IT Compliance merupakan Kepatuhan IT. Dimana Ahli keamanan dan kepatuhan IT membahas masalah terbesar yang dihadapi perusahaan saat ini – dan langkah-langkah apa yang organisasi dapat lakukan untuk meminimalkan potensi risiko kepatuhan peraturan dan ancaman keamanan.
Seolah-olah departemen TI tidak perlu khawatir tentang perusahaan saat ini . Mereka juga harus memastikan bahwa organisasi memenuhi berbagai industri dan peraturan federal (PCI, Sarbanes-Oxley, HIPAA) dirancang untuk menyimpan data pelanggan dengan aman. Sebuah tugas yang semakin sulit dalam desentralisasi dan ponsel seperti saat ini. Ini cukup untuk memberikan CIO atau CTO sakit kepala.
“Kepatuhan merupakan isu panas dalam dunia IT, dan ini untuk alasan yang baik,” kata Andrew Hodes, direktur Teknologi di INetU, awan dan dikelola penyedia hosting.
“Kegagalan untuk memenuhi aturan dan pedoman yang ditetapkan oleh standar kepatuhan bisa berarti menjadi denda, denda berupa uang ataupun kehilangan kepercayaan dari pada pelanggan.”
Tantangan Kepatuhan IT Terbesar
Tapi menjaga organisasi sesuai dengan industri dan federal aturan bisa menjadi hal yang sulit, terutama dengan lebih banyak perusahaan yang memungkinkan pekerja untuk membawa perangkat mereka sendiri (BYOD). Jadi ini adalah beberapa tantangan terbesar untuk menjaga compliant? Puluhan pro teknologi dan ahli kepatuhan berbagi atas tujuh jawaban mereka.
Baca juga: IT Governance, Pemegang Kendali Perusahaan
1. Karyawan
“Karyawan memainkan peran besar dalam melindungi data sensitif perusahaan,” kata Jim Garrett, kepala petugas keamanan informasi di 3M.
“Metode Low-tech seperti mengintai, sosial-engineering atau phishing teknik yang umum digunakan oleh hacker terhadap karyawan untuk mendapatkan akses tidak sah ke informasi perusahaan,” katanya.
“Untuk mengatasi ancaman ini, penting untuk mendidik semua karyawan dengan cara yang berbeda. Informasi dapat diperoleh melalui metode berteknologi rendah dan memberi mereka alat yang mereka dapat menggunakan, seperti melindungi data perusahaan ditampilkan pada laptop dengan filter privasi saat bepergian atau bagaimana mengakui serangan phishing, untuk membantu mengurangi risiko apapun, “kata Garrett.
“Setelah kebijakan up-to-date keamanan yang dimengerti oleh karyawan di luar TI sangat penting,” tambah Scott Peeler, managing director, Stroz Friedberg, yang mengkhususkan diri dalam penyelidikan, kecerdasan dan manajemen risiko. “Kebijakan keamanan informasi harus mencakup penciptaan, transmisi, transportasi dan penyimpanan informasi; kapan dan bagaimana informasi dapat dibuang atau dihapus dari server perusahaan / penyimpanan; terpencil, nirkabel, akses elektronik dan fisik ke jaringan perusahaan, dan tindakan pengamanan untuk digunakan saat bepergian. ”
Baca juga: Panduan Menjadi Data Protection Officer (DPO) yang Sukses
2. Laptop
Untuk menghindari pencurian potensi data dari pekerja mobile, “menyediakan laptop kepada karyawan … dan membuat kebijakan keamanan informasi spesifik untuk melindungi jaringan dari dunia maya infiltrasi,” kata Peeler. “Laptop yang mudah dibawa kemanapun sepenuhnya mampu melaksanakan fungsi bisnis penting tapi sensitif untuk dilucuti informasi kepemilikan, sensitif atau aman dapat mengurangi risiko infiltrasi.”
3. Mobile Devices
Perangkat mobile juga menimbulkan risiko keamanan dan kepatuhan yang sangat serius. “Data Diatur tidak tunduk pada standar yang lebih rendah perlindungan hanya karena berakhir pada perangkat mobile,” catatan Ryan Kalember, petugas produk utama di WatchDox, penyedia produktivitas dan kolaborasi solusi mobile yang aman.
Namun menurut Ponemon Institute studi baru pada Risiko Data Diatur pada Perangkat Mobile, “sebagian besar organisasi [memiliki] kontrol yang lemah di tempat untuk melindungi data diatur pada perangkat mobile … dan sebagian besar karyawan, pada satu waktu atau yang lain, memiliki dielakkan atau dinonaktifkan diperlukan pengaturan keamanan pada perangkat mobile mereka. ”
Oleh karena itu sangat penting bahwa “langkah-langkah pencegahan harus diambil untuk membatasi akses tidak sah ke data perusahaan harus perangkat mobile hilang atau dicuri,” kata Ray Paganini, CEO, Cornerstone IT, yang menyediakan dikelola layanan dan dukungan TI.
“Langkah-langkah ini harus diambil apakah perangkat perusahaan dikeluarkan atau tidak,” katanya. “Namun, yang terbaik adalah untuk tujuan keamanan untuk memiliki standar ponsel perusahaan.” Sarannya:
Aktifkan perangkat dan menyediakan departemen TI dengan alat untuk melakukan remote wipe data sensitif.
Konfigurasi perangkat mobile sehingga aplikasi hanya berwenang dapat didownload dan / atau diakses pada mereka.
Berinvestasi dalam penyimpanan dan enkripsi transmisi data dan alat keamanan endpoint lainnya.
Mencegah penyimpanan data dan transmisi ke perangkat yang tidak memiliki izin keamanan yang memadai.
Baca juga: IT GRC untuk Kelangsungan Bisnis
4. Pihak Ketiga Apps (alias Bayangan IT).
“Masalah yang terkait dengan kepatuhan terbesar yang dihadapi CIO saat ini adalah bayangan IT – ancaman yang disebabkan oleh penggunaan solusi pihak ketiga yang tak terlihat termasuk perangkat dan aplikasi,” kata Orlando Scott-Cowley, Messaging, Keamanan & Evangelist Kepatuhan, Mimecast, penyedia manajemen email, kepatuhan dan solusi pengarsipan.
“Perusahaan IT telah berkembang menjadi kompleks dan rumit, sehingga pengguna sudah mulai menggunakan layanan pihak ketiga mereka sendiri untuk memudahkan pekerjaan mereka, seperti layanan file pengiriman besar,” kata Scott-Cowley.
Tapi seringkali aplikasi ini atau solusi di luar kendali organisasi, menyebabkan departemen TI sakit kepala besar. “Obat terbaik untuk menyembuhkan sakit kepala ini adalah mendidik user?
CIO harus menilai dan tetap mengendalikan layanan untuk tetap sesuai, dan menyebarkan solusi enterprise cloud modern untuk memecahkan masalah kepatuhan secara keseluruhan.”
5. Penyedia Cloud Service
Untuk memastikan bahwa data sensitif benar dilindungi di awan, yaitu dengan “memilih penyedia layanan terpercaya,” kata George Japak, managing director, ICSA Labs, divisi independen dari Verizon, dan petugas keamanan Verizon HIPAA.
“Layanan Cloud memberikan manfaat yang signifikan baik dalam [hal] dari penghematan biaya, skalabilitas, fleksibilitas, dll” Namun, untuk memastikan bahwa data atau pelanggan Anda terlindungi dengan benar dan sesuai dengan semua peraturan yang relevan, “penyedia vendor / layanan harus … memenuhi persyaratan peraturan yang mendasari, apakah awan direkayasa untuk menjadi HIPAA-siap atau untuk memenuhi dengan PCI atau FISMA standar, misalnya, “kata Japak. Juga periksa untuk melihat apakah vendor SSAE 16 bersertifikat.
6. PCI
“Tidak hanya itu terhadap peraturan merek kartu jika Anda tidak Industri Kartu Pembayaran (PCI) compliant ketika menerima kartu kredit / debit, tetapi juga mutlak harus di iklim ekonomi saat ini dari pencurian kartu pembayaran yang semakin cerdas,” kata Rob Bertke, wakil presiden senior manajemen produk, Solusi Pembayaran Sage. “Sertifikasi PCI memberikan jaminan bahwa prosesor telah melewati seperangkat kuat praktik terbaik untuk mengamankan informasi ketika pembayaran kartu kredit yang dibuat.”
“Sebagai profesional TI, kita sering dihadapkan dengan tantangan untuk menciptakan lingkungan data, pemegang kartu aman yang dapat dibuktikan sesuai terhadap beberapa tes dan penilaian PCI,” jelas Ray Paganini, CEO, Cornerstone IT.
Untuk melindungi data pelanggan yang sensitif, “menggunakan firewall untuk segmen pemegang kartu dari sisa jaringan perusahaan Anda,” sarannya. “Segmentasi Jaringan membatasi bagian jaringan yang memiliki kontak dengan data pemegang kartu sensitif dan, jika dikonfigurasi dengan benar, dapat mengurangi risiko dan biaya, dan mempersempit ruang lingkup audit PCI DSS.”
7. HIPAA HITECH
“Mandat Kepatuhan seperti HIPAA [Asuransi Kesehatan Portabilitas dan Akuntabilitas Act dan HITECH, Teknologi Informasi Kesehatan Ekonomi dan Klinis ACT Kesehatan] memerlukan semua data yang akan didigitalkan [dan memenuhi standar keamanan dan privasi khusus],” kata Brian Kristen, CTO dari Zettaset, sebuah perusahaan manajemen Big Data. “Namun, sebagai data lebih sabar ditangkap dan volume data tumbuh, meningkatnya kompleksitas akan memerlukan pendekatan manajemen data yang lebih canggih.”
“HIPAA juga menempatkan penekanan meningkat pada pengelolaan vendor, yang secara langsung mempengaruhi kewajiban kepatuhan CIO kesehatan ‘,” tambah Japak. Oleh karena itu, penting bagi departemen TI untuk melakukan due diligence dan pastikan mereka bekerja dengan HIPAA-compliant vendor layanan cloud.
Source : www.cio.com
