,安全与合规专家讨论公司现在面临的最大问题,组织可以采取什么步骤来减少潜在的监管合规风险和安全威胁。
好像IT部门没有足够的担心。他们还必须确保组织符合各种行业和联邦法规(PCI,萨班斯-奥克斯利法案,HIPAA)旨在保持敏感的客户数据的安全。日益艰巨的任务在今天的分散,移动,app-filled世界。这是足以让首席信息官和首席技术官头痛。
“遵从性是一个热点问题,并有充分的理由,”安德鲁·赫德说的技术总监INetU,云托管提供商管理。“未能满足遵从性标准设定的规则和指导方针可能意味着罚款、处罚和损失的信任。”
合规的最大挑战
但保持组织符合行业和联邦规则可以是困难的,尤其是与更多的公司允许员工自带设备(BYOD)。所以保持兼容的一些最大的挑战是什么?数十名技术优点和合规专家分享他们的前七个答案。
1。员工。“员工发挥关键作用在保护公司的敏感数据,”吉姆·加勒特说,首席信息安全官3米。“低技术方法喜欢窥探,社会工程学或仿冒网站被黑客常用技术对员工未经授权地访问企业信息,”他说。
”来克服这一威胁,重要的是要教育全体员工在信息可以通过不同方式非常低技术含量的方法,给他们工具可以使用,如用隐私保护公司数据显示在一台笔记本电脑过滤或旅行时如何识别网络钓鱼攻击,帮助减轻任何风险,”Garrett说。
“有最新的安全政策,是可以理解的以外的员工是至关重要的,”增加了斯科特削皮器,董事总经理,Stroz弗里德伯格专门调查,情报和风险管理。“信息安全策略应包括创建、传输,传输和保留信息;何时以及如何处理信息从公司服务器/存储或删除;遥控、无线、电子和物理访问公司网络;旅行时使用和安全防范措施。”
2。笔记本电脑。为了避免从移动工作者的潜在盗窃数据,“为员工提供旅游笔记本电脑…并创建特定的信息安全策略保护网络免受网络渗透,”警察说。“旅游笔记本电脑完全有能力执行关键业务功能但是剥夺了专有,敏感或安全信息可以减轻渗透的风险。”
3所示。移动设备。手机也带来了严重的安全风险和合规风险。“监管保护数据不受低标准仅仅因为它最终在移动设备上,“笔记Ryan Kalember首席产品官WatchDox,提供安全的移动生产力和协作解决方案。
然而根据最近2013 6研究的风险监管在移动设备上的数据”,大多数组织[有]弱控制来保护监管数据在移动设备上……和大多数员工在同一时间或另一个,规避或禁用所需安全设置在他们的移动设备上。”
因此关键是“预防措施应采取限制未经授权的访问企业数据应该移动设备丢失或被盗,“雷帕格尼尼说,首席执行官,基石,它提供IT服务管理和支持。
“这些措施应采取设备是否三级资质,”他说。“然而,最好是为了安全目的公司移动标准。”His advice:
- 使设备和IT部门提供的工具进行远程遥控的敏感数据。
- 配置移动设备,因此只有授权的应用程序可以下载和/或访问。
- 投资于存储和数据传输加密和其他端点安全工具。
- 防止数据存储和传输设备,缺乏足够的安全间隙。”
4所示。第三方应用程序(即阴影)。面临cio今天是“最大的合规问题的影子,看不见的第三方解决方案的使用造成的威胁包括设备和应用程序、“奥兰多Scott-Cowley说,消息传递、安全与合规专员、Mimecast,提供电子邮件管理、合规和归档解决方案。
“企业已成长为复杂和繁琐,因此最终用户已经开始使用自己的第三方服务来完成自己的工作,比如大文件发送服务,“Scott-Cowley说。但通常这些软件或解决方案的组织的控制,导致IT部门头疼。“最好的药来治疗头痛?教育最终用户;给cio控制权力不断评估服务的适用性;和部署云整体解决方案来解决现代企业合规问题。”
5。云服务提供商。以确保敏感数据在云中被妥善保护,“选择一个值得信赖的服务提供者,”乔治说Japak,董事总经理,ICSA实验室Verizon的,一个独立的部门,和Verizon的HIPAA安全官。
“云服务呈现显著的好处(条款)的节约成本,可伸缩性、灵活性,等等。”However, to ensure that your or your customer's data is properly protected and in compliance with all relevant regulations, "the vendor/service provider should...meet the underlying regulatory requirements, whether the cloud is engineered to be HIPAA-ready or to comply with PCI or FISMA standards, for instance," Japak says. Also check to see if vendors are SSAE 16 certified.
6。一种总线标准。”不仅是对信用卡品牌规定如果你不是支付卡行业(PCI)兼容当接受信用卡/借记卡,但它也是一个绝对必须在今天的经济气候日益智能化的支付卡盗窃,”罗伯Bertke说,产品管理的高级副总裁,圣人支付解决方案。“PCI认证提供了保证处理器通过一组健壮的最佳实践来保护信息当信用卡支付。”
“作为IT专业人员,我们经常面对的挑战创造一个安全的持卡人数据的环境可以对多个测试证明兼容和PCI评估,”雷帕格尼尼解释说,首席执行官,基石,它。保护敏感的客户数据,”使用一个防火墙来段持卡人信息从你其他的公司网络,”他说。“网络分割限制了部分的您的网络联系持卡人数据和敏感,当正确配置,可以降低风险和成本,并缩小了PCI DSS审计的范围。”
[幻灯片:医疗cio们面临的挑战]
7所示。HIPAA和高科技。“合规要求如HIPAA(健康保险携带和责任法案和高科技,经济和临床医疗卫生信息技术法案)要求所有数据数字化和满足特定的安全与隐私标准,”布莱恩说基督徒,的首席技术官Zettaset大数据管理公司。“然而,随着越来越多的病人数据捕获和数据量的增长,增加了复杂性,需要更复杂的数据管理方法。”
(9月23日的最后期限即将到来的业务符合高科技作用于病人的隐私]
“HIPAA也增加了强调供应商的管理,直接影响到医疗保健cio的合规义务,”Japak补充道。因此,它是必要的it部门进行尽职调查,并确保他们的工作与hipaa兼容的云服务供应商。
詹妮弗Lonoff希夫CIO.com和运行是一个贡献者营销传播公司专注于帮助组织更好地与他们的客户,员工,和合作伙伴。
在推特上跟随从CIO.com@CIOonline,在Facebook,在Google +。
阅读更多关于合规CIO的合规、下钻。
这个故事,“7最大的IT合规头痛和cio如何治愈他们“最初发表的首席信息官 。