6 efterlevnadsproblem som du inte visste att du hade
att vara kompatibel kan kännas som en oändlig kamp. När ditt företag expanderar finns det fler regler att följa, fler hot att ta itu med och fler säkerhetshål att lappa. Så småningom kan det bara verka som en överväldigande uppgift att bara sätta ihop ett compliance-initiativ.
förståeligt nog kan efterlevnadsproblem dyka upp överallt — du kanske inte ens ser några av dem komma. Om du vill förhindra att ditt företag står inför höga böter, dyra överträdelser eller en pinsam skandal, måste du se till att du inte står inför några större efterlevnadsproblem. Inte säker på var du ska börja? Här är de 6 vanligaste efterlevnadsproblemen-och hur du kan hantera dem.
svårigheter att införliva flera Efterlevnadsregimer
en stor organisation som bedriver verksamhet i flera länder kan lätt bli föremål för ett halvt dussin eller fler efterlevnadsregimer — och det räknas inte HIPAA business associate-avtal, modellavtal som reglerar dataöverföring över gränser och andra juridiska avtal med partners, leverantörer och kunder. Även att ta reda på vilken produkt eller tjänst som regleras av vilken lag som kan ta upp allvarliga efterlevnadsproblem. En dataprocessor kan tvingas jonglera HIPAA och CJIS eftersom det fungerar med hälsodata för brottsbekämpning.
utöver det förändras lagarna ständigt. Städer, stater och län kommer med lokala standarder. Länder förhandlar om nya handelsavtal med dataskyddsavtal. Och framgång gör det bara svårare; ju mer ditt företag växer och expanderar till nya marknader blir de tornare och mer komplexa efterlevnadsproblemen.
otillräcklig implementering
faktum är att det är mycket vanligare att misslyckas med att fullt ut genomföra efterlevnad än att lyckas. Även företag med starka säkerhetskulturer har ofta flera efterlevnadsproblem. Enligt Verizon 2015 PCI Compliance Report misslyckas 4 av 5 företag med tillfällig PCI-testning. Även om den genomsnittliga efterlevnaden i de flesta PCI — standarder är stark finns det så många standarder att nästan alla misslyckas med något-och det är bara PCI.
enligt Verizon är problemet att många organisationer ser efterlevnad “som en engångsövning eller brandövning som säkerhetsteamet äger och resten av organisationen motverkar.”Låt oss inse det-överensstämmelse är svårt, dyrt och tråkigt. Nästan alla misslyckas med det, för ledarskap är ovilligt att begå pengar och tid för att göra det rätt.
dålig kommunikation och engagemang plågar också efterlevnadsinitiativ. Företag tar sällan tid att utbilda arbetstagare, ta itu med eventuella efterlevnadsproblem eller frågor som kommer upp och övervaka dem löpande. De gör inte säkerhet till en del av arbetsplatskulturen, så arbetarna går tillbaka till gamla vanor så ofta som inte.
Partneröverensstämmelse
Efterlevnadsinitiativ som HIPAA är utformade för att hålla data säkra, inte att fördela skulden rättvist; om en affärspartner eller entreprenör skruvar upp och ger bort skyddad data, kan du också vara på kroken.
kontrakt, som HIPAA Business Associate Agreements (BAAs) och CJIS Management Control Agreements (MCAs), kan hjälpa något. De sätter regler för tillgång till information, säkerhet, och svara på överträdelser, hjälpa båda parter hålla kompatibel, och ger avgörande rättsligt skydd bör din partner förlorar kontrollen över skyddade data.
tyvärr finns det ofta lite du kan göra för att säkerställa att dina partners och entreprenörer håller upp sin del av fyndet. Sjukhus, till exempel, arbetar ofta med hundratals läkare som inte är anställda. De kan (och borde) få dessa läkare att underteckna BAAs, men det finns inget realistiskt sätt att se till att de faktiskt följer reglerna.
detsamma gäller för programvaruleverantörer eller molnleverantörer. Du kan ordna periodiska revisioner eller välja någon som granskas av en tredje part, men för den dagliga säkerheten måste du ta dem på deras ord-även när det är ditt företags rykte på linjen.
BYOD och distansarbete
organisationer kan skydda arbetsplatsdatorer med hjälp av verktyg som kryptering, brandväggar och anti-malware-program, men många av dessa säkerhetsfunktioner kringgås rutinmässigt på arbetsplatser med Bring Your Own Device (BYOD). Och för varje arbetare som tar BYOD-säkerhet på allvar kommer det att finnas åtminstone några andra som lägger bekvämlighet före överensstämmelse.
arbetare kan lagra sina lösenord och glömma att rensa webbläsarens cache, till exempel. Detta gör det inte bara lättare för hackare att komma åt sina data, men om en tjuv stjäl en enhet kan det ge dem obegränsad tillgång till skyddade data. Om anställda inte installerar patchar och kör antivirusprogram kan deras datorer infekteras av skadlig kod som kan stjäla företagshemligheter.
distansarbete i sig kan störa säkerhet och efterlevnad. Om dina anställda använder offentliga, osäkra Internetanslutningar kan hackare spionera på sin trafik, eventuellt stjäla inloggningsuppgifter eller data. Och att arbeta hemifrån löser inte nödvändigtvis problemet; efterlevnadsregimer som CJIS kräver en hög nivå av nätverkssäkerhet, och det finns vanligtvis inget sätt att veta om en viss telekommuters Wi-Fi är upp till standarder.
Dålig DLP
många företag närmar sig integritet som om de byggde ett fort. De använder starka lösenord, kryptering, brandväggar och andra säkerhetsverktyg för att hålla inkräktare ute, men överväga inte vad som skulle hända om deras försvar bröts.
problemet är att en hacker teoretiskt kan stjäla allt som en anställd har tillgång till. Om alla dina anställda har obegränsad tillgång till en databas med 80 000 kundnamn kan ett brott avslöja dem alla. Och det kan hända även utan en hacker; allt en anställd behöver göra är att skicka en bilaga eller e-post med inloggningsinformation eller skyddad data till fel person, och du kan ha ett stort brott på dina händer.
Data Loss Prevention (DLP) kan hjälpa dig att minimera potentiella förluster genom att begränsa åtkomsten till känsliga dokument. Företag måste börja kategorisera känslig information, såsom immateriella rättigheter och personligt identifierbar Information (PII), och se till att varje person bara har tillgång till den information de behöver. Om en hacker får åtkomst kan DLP betyda skillnaden mellan att exponera några poster och en hel databas.
brist på adekvat kryptering
datakryptering är ett av de viktigaste efterlevnadsverktygen som finns tillgängliga. När data har krypterats är det oläsligt och praktiskt taget omöjligt att knäcka utan kryptografisk nyckel. Även om en kund kan komma åt ett företags databas eller fånga upp en anställds e-post, kommer stark kryptering att hålla data säkra.
tyvärr misslyckas organisationer som borde veta bättre att kryptera data-i vila och data-in-motion, med katastrofala resultat. Anthem Hack, som exponerade personuppgifter för tiotals miljoner människor, är bara en av många hack som kunde ha förhindrats genom kryptering.
organisationer väljer ofta att inte kryptera eftersom de ser kryptering som mindre bekväm, eftersom de fruktar att det kommer att göra sina databaser oläsliga. I verkligheten kan företag dock märka sina krypterade filer, de kan komma åt den information de behöver utan att äventyra datasäkerheten.
inte all kryptering är lika effektiv. Längre nycklar gör kryptering mycket svårare att knäcka, så företag måste använda 128-bitars eller högre kryptering. Dessutom bör de använda kryptering på klientsidan när det är möjligt. Kryptering på klientsidan är extra säker, eftersom den krypterar data när den lämnar din dator och bara dekrypterar den när den når sin destination—vilket innebär att du kan garantera att dina data är säkra när de reser dit de behöver gå.
behovet av DLP och universell stark kryptering
din säkerhet är bara lika bra som din svagaste länk. Virtru hjälper företag att lösa ett brett spektrum av efterlevnadsproblem med kraftfulla säkerhetsverktyg som alla kan använda. Virtru kryptering skyddar e-post med ett enda klick, med hjälp av militär kvalitet, klientsidan kryptering. Det är det enda e-postkrypteringsprogrammet som inte hämmar någon e-postfunktionalitet eller gör e-post svårare att använda. Till skillnad från andra e-postkrypteringsverktyg som PGP hanterar Virtru automatiskt e-postnycklar och kan kryptera:
- bilagor
e-post som skickas till flera mottagare
- e-post till personer som inte har installerat Virtru plug-in
Virtru Pro, lägger till kraftfulla funktioner som hjälper efterlevnad och ger dig större kontroll över din kommunikation. Du kan återkalla e-postmeddelanden, ställa in tidsgränser och inaktivera vidarebefordran för att förhindra att mottagare delar känslig information.
och till skillnad från andra e — postprogram som har återkallande av e-post fungerar Virtru Pro oavsett vilken e-posttjänst mottagaren använder-även efter att de har öppnat e-postmeddelandet. När en anställd av misstag matar in fel adress och träffar skickar, det kan betyda skillnaden mellan ett nära samtal och ett allvarligt efterlevnadsproblem.
Virtru DLP (tillgängligt för både G Suite och Outlook) hanterar det svåraste säkerhets-och efterlevnadsproblemet av alla: mänskliga fel. Det har anpassningsbara regler som kan upptäcka om ett e-postmeddelande innehåller känslig information som personnummer, vilket hindrar anställda från att av misstag skicka känslig information i ett osäkert e-postmeddelande. Det kommer med inställningar för vanliga regler, som HIPAA och CJIS, vilket gör det lättare att ta itu med efterlevnadsproblemen som står inför din organisation. Vi kom också med ett tillägg som gör HIPAA-e-postöverensstämmelse ännu enklare med HIPAA Rule pack. Det kan också automatiskt kryptera e-post, band bilagor för att förhindra utlämnande av interna dokument, eller ens CC administratörer att tillåta övervakning av känsliga e-post.
slutligen, Virtru för Google Apps (nu känd som Virtru för G Suite) hjälper till att säkra hela din moln arbetsyta med samma kraftfulla, klientsidan kryptering som används i våra andra produkter. Du kan styra nycklar och hantera åtkomst till filer och e-postmeddelanden via hela Google-domänen, vilket ger enkla administratörsverktyg som förhindrar dataläckage utan att skada produktiviteten. För att lösa efterlevnadsproblem i molnet blir det helt enkelt inte enklare — eller säkrare — än Google och Virtru.
