlig samsvarsproblem.
Virtru DLP (tilgjengelig For Både G Suite og Outlook) takler det vanskeligste sikkerhets-og samsvarsproblemet av alle: menneskelige feil. Den har tilpassbare regler som kan oppdage om en e-post inneholder sensitiv informasjon som personnummer, slik at ansatte ikke ved et uhell sender sensitiv informasjon i en usikret e-post. Den leveres med innstillinger for vanlige regler, FOR EKSEMPEL HIPAA og CJIS, noe som gjør det enklere å løse samsvarsproblemer som står overfor organisasjonen. Vi har også nettopp kommet opp med et tillegg som gjør HIPAA email compliance enda enklere MED HIPAA Rule pack. Det kan også automatisk kryptere e-post, stripe vedlegg for å hindre avsløring av interne dokumenter, ELLER CC administratorer å tillate overvåking av sensitive e-poster.
Endelig Bidrar Virtru For Google Apps (Nå Kjent Som Virtru For G Suite) til å sikre hele arbeidsområdet i skyen med den samme kraftige krypteringen på klientsiden som brukes i de andre produktene våre. Du kan styre nøkler og administrere tilgang til filer og e-poster gjennom Hele Google-Domenet, og du får enkle administrasjonsverktøy som forhindrer datalekkasje uten å skade produktiviteten. For å løse compliance problemer i skyen, det rett og slett ikke bli enklere — eller tryggere – Enn Google og Virtru.