6 problemy ze zgodnością, o których nie wiedziałeś
zachowanie zgodności może wydawać się niekończącą się bitwą. W miarę rozwoju firmy należy przestrzegać więcej zasad, więcej zagrożeń do rozwiązania i więcej luk w zabezpieczeniach do załatania. Ostatecznie samo przygotowanie inicjatywy zgodności może wydawać się przytłaczającym zadaniem.
co zrozumiałe, problemy ze zgodnością mogą pojawić się wszędzie — możesz nawet nie zauważyć niektórych z nich. Jeśli chcesz zapobiec swojej firmie przed ogromnymi grzywnami, drogimi naruszeniami lub żenującym skandalem, musisz upewnić się, że nie napotykasz żadnych poważnych problemów z zgodnością. Nie wiesz od czego zacząć? Oto 6 najczęstszych problemów ze zgodnością-i jak sobie z nimi radzić.
trudności w stosowaniu wielu systemów zgodności
duża organizacja prowadząca działalność w kilku krajach może z łatwością podlegać pół tuzinowi lub większej liczbie systemów zgodności — a to nie uwzględnia umów HIPAA business associate, umów modelowych regulujących przepływ danych przez granice oraz innych umów prawnych z partnerami, dostawcami i klientami. Nawet ustalenie, który produkt lub usługa podlega prawu, może spowodować poważne problemy z zgodnością. Procesor danych może być zmuszony do żonglowania HIPAA i CJIS, ponieważ działa z danymi zdrowotnymi dla organów ścigania.
co więcej, przepisy ciągle się zmieniają. Miasta, stany i hrabstwa wymyślają lokalne standardy. Kraje negocjują nowe umowy handlowe z umowami o ochronie danych. A sukces tylko utrudnia sprawę; im bardziej Twoja firma rozwija się i rozszerza na nowe rynki, tym trudniejsze i bardziej złożone stają się kwestie zgodności.
nieodpowiednie wdrożenie
faktem jest, że brak pełnego wdrożenia zgodności jest o wiele bardziej powszechny niż sukces. Nawet przedsiębiorstwa o silnej kulturze bezpieczeństwa często mają wiele problemów z zgodnością. Według raportu Verizon 2015 PCI Compliance, 4 na 5 firm nie przeprowadza okresowych testów PCI. Chociaż średnia zgodność w większości standardów PCI jest silna, jest tak wiele standardów, że prawie każdy coś zawodzi — i to jest po prostu PCI.
według Verizon problem polega na tym, że wiele organizacji postrzega zgodność jako jednorazowe ćwiczenie lub ćwiczenia przeciwpożarowe, które posiada zespół bezpieczeństwa, a reszta organizacji żałuje.”Spójrzmy prawdzie w oczy-zgodność z przepisami jest trudna, kosztowna i żmudna. Prawie każdy zawodzi, ponieważ przywództwo nie chce poświęcić pieniędzy i czasu, aby zrobić to dobrze.
słaba komunikacja i zaangażowanie również plaga inicjatyw zgodności. Firmy rzadko poświęcają czas na szkolenie pracowników, rozwiązywanie problemów z zgodnością lub pojawiających się pytań i monitorowanie ich na bieżąco. Nie sprawiają, że bezpieczeństwo jest częścią kultury pracy, więc pracownicy wracają do starych nawyków tak często, jak nie.
zgodność z przepisami dla Partnerów
inicjatywy w zakresie zgodności, takie jak HIPAA, mają na celu zapewnienie bezpieczeństwa danych, a nie sprawiedliwe przypisywanie winy; jeśli partner biznesowy lub kontrahent spieprzy sprawę i ujawni chronione dane, możesz być na haku.
umowy, takie jak HIPAA Business Associate Agreements (BAAs) i CJIS Management Control Agreements (MCAs), mogą nieco pomóc. Wprowadzają przepisy dotyczące dostępu do informacji, bezpieczeństwa i reagowania na naruszenia, pomagając obu partnerom zachować zgodność i zapewniając kluczową ochronę prawną w przypadku utraty kontroli nad chronionymi danymi przez partnera.
niestety często niewiele można zrobić, aby Twoi partnerzy i kontrahenci dotrzymali swojej części umowy. Na przykład szpitale często współpracują z setkami lekarzy, którzy nie są pracownikami. Mogą (I Powinni) zmusić tych lekarzy do podpisania BAAs, ale nie ma realistycznego sposobu, aby upewnić się, że faktycznie przestrzegają zasad.
to samo dotyczy dostawców oprogramowania lub dostawców hostingu w chmurze. Możesz organizować okresowe audyty lub wybrać osobę kontrolowaną przez stronę trzecią, ale dla codziennego bezpieczeństwa musisz wierzyć im na słowo-nawet jeśli reputacja Twojej firmy jest na linii.
BYOD i Telecommuting
organizacje mogą chronić komputery w miejscu pracy za pomocą narzędzi takich jak szyfrowanie, zapory sieciowe i programy antywirusowe, ale wiele z tych funkcji zabezpieczeń jest rutynowo obchodzonych w miejscach pracy Bring Your Own Device (BYOD). A dla każdego pracownika, który poważnie traktuje bezpieczeństwo BYOD, znajdzie się co najmniej kilku innych, którzy przedkładają wygodę nad zgodność.
pracownicy mogą przechowywać swoje hasła i zapominać o wyczyszczeniu pamięci podręcznej przeglądarki, na przykład. Nie tylko ułatwia to hakerom dostęp do ich danych, ale jeśli złodziej ukradnie urządzenie, może dać im nieograniczony dostęp do chronionych danych. Jeśli pracownicy nie instalują łatek i nie uruchamiają programów antywirusowych, ich komputery mogą zostać zainfekowane przez złośliwe oprogramowanie, które może wykraść tajemnice korporacyjne.
sama praca zdalna może zakłócać Bezpieczeństwo i zgodność. Jeśli Twoi pracownicy korzystają z publicznych, niezabezpieczonych połączeń internetowych, hakerzy mogą szpiegować ich ruch, potencjalnie kradnąc dane logowania lub dane. A praca w domu niekoniecznie rozwiązuje problem; systemy zgodności, takie jak CJIS, wymagają wysokiego poziomu bezpieczeństwa sieci i zwykle nie ma sposobu, aby dowiedzieć się, czy Wi-Fi konkretnego komputera telekomunikacyjnego jest zgodne ze standardami.
słabe DLP
wiele firm podchodzi do prywatności tak, jakby budowały fort. Używają silnych haseł, szyfrowania, zapór ogniowych i innych narzędzi bezpieczeństwa, aby powstrzymać najeźdźców, ale nie zastanawiają się, co by się stało, gdyby ich obrona została naruszona.
problem w tym, że haker teoretycznie mógłby ukraść wszystko, do czego pracownik ma dostęp. Jeśli wszyscy Twoi pracownicy mają nieograniczony dostęp do bazy danych 80 000 nazw klientów, jedno naruszenie może ujawnić je wszystkie. I może się to zdarzyć nawet bez hakera; wszystko, co pracownik musi zrobić, to wysłać załącznik lub e-mail z danymi logowania lub chronionymi danymi do niewłaściwej osoby, a Ty możesz mieć poważne naruszenie w twoich rękach.
Ochrona przed utratą danych (DLP) może pomóc zminimalizować potencjalne straty, ograniczając dostęp do poufnych dokumentów. Firmy muszą zacząć kategoryzować poufne informacje, takie jak własność intelektualna i informacje umożliwiające identyfikację osób (PII), i zapewnić, że każda osoba ma dostęp tylko do potrzebnych informacji. Jeśli haker uzyska dostęp, DLP może oznaczać różnicę między ujawnieniem kilku rekordów a całą bazą danych.
brak odpowiedniego szyfrowania
szyfrowanie danych jest jednym z najważniejszych dostępnych narzędzi zgodności. Po zaszyfrowaniu danych jest nieczytelne i praktycznie niemożliwe do złamania bez klucza kryptograficznego. Nawet jeśli klient jest w stanie uzyskać dostęp do firmowej bazy danych lub przechwycić wiadomość e-mail pracownika, silne szyfrowanie zapewni bezpieczeństwo danych.
niestety organizacje, które powinny wiedzieć lepiej, nie potrafią szyfrować danych w spoczynku i danych w ruchu, co przynosi katastrofalne rezultaty. Hack Anthem, który ujawnił dane osobowe dziesiątek milionów ludzi, jest tylko jednym z wielu hacków, którym można było zapobiec za pomocą szyfrowania.
organizacje często decydują się nie szyfrować, ponieważ uważają szyfrowanie za mniej wygodne, ponieważ obawiają się, że spowoduje to, że ich bazy danych będą nieczytelne. W rzeczywistości jednak, jeśli firmy oznaczają swoje zaszyfrowane pliki, mogą uzyskać dostęp do potrzebnych informacji bez uszczerbku dla bezpieczeństwa danych.
nie wszystkie szyfrowanie jest równie skuteczne. Dłuższe klucze znacznie utrudniają złamanie szyfrowania,więc firmy muszą używać szyfrowania 128-bitowego lub wyższego. Ponadto, w miarę możliwości, powinni korzystać z szyfrowania po stronie klienta. Szyfrowanie po stronie klienta jest wyjątkowo bezpieczne, ponieważ szyfruje dane opuszczające komputer i odszyfrowuje je tylko wtedy, gdy dotrze do miejsca docelowego—co oznacza, że możesz zagwarantować, że Twoje dane będą bezpieczne podczas podróży tam, gdzie muszą dotrzeć.
potrzeba DLP i uniwersalnego silnego szyfrowania
Twoje bezpieczeństwo jest tak dobre, jak twoje najsłabsze ogniwo. Virtru pomaga firmom rozwiązywać szeroki zakres problemów związanych z zgodnością z przepisami za pomocą zaawansowanych narzędzi bezpieczeństwa, z których każdy może korzystać. Szyfrowanie Virtru chroni wiadomości e-mail za pomocą jednego kliknięcia, przy użyciu szyfrowania po stronie klienta klasy wojskowej. Jest to jedyny program do szyfrowania poczty e-mail, który nie blokuje żadnej funkcji poczty e-mail ani nie utrudnia korzystania z poczty e-mail. W przeciwieństwie do innych narzędzi szyfrujących e-mail, takich jak PGP, Virtru automatycznie obsługuje klucze e-mail i może szyfrować:
- załączniki
wiadomości e-mail wysyłane do wielu odbiorców
- wiadomości e-mail do osób, które nie zainstalowały wtyczki Virtru
Virtru Pro, dodaje zaawansowane funkcje, które pomagają w zgodności i zapewniają większą kontrolę nad komunikacją. Możesz odwołać wiadomości e-mail, ustawić limity czasowe i wyłączyć przekazywanie, aby uniemożliwić odbiorcom udostępnianie poufnych informacji.
w przeciwieństwie do innych programów pocztowych z odwołaniem wiadomości e — mail, Virtru Pro działa bez względu na to, z jakiej usługi e-mail korzysta odbiorca-nawet po otwarciu wiadomości e-mail. Gdy pracownik przypadkowo wprowadzi niewłaściwy adres i naciśnie przycisk Wyślij, może to oznaczać różnicę między zamknięciem a poważnym problemem zgodności.
rozwiązanie Virtru DLP (dostępne zarówno w G Suite, jak i Outlook) rozwiązuje najtrudniejszy problem bezpieczeństwa i zgodności: błąd ludzki. Ma konfigurowalne reguły, które mogą wykryć, czy wiadomość e-mail zawiera poufne informacje, takie jak numery ubezpieczenia społecznego, zapobiegając przypadkowemu wysłaniu poufnych informacji w niezabezpieczonej wiadomości e-mail. Zawiera ustawienia wspólnych reguł, takich jak HIPAA i CJIS, co ułatwia rozwiązywanie problemów związanych z zgodnością, z którymi boryka się Twoja organizacja. Właśnie opracowaliśmy dodatek, który sprawia, że zgodność z przepisami HIPAA jest jeszcze łatwiejsza dzięki Pakietowi reguł HIPAA. Może również automatycznie szyfrować wiadomości e-mail, usuwać załączniki, aby zapobiec ujawnieniu wewnętrznych dokumentów, a nawet administratorzy CC, aby umożliwić monitorowanie poufnych wiadomości e-mail.
wreszcie, Virtru dla Google Apps (obecnie znany jako Virtru dla G Suite) pomaga zabezpieczyć całą przestrzeń roboczą w chmurze za pomocą tego samego potężnego szyfrowania po stronie klienta, co w innych naszych produktach. Możesz kontrolować klucze i zarządzać dostępem do plików i wiadomości e-mail za pośrednictwem całej domeny Google, zapewniając łatwe Narzędzia administracyjne, które zapobiegają wyciekom danych bez uszczerbku dla wydajności. Rozwiązywanie problemów związanych z zgodnością w chmurze nie staje się łatwiejsze ani bezpieczniejsze niż Google i Virtru.