6 Probleme de Conformitate pe care nu știați că le aveți
rămânerea conformă se poate simți ca o luptă fără sfârșit. Pe măsură ce afacerea dvs. se extinde, există mai multe reguli de urmat, mai multe amenințări de abordat și mai multe găuri de securitate de remediat. În cele din urmă, doar punerea împreună o inițiativă de conformitate poate părea ca o sarcină copleșitoare.
în mod evident, problemele de conformitate pot apărea peste tot — s-ar putea să nu vedeți nici măcar unele dintre ele venind. Dacă doriți să împiedicați afacerea dvs. să se confrunte cu amenzi mari, încălcări costisitoare sau un scandal jenant, trebuie să vă asigurați că nu vă confruntați cu probleme majore de conformitate. Nu sunteți sigur de unde să începeți? Iată cele mai frecvente 6 Probleme de Conformitate — și cum puteți face față acestora.
dificultate în încorporarea mai multor regimuri de conformitate
o organizație mare care desfășoară afaceri în mai multe țări poate fi ușor supusă unei jumătăți de duzină sau mai multor regimuri de Conformitate — și asta nu contează HIPAA acorduri asociate de afaceri, contracte model care reglementează circulația datelor peste granițe și alte acorduri legale cu parteneri, furnizori și clienți. Chiar imaginind ce produs sau serviciu este guvernat de care legea poate aduce probleme grave de conformitate. Un procesor de date ar putea fi forțat să jongleze HIPAA și CJIS, deoarece funcționează cu date de sănătate pentru aplicarea legii.
în plus, legile se schimbă constant. Orașele, statele și județele vin cu standarde locale. Țările negociază noi tratate comerciale cu acorduri de protecție a datelor. Și succesul face doar mai greu; cu cât afacerea dvs. crește și se extinde pe noi piețe, problemele de Conformitate mai complexe și mai complexe devin.
implementare inadecvată
faptul este că eșecul implementării depline a conformității este mult mai frecvent decât reușita. Chiar și întreprinderile cu culturi puternice de securitate au adesea multiple probleme de conformitate. Conform Raportului de conformitate Verizon 2015 PCI, 4 din 5 companii nu reușesc testarea PCI intermediară. Deși conformitatea medie în majoritatea standardelor PCI este puternică, există atât de multe standarde încât aproape toată lumea eșuează la ceva — și asta este doar PCI.
potrivit Verizon, problema este că multe organizații văd conformitatea “ca un exercițiu unic de bifare sau exercițiu de incendiu pe care echipa de securitate îl deține, iar restul organizației îl begrudges.”Să recunoaștem — respectarea este dificilă, costisitoare și obositoare. Aproape toată lumea nu reușește, deoarece conducerea nu dorește să angajeze banii și timpul pentru a face acest lucru corect.
comunicarea și angajamentul slab afectează, de asemenea, inițiativele de conformitate. Companiile rareori își fac timp pentru a instrui lucrătorii, pentru a aborda orice probleme de conformitate sau întrebări care apar și pentru a le monitoriza în mod continuu. Ei nu fac din securitate o parte a culturii locului de muncă, așa că lucrătorii se întorc imediat la vechile obiceiuri ori de câte ori nu.
respectarea partenerilor
inițiativele de conformitate precum HIPAA sunt concepute pentru a păstra datele în siguranță, nu pentru a împărți vina în mod corect; dacă un partener de afaceri sau un contractant înșurubează și oferă date protejate, ați putea fi și pe cârlig.
contractele, cum ar fi HIPAA Business Associate Agreements (BAAs) și CJIS Management Control Agreements (MCAs), pot ajuta într-o oarecare măsură. Acestea pun în aplicare reguli pentru accesul la informații, securitate și răspunsul la încălcări, ajutând ambii parteneri să rămână conformi și să ofere o acoperire juridică crucială în cazul în care partenerul dvs. pierde controlul asupra datelor protejate.
din păcate, există adesea puține lucruri pe care le puteți face pentru a vă asigura că partenerii și contractorii dvs. își mențin partea de afacere. Spitalele, de exemplu, lucrează adesea cu sute de medici care nu sunt angajați. Ei pot (și ar trebui) să-i facă pe acei medici să semneze BAAs, dar nu există o modalitate realistă de a vă asigura că respectă regulile.
același lucru este valabil și pentru furnizorii de software sau furnizorii de Găzduire cloud. Puteți organiza audituri periodice sau puteți selecta pe cineva auditat de o terță parte, dar pentru securitatea de zi cu zi, trebuie să le luați pe cuvânt-chiar și atunci când este reputația companiei dvs. pe linie.
BYOD și Telecommuting
organizațiile pot proteja computerele de la locul de muncă folosind instrumente precum criptarea, firewall-urile și programele anti-malware, dar multe dintre aceste caracteristici de securitate sunt ocolite în mod obișnuit în locurile de muncă Bring Your Own Device (BYOD). Și pentru fiecare lucrător care ia în serios securitatea BYOD, vor exista cel puțin câțiva alții care pun confortul înaintea conformității.
este posibil ca lucrătorii să-și stocheze parolele și să uite să-și șteargă memoria cache a browserului, de exemplu. Nu numai că acest lucru facilitează accesul hackerilor la datele lor, dar dacă un hoț fură un dispozitiv, le-ar putea oferi acces nerestricționat la date protejate. Dacă angajații nu instalează patch-uri și nu rulează programe antivirus, computerele lor ar putea fi infectate de malware care poate fura secrete corporative.
Telecommuting în sine poate interfera cu securitatea și conformitatea. Dacă angajații dvs. folosesc conexiuni la internet publice, nesecurizate, hackerii își pot spiona traficul, furând potențial datele de autentificare sau datele de conectare. Iar lucrul de acasă nu rezolvă neapărat problema; regimurile de conformitate, cum ar fi CJIS, necesită un nivel ridicat de securitate a rețelei și, de obicei, nu există nicio modalitate de a ști dacă Wi-Fi-ul unui anumit telecommuter respectă standardele.
slab DLP
multe companii abordează confidențialitatea ca și cum ar construi un fort. Ei folosesc parole puternice, criptare, firewall-uri și alte instrumente de securitate pentru a ține invadatorii afară, dar nu iau în considerare ce s-ar întâmpla dacă apărarea lor ar fi încălcată.
problema este că un hacker ar putea fura teoretic orice are acces un angajat. Dacă toți angajații dvs. au acces nerestricționat la o bază de date cu 80.000 de nume de clienți, o încălcare i-ar putea expune pe toți. Și se poate întâmpla chiar și fără un hacker; tot ce trebuie să facă un angajat este să trimită un atașament sau un e-mail cu informații de conectare sau date protejate persoanei greșite și ați putea avea o încălcare majoră pe mâini.
prevenirea pierderilor de date (DLP) vă poate ajuta să minimizați pierderile potențiale prin limitarea accesului la documente sensibile. Companiile trebuie să înceapă să clasifice informațiile sensibile, cum ar fi proprietatea intelectuală și informațiile de identificare personală (PII) și să se asigure că fiecare persoană are acces doar la informațiile de care are nevoie. Dacă un hacker obține acces, DLP poate însemna diferența dintre expunerea câtorva înregistrări și o întreagă bază de date.
lipsa unei criptări adecvate
criptarea datelor este unul dintre cele mai importante instrumente de conformitate disponibile. Odată ce datele sunt criptate, este imposibil de citit și practic imposibil de spart fără cheia criptografică. Chiar dacă un client poate accesa baza de date a unei companii sau poate intercepta e-mailul unui angajat, criptarea puternică va păstra datele în siguranță.
din păcate, organizațiile care ar trebui să știe mai bine nu reușesc să cripteze datele în repaus și datele în mișcare, cu rezultate dezastruoase. Hack-ul Anthem, care a expus datele personale a zeci de milioane de oameni, este doar unul dintre numeroasele hack-uri care ar fi putut fi prevenite prin criptare.
organizațiile aleg adesea să nu cripteze, deoarece consideră criptarea ca fiind mai puțin convenabilă, deoarece se tem că va face ca bazele lor de date să nu poată fi citite. În realitate, însă, dacă companiile își etichetează fișierele criptate, pot accesa informațiile de care au nevoie fără a compromite securitatea datelor.
nu toate criptările sunt la fel de eficiente. Cheile mai lungi fac criptarea mult mai greu de spart, astfel încât companiile trebuie să utilizeze criptarea pe 128 de biți sau mai mare. În plus, ar trebui să utilizeze criptarea din partea clientului ori de câte ori este posibil. Criptarea din partea clientului este foarte sigură, deoarece criptează datele pe măsură ce părăsesc computerul și le decriptează numai după ce ajunge la destinație—ceea ce înseamnă că puteți garanta că datele dvs. sunt în siguranță în timp ce călătoresc acolo unde trebuie să meargă.
nevoia de DLP și criptare puternică universală
securitatea dvs. este la fel de bună ca și cea mai slabă legătură. Virtru ajută companiile să rezolve o gamă largă de probleme de conformitate cu instrumente de securitate puternice pe care oricine le poate utiliza. Virtru encryption protejează e-mailurile cu un singur clic, folosind criptarea de nivel militar, pe partea clientului. Este singurul program de criptare a e-mailurilor care nu inhibă nicio funcționalitate de e-mail sau face e-mailul mai dificil de utilizat. Spre deosebire de alte instrumente de criptare a e-mailurilor, cum ar fi PGP, Virtru gestionează automat cheile de e-mail și poate cripta:
- atașamente
e-mailuri trimise către mai mulți destinatari
- e-mailuri către persoane care nu au instalat plug-in-ul Virtru
Virtru Pro, adaugă funcții puternice care ajută la Conformitate și vă oferă un control mai mare asupra comunicării. Puteți revoca e-mailurile, seta limite de timp și dezactiva redirecționarea pentru a împiedica destinatarii să partajeze informații sensibile.
și spre deosebire de alte programe de e — mail care au revocare prin e-mail, Virtru Pro funcționează indiferent de serviciul de e-mail pe care îl folosește destinatarul-chiar și după ce au deschis e-mailul. Atunci când un angajat introduce accidental adresa greșită și hit-uri trimite, aceasta poate însemna diferența dintre un apel aproape și o problemă serioasă de conformitate.
Virtru DLP (disponibil atât pentru G Suite, cât și pentru Outlook) abordează cea mai dificilă problemă de securitate și conformitate dintre toate: eroarea umană. Are reguli personalizabile care pot detecta dacă un e-mail conține informații sensibile, cum ar fi numerele de securitate socială, împiedicând angajații să trimită accidental informații sensibile într-un e-mail nesecurizat. Acesta vine cu setări pentru reguli comune, cum ar fi HIPAA și CJIS, facilitând abordarea problemelor de conformitate cu care se confruntă organizația dvs. De asemenea, tocmai am venit cu un add-on care face respectarea e-mail HIPAA chiar mai ușor cu pachetul de reguli HIPAA. De asemenea, poate cripta automat e-mailurile, elimina atașamentele pentru a preveni divulgarea documentelor interne sau chiar administratorii CC pentru a permite monitorizarea e-mailurilor sensibile.
în cele din urmă, Virtru pentru Google Apps (acum cunoscut sub numele de Virtru pentru G Suite) vă ajută să vă asigurați întregul spațiu de lucru cloud cu aceeași criptare puternică, pe partea clientului, utilizată în celelalte produse ale noastre. Puteți controla cheile și gestiona accesul la fișiere și e-mailuri prin întregul domeniu Google, oferind instrumente de administrare ușoare care împiedică scurgerile de date fără a afecta productivitatea. Pentru rezolvarea problemelor de conformitate în cloud, pur și simplu nu devine mai ușor — sau mai sigur — decât Google și Virtru.