6 Questões de Conformidade que você não sabia que tinha
permanecer em conformidade pode parecer uma batalha interminável. À medida que o seu negócio se expande, há mais regras a seguir, mais ameaças para resolver, e mais buracos de segurança para remendar. Eventualmente, montar uma iniciativa de conformidade pode parecer uma tarefa esmagadora.
compreensivelmente, as questões de conformidade podem aparecer em todos os lugares-você pode nem mesmo ver alguns deles chegando. Se você quer evitar que seu negócio de enfrentar multas pesadas, violações caras, ou um escândalo embaraçoso, você precisa se certificar de que você não está enfrentando quaisquer problemas de Conformidade grandes. Não sabes por onde começar? Aqui estão as 6 questões mais comuns de conformidade-e como você pode lidar com eles.
Dificuldade de Incorporar Vários Regimes de Conformidade
Uma grande organização que conduz seus negócios em vários países podem facilmente ser sujeito a uma meia dúzia ou mais regimes de conformidade — e que não conta HIPAA colega de acordos, contratos-modelo que regem a circulação de dados entre fronteiras, e outros acordos com parceiros, fornecedores e clientes. Mesmo descobrindo que produto ou serviço é regido por que lei pode trazer problemas graves de Conformidade. Um processador de dados poderia ser forçado a fazer malabarismo com HIPAA e CJIS porque ele trabalha com dados de saúde para a aplicação da lei.Além disso, as leis mudam constantemente. Cidades, estados e condados têm padrões locais. Os países negoceiam novos tratados comerciais com acordos de protecção de dados. E o sucesso apenas torna mais difícil; quanto mais o seu negócio cresce e se expande para novos mercados, mais espinhosas e mais complexas questões de Conformidade se tornam.
aplicação inadequada
o facto é que a não implementação completa do cumprimento é muito mais comum do que o sucesso. Mesmo as empresas com fortes culturas de segurança muitas vezes têm múltiplos problemas de Conformidade. De acordo com o relatório de conformidade PCI Verizon 2015, 4 das 5 empresas não cumprem os testes PCI provisórios. Embora a conformidade média entre a maioria dos padrões PCI é forte, há tantos padrões que quase todos falham em algo — e isso é apenas PCI.
de acordo com Verizon, o problema é que muitas organizações vêem a conformidade “como um exercício de caixa única ou exercício de incêndio que a equipe de segurança possui e o resto da organização begrudges.”Vamos encarar isto-a conformidade é difícil, cara e tediosa. Quase todo mundo falha nisso, porque a liderança não está disposta a investir o dinheiro e tempo para fazê-lo direito.
a má comunicação e o engajamento também contaminam as iniciativas de Conformidade. As empresas raramente levam tempo para treinar os trabalhadores, resolver quaisquer problemas de conformidade ou questões que surgem, e monitorá-los em uma base contínua. Eles não fazem da segurança uma parte da cultura do local de trabalho, por isso os trabalhadores voltam aos velhos hábitos tantas vezes quanto não.As iniciativas de Conformidade, como a HIPAA, são concebidas para manter os dados seguros, e não para repartir as culpas de forma justa; se um parceiro de negócios ou contratante fizer asneira e der dados protegidos, Você também pode estar em apuros.Os contratos, tais como os acordos de associação de empresas HIPAA (BAAs) e os acordos de controlo de gestão CJIS (MCA), podem ajudar um pouco. Eles estabelecem regras para o acesso à Informação, Segurança e resposta a infrações, ajudando ambos os parceiros a permanecer em conformidade, e fornecem cobertura jurídica crucial caso seu parceiro perca o controle de dados protegidos.
infelizmente, muitas vezes há pouco que você pode fazer para garantir que seus parceiros e empreiteiros cumprem a sua parte do acordo. Os hospitais, por exemplo, muitas vezes trabalham com centenas de médicos que não são funcionários. Eles podem (e devem) fazer esses médicos assinar BAAs, mas não há nenhuma maneira realista de garantir que eles realmente seguem as regras.O mesmo se aplica aos fornecedores de software ou aos fornecedores de hospedagem em nuvem. Você pode organizar auditorias periódicas ou selecionar alguém auditado por um terceiro, mas para a segurança diária, você tem que levá-los em sua palavra-mesmo quando é a reputação da sua empresa na linha.
BYOD and Telecommuting
as organizações podem salvaguardar computadores no local de trabalho usando ferramentas como criptografia, firewalls e programas anti-malware, mas muitos desses recursos de segurança são rotineiramente contornados em trazer o seu próprio dispositivo (BYOD) locais de trabalho. E para cada trabalhador que leva a segurança BYOD a sério, haverá pelo menos alguns outros que colocam a conveniência à frente do cumprimento.
os trabalhadores podem estar armazenando suas senhas e esquecendo-se de limpar seu cache de navegador, por exemplo. Isso não só torna mais fácil para os hackers acessar seus dados, mas se um ladrão rouba um dispositivo, ele poderia dar-lhes acesso irrestrito a dados protegidos. Se os funcionários não instalam patches e executam programas antivírus, seus computadores podem ser infectados por malware que pode roubar segredos corporativos.
a telecomutação em si mesma pode interferir com a segurança e a conformidade. Se seus funcionários usam conexões públicas e sem segurança na internet, os hackers podem espionar o seu tráfego, potencialmente roubando credenciais de login ou dados. E trabalhar a partir de casa não necessariamente resolve o problema; regimes de Conformidade como o CJIS requerem um alto nível de segurança da rede, e geralmente não há maneira de saber se o Wi-Fi de um determinado telecomutador está de acordo com os padrões.
DLP pobre
muitas empresas abordam a privacidade como se estivessem construindo um forte. Eles usam senhas fortes, criptografia, firewalls e outras ferramentas de segurança para manter invasores fora, mas não considere o que aconteceria se suas defesas fossem quebradas.O problema é que um hacker pode, teoricamente, roubar qualquer coisa a que um empregado tenha acesso. Se todos os seus funcionários tiverem acesso ilimitado a uma base de dados de 80 mil nomes de clientes, uma violação pode expô-los a todos. E isso pode acontecer mesmo sem um hacker; tudo o que um funcionário precisa fazer é enviar um anexo ou e-mail com informações de login ou dados protegidos para a pessoa errada, e você pode ter uma grande brecha em suas mãos.
a prevenção da perda de dados (DLP) pode ajudá-lo a minimizar as perdas potenciais, limitando o acesso a documentos sensíveis. As empresas precisam começar a categorizar informações sensíveis, como propriedade intelectual, e informações de identificação pessoal (PII), e garantir que cada pessoa só tem acesso às informações de que precisa. Se um hacker obtém acesso, DLP pode significar a diferença entre expor alguns registros e uma base de dados inteira.
falta de encriptação adequada
a encriptação de dados é uma das ferramentas de Conformidade mais importantes disponíveis. Uma vez que os dados são criptografados, é ilegível e virtualmente impossível quebrar sem a chave criptográfica. Mesmo que um cliente seja capaz de Acessar a base de dados de uma empresa ou interceptar o e-mail de um funcionário, uma criptografia forte vai manter os dados seguros.
infelizmente, organizações que deveriam saber melhor estão falhando em criptografar dados em repouso e dados em movimento, com resultados desastrosos. O Hack do hino, que expôs os dados pessoais de dezenas de milhões de pessoas, é apenas um dos muitos hacks que poderiam ter sido impedidos pela criptografia.
as organizações muitas vezes optam por não criptografar porque vêem a criptografia como menos conveniente, pois temem que ela torne seus bancos de dados ilegíveis. Na realidade, no entanto, se as empresas marcam seus arquivos criptografados, eles podem acessar as informações que precisam sem comprometer a segurança dos dados.
nem toda a encriptação é igualmente eficaz. Chaves mais longas tornam a criptografia muito mais difícil de quebrar, então as empresas precisam usar criptografia de 128 bits ou mais alto. Além disso, eles devem usar criptografia cliente-lado sempre que possível. A encriptação do lado do cliente é extra-segura, uma vez que cifra os dados à medida que sai do seu computador, e só os descriptografa quando chega ao seu destino—o que significa que pode garantir que os seus dados são seguros quando viaja para onde precisa de ir.
a necessidade de DLP e criptografia forte Universal
a sua segurança é tão boa quanto o seu elo mais fraco. A Virtru ajuda as empresas a resolver uma ampla gama de problemas de conformidade com poderosas ferramentas de segurança que qualquer um pode usar. A criptografia Virtru protege e-mails com um único clique, usando criptografia militar, do lado do cliente. É o único programa de criptografia de E-mail que não inibe nenhuma funcionalidade de E-mail, ou tornar o e-mail mais difícil de usar. Ao contrário de outras de e-mail ferramentas de encriptação, como o PGP, Virtru controla automaticamente o e-mail teclas, e pode criptografar:
- Anexos
e-Mails enviados para vários destinatários
- e-Mails para as pessoas que ainda não instalado Virtru do plug-in
Virtru Pro, que adiciona recursos poderosos que ajuda a conformidade e a dar-lhe um maior controlo da sua comunicação. Você pode revogar e-mails, definir limites de tempo e desativar o encaminhamento para evitar que os destinatários compartilhem informações sensíveis.
e ao contrário de outros programas de E — mail que têm revogação de E-mail, o Virtru Pro funciona independentemente do serviço de E-mail que o destinatário usa-mesmo depois de ter aberto o e-mail. Quando um empregado acidentalmente introduz o endereço errado e hits Enviar, pode significar a diferença entre uma chamada de perto e um sério problema de Conformidade.
Virtru DLP (disponível tanto para Suíte G Como Outlook) aborda o problema mais difícil de segurança e conformidade de todos: erro humano. Ele tem regras personalizáveis que podem detectar se um e-mail contém informações sensíveis, tais como números de segurança social, impedindo os funcionários de enviar acidentalmente informações sensíveis em um e-mail inseguro. Ele vem com configurações para regras comuns, como HIPAA e CJIS, tornando mais fácil lidar com as questões de conformidade que enfrentam a sua organização. Nós também surgiu com um add-on que torna a conformidade de email HIPAA ainda mais fácil com o pacote de regras HIPAA. Ele também pode encriptar automaticamente e-mails, remover anexos para evitar a divulgação de documentos internos, ou mesmo administradores de CC para permitir o monitoramento de E-mails sensíveis.
finalmente, a Virtru para o Google Apps (agora conhecida como Virtru para o pacote G) ajuda a proteger todo o seu espaço de trabalho na nuvem com a mesma poderosa encriptação do lado do cliente utilizada nos nossos outros produtos. Você pode controlar chaves e gerenciar o acesso a arquivos e E-mails através de todo o seu domínio Google, fornecendo ferramentas de administração fáceis que evitam vazamentos de dados sem prejudicar a produtividade. Para resolver problemas de Conformidade na nuvem, ela simplesmente não fica mais fácil — ou mais segura — do que o Google e a Virtru.