6 Compliance problemen waarvan je niet wist dat je
compliant blijven kan aanvoelen als een nooit eindigende strijd. Naarmate uw bedrijf groeit, zijn er meer regels te volgen, meer bedreigingen aan te pakken en meer beveiligingslekken te patchen. Uiteindelijk kan het samenstellen van een compliance-initiatief een overweldigende taak lijken.
het is begrijpelijk dat compliance problemen overal kunnen verschijnen — U ziet er misschien niet eens een aantal aankomen. Als u wilt voorkomen dat uw bedrijf geconfronteerd met forse boetes, dure inbreuken, of een beschamend schandaal, je nodig hebt om ervoor te zorgen dat u niet geconfronteerd met een grote compliance problemen. Weet je niet waar te beginnen? Hier zijn de 6 meest voorkomende compliance problemen — en hoe u kunt omgaan met hen.
moeilijkheid om meerdere Nalevingsregelingen op te nemen
een grote organisatie die in meerdere landen zaken doet, kan gemakkelijk onderworpen zijn aan een half dozijn of meer nalevingsregelingen — en dat telt niet mee HIPAA business associate agreements, modelcontracten voor het grensoverschrijdend verkeer van gegevens en andere juridische overeenkomsten met partners, aanbieders en klanten. Zelfs het uitzoeken welk product of welke Dienst wordt beheerst door welk recht kan ernstige compliance problemen opleveren. Een gegevensverwerker kan worden gedwongen om HIPAA en CJIS jongleren omdat het werkt met gezondheidsgegevens voor rechtshandhaving.
bovendien veranderen wetten voortdurend. Steden, Staten en provincies komen met lokale normen. Landen onderhandelen over nieuwe handelsverdragen met gegevensbeschermingsovereenkomsten. En succes maakt het alleen maar moeilijker; hoe meer uw bedrijf groeit en zich uitbreidt naar nieuwe markten, hoe moeilijker en complexer compliance problemen worden.
Inadequate implementatie
het feit is dat het niet volledig implementeren van de naleving veel vaker voorkomt dan slagen. Zelfs bedrijven met een sterke beveiligingscultuur hebben vaak meerdere complianceproblemen. Volgens het Verizon 2015 PCI Compliance Report, 4 van de 5 bedrijven niet interim PCI testen. Hoewel de gemiddelde naleving van de meeste PCI-standaarden sterk is, zijn er zoveel standaarden dat bijna iedereen ergens niet in slaagt — en dat is gewoon PCI.
volgens Verizon is het probleem dat veel organisaties compliance ” zien als een eenmalige aankruisvakje oefening of brandoefening die het beveiligingsteam bezit en de rest van de organisatie misgunt.”Laten we eerlijk zijn-naleving is moeilijk, duur en vervelend. Bijna iedereen faalt erin, omdat leiderschap niet bereid is om het geld en de tijd te besteden om het goed te doen.
slechte communicatie en betrokkenheid leiden ook tot compliance-initiatieven. Bedrijven nemen zelden de tijd om werknemers op te leiden, problemen met de naleving of vragen die zich voordoen aan te pakken en ze voortdurend te monitoren. Ze maken veiligheid geen onderdeel van de werkcultuur, dus werknemers gaan zo vaak terug naar oude gewoontes als niet.
partner Compliance
Compliance-initiatieven zoals HIPAA zijn ontworpen om gegevens veilig te houden, niet om de schuld eerlijk te verdelen; als een zakenpartner of contractant fouten maakt en beschermde gegevens weggeeft, zou u ook aan de haak kunnen zitten.
contracten, zoals HIPAA Business Associate Agreements (BAAs) en CJIS Management Control Agreements (MCB ‘ s), kunnen enigszins helpen. Ze stellen regels in voor toegang tot informatie, beveiliging en het reageren op inbreuken, waardoor beide partners zich aan de regels houden en cruciale wettelijke dekking bieden als uw partner de controle over beschermde gegevens verliest.
helaas is er vaak weinig dat u kunt doen om ervoor te zorgen dat uw partners en aannemers hun deel van de afspraak nakomen. Ziekenhuizen werken bijvoorbeeld vaak met honderden artsen die geen werknemer zijn. Ze kunnen (en moeten) die artsen BAAs laten tekenen, maar er is geen realistische manier om ervoor te zorgen dat ze zich daadwerkelijk aan de regels houden.
hetzelfde geldt voor softwareleveranciers of cloudhostingproviders. U kunt periodieke audits organiseren of iemand selecteren die wordt gecontroleerd door een derde partij, maar voor de dagelijkse beveiliging moet u ze op hun woord geloven-zelfs als het de reputatie van uw bedrijf op het spel staat.
BYOD en telewerken
organisaties kunnen werkcomputers beveiligen met behulp van tools zoals encryptie, firewalls en anti-malwareprogramma ‘ s, maar veel van deze beveiligingsfuncties worden routinematig omzeild in BYOD-werkplekken (Bring Your Own Device). En voor elke werknemer die BYOD security serieus neemt, zullen er op zijn minst een paar anderen zijn die gemak boven compliance stellen.
werknemers kunnen bijvoorbeeld hun wachtwoorden opslaan en vergeten hun browsercache te wissen. Niet alleen maakt dit het makkelijker voor hackers om toegang te krijgen tot hun gegevens, maar als een dief steelt een apparaat, het zou kunnen geven hen onbeperkte toegang tot beschermde gegevens. Als werknemers geen patches installeren en antivirusprogramma ‘ s uitvoeren, kunnen hun computers worden geïnfecteerd door malware die bedrijfsgeheimen kan stelen.
telewerken zelf kan de beveiliging en compliance verstoren. Als uw medewerkers gebruik maken van openbare, onbeveiligde internetverbindingen, hackers kunnen bespioneren hun verkeer, mogelijk het stelen van Inloggegevens of gegevens. En thuis werken lost het probleem niet per se op; compliance regimes zoals CJIS vereisen een hoog niveau van netwerkbeveiliging, en er is meestal geen manier om te weten of een bepaalde telecommuter Wi-Fi voldoet aan de normen.
slechte DLP
veel bedrijven benaderen privacy alsof ze een fort bouwen. Ze gebruiken sterke wachtwoorden, encryptie, firewalls en andere beveiligingstools om indringers buiten te houden, maar overweeg niet wat er zou gebeuren als hun verdediging werd geschonden.
het probleem is dat een hacker theoretisch alles kan stelen waartoe een werknemer toegang heeft. Als al uw medewerkers onbeperkte toegang hebben tot een database van 80.000 klantennamen, kan één inbreuk ze allemaal blootleggen. En het kan zelfs gebeuren zonder een hacker; alles wat een werknemer hoeft te doen is een bijlage of e-mail met login-informatie of beschermde gegevens te sturen naar de verkeerde persoon, en je zou een grote inbreuk op uw handen.
preventie van gegevensverlies (DLP) kan u helpen potentiële verliezen te minimaliseren door de toegang tot gevoelige documenten te beperken. Bedrijven moeten beginnen met het categoriseren van gevoelige informatie, zoals intellectuele eigendom, en persoonlijk identificeerbare informatie (PII), en ervoor te zorgen dat elke persoon alleen toegang heeft tot de informatie die ze nodig hebben. Als een hacker toegang krijgt, kan DLP het verschil betekenen tussen het blootstellen van een paar records en een hele database.
gebrek aan adequate versleuteling
gegevensversleuteling is een van de belangrijkste beschikbare nalevingsinstrumenten. Zodra gegevens zijn versleuteld, is het onleesbaar en vrijwel onmogelijk om te kraken zonder de cryptografische sleutel. Zelfs als een klant in staat is om toegang te krijgen tot de database van een bedrijf of onderscheppen e-mail van een werknemer, sterke encryptie zal de gegevens veilig te houden.
helaas slagen organisaties die beter zouden moeten weten er niet in om data-at-rest en data-in-motion te versleutelen, met desastreuze resultaten. De Anthem Hack, die de persoonlijke gegevens van tientallen miljoenen mensen blootgesteld, is slechts een van de vele hacks die had kunnen worden voorkomen door encryptie.
organisaties kiezen er vaak voor om niet te versleutelen omdat ze versleuteling minder handig vinden, omdat ze vrezen dat het hun databases onleesbaar maakt. In werkelijkheid, echter, als bedrijven taggen hun versleutelde bestanden, ze kunnen toegang krijgen tot de informatie die ze nodig hebben zonder afbreuk te doen aan de beveiliging van de gegevens.
niet alle versleuteling is even effectief. Langere sleutels maken encryptie veel moeilijker te kraken, dus bedrijven moeten 128-bit of hogere encryptie gebruiken. Bovendien, ze moeten client-side encryptie gebruiken waar mogelijk. Client-side encryptie is extra veilig, als het versleutelt gegevens als het verlaat uw computer, en alleen decodeert zodra het zijn bestemming bereikt-wat betekent dat u kunt garanderen dat uw gegevens veilig is als het reist naar waar het moet gaan.
de behoefte aan DLP en Universal Strong encryptie
uw beveiliging is slechts zo goed als uw zwakste schakel. Virtru helpt bedrijven een breed scala aan compliance problemen op te lossen met krachtige beveiligingstools die iedereen kan gebruiken. Virtru encryptie beschermt e-mails met een enkele klik, met behulp van militaire kwaliteit, client-side encryptie. Het is het enige e-mail encryptie programma dat geen e-mail functionaliteit remt, of e-mail moeilijker te gebruiken maakt. In tegenstelling tot andere e-mail Encryptie tools zoals PGP, Virtru behandelt automatisch e-mail sleutels, en kan versleutelen:
- bijlagen
e-mails verzonden naar meerdere ontvangers
- e-mails naar mensen die de plug-in van Virtru niet hebben geïnstalleerd
Virtru Pro, voegt krachtige functies toe die compliance ondersteunen en u meer controle geven over uw communicatie. U kunt e-mails intrekken, tijdslimieten instellen en doorsturen uitschakelen om te voorkomen dat ontvangers gevoelige informatie delen.
en in tegenstelling tot andere e — mailprogramma ‘ s die e-mailrevocatie hebben, werkt Virtru Pro ongeacht welke e-mailservice de ontvanger gebruikt-zelfs nadat de e-mail is geopend. Wanneer een werknemer per ongeluk het verkeerde adres invoert en op send drukt, kan dit het verschil betekenen tussen een close call en een ernstig complianceprobleem.
Virtru DLP (beschikbaar voor zowel G Suite als Outlook) pakt het moeilijkste beveiligings-en complianceprobleem van allemaal aan: menselijke fouten. Het heeft aanpasbare regels die kunnen detecteren of een e-mail gevoelige informatie bevat, zoals sofinummers, waardoor werknemers per ongeluk gevoelige informatie kunnen verzenden in een onbeveiligde e-mail. Het wordt geleverd met instellingen voor algemene regels, zoals HIPAA en CJIS, waardoor het gemakkelijker wordt om de complianceproblemen waarmee uw organisatie wordt geconfronteerd, aan te pakken. We hebben ook net een add-on bedacht die HIPAA e-mail compliance nog eenvoudiger maakt met het HIPAA Rule pack. Het kan ook automatisch e-mails versleutelen, bijlagen verwijderen om openbaarmaking van interne documenten te voorkomen, of zelfs CC-beheerders om toezicht op gevoelige e-mails mogelijk te maken.
ten slotte helpt Virtru voor Google Apps (nu bekend als Virtru voor G Suite) om uw volledige cloudwerkruimte te beveiligen met dezelfde krachtige encryptie aan de client die wordt gebruikt in onze andere producten. U kunt sleutels beheren en toegang tot bestanden en e-mails beheren via uw gehele Google-domein, met eenvoudige beheertools die datalekken voorkomen zonder de productiviteit te schaden. Voor het oplossen van compliance problemen in de cloud, het wordt gewoon niet gemakkelijker — of veiliger — dan Google en Virtru.