- label Dodržování norem
- remove_red_eye 285 zobrazení
Starost o bezpečnost dat v posledních letech rychle roste. Zatímco průměrný spotřebitel si nyní více než kdy jindy uvědomuje důsledky toho, že se jeho data dostanou do nesprávných rukou, regulační orgány také zpřísňují požadavky podniků jak budou chránit data, která shromažďují a kontrolují.
Bez ohledu na to, v jakém odvětví nebo teritoriu působíte, je pravděpodobné, že se od vás již očekává, že budete dodržovat alespoň jedno nařízení o ochraně údajů. Ve Spojených státech jsou nejčastější HIPAA a SOX, v evropě zase GDPR.
Všechna tyto nařízení se týkají spravovaných subjektů, tedy jestliže jakákoliv společnost spravuje data obyvatele evropské unie, musí splňovat podmínky GDPR. Tak stejně se SOX váže nejen na americké akciové společnosti, ale řídí se jím všechny firmy, které obchodují na amerických kapitálových trzích a také všechny firmy, jejichž akcie drží více než 300 amerických rezidentů.
V tomto článku se podíváme na to, proč je školení o zvyšování povědomí o bezpečnosti nezbytné pro dodržování dvou hlavních předpisů o ochraně údajů v USA - a jak můžete ve vaší společnosti zajistit úspěšné školení.
Co je HIPAA?
HIPAA, nebo zákon o přenositelnosti a odpovědnosti zdravotního pojištění z roku 1996, je americký předpis, který stanovuje pravidla, jak lze používat osobní údaje týkající se zdraví a zdravotní péče lidí. Stanovuje přísné požadavky na omezení přístupu a ochranu důvěrnosti osobních údajů o zdraví.
Co je SOX?
SOX, neboli zákon Sarbanes-Oxley Act z roku 2022, je americký zákon, který stanovuje pravidla pro účetnictví a vedení záznamů ve veřejných společnostech a účetních firmách. Byl vytvořen po rozpadu energetické společnosti Enron a objevu závažných selhání při vedení záznamů napříč veřejnými společnostmi v USA.
Co je GDPR?
GDPR, neboli The General Data Protection Regulation slučuje ochranu osobních údajů v rámci celé evropy. Regulace působí od 25. Května 2018 a určuje jak by se mělo zacházet s různými osobními daty podle specifických úrovní. Citlivá data jako jsou data o zdravotním stavu, biometrických datech, genetických záznamů a kriminální historie patří do nejvyšší skupiny ochrany. GDPR se aplikuje na všechny společnosti zpracující data evropských rezidentů.
Proč je školení nezbytné pro dodržování předpisů?
HIPAA přímo nařizuje, že kryté subjekty a obchodní partneři jsou povinni zahájit školení povědomí o bezpečnosti pro všechny zaměstnance (pravidlo ochrany osobních údajů 45 CFR §164 530). Toto školení musí pokrývat zásady a postupy pro udržení bezpečnosti chráněných zdravotnických informací (PHI).
Co jsou kryté subjekty podle HIPAA?
Mezi kryté subjekty patří zdravotní plány, clearingové střediska zdravotní péče a poskytovatelé zdravotní péče. Tyto organizace se zabývají platbami za poskytování zdravotní péče a jsou stanoveny přísné standardy pro používání, zveřejňování a nakládání s osobními údaji o zdravotní péči.
Zákon Sarbanes-Oxley Act přímo nezavazuje společnosti, aby zahájily školení v oblasti povědomí o bezpečnosti. Školení zaměřené na zvyšování povědomí o bezpečnosti je však klíčem k zajištění toho, aby vaše společnost splňovala požadavky na vedení záznamů podle tohoto nařízení. SOX vyžaduje, aby veřejné společnosti v USA uchovávaly všechny obchodní záznamy po dobu minimálně pěti let, takže školení zaměstnanců v bezpečném shromažďování, přístupu a zálohování citlivých obchodních informací je pro dodržování nařízení zásadní.
Sankce SOX za nedodržení požadavků na vedení záznamů:
- Pokuty až do výše 5 000 000 $
- Vyřazení z veřejných akciových trhů
- Zpětné převzetí všech bonusů vyplacených v roce nedodržení předpisů
- Uvěznění vyšších vedoucích pracovníků.
V rámci HIPAA i SOX hrozí společnostem vážné regulační pokuty, pokud nebudou uchovávat a chránit data. Regulační opatření nejsou jediným důvodem k obavám: důvěra zákazníků a pověst značky mohou být při jakémkoli porušení údajů vážně poškozeny. Zákazníci a partneři chtějí vědět, že vaše společnost nebude vystavovat jejich data riziku, a proto jakékoli neoprávněné porušení může vážně poškodit vaši pověst.
Sankce HIPAA za vystavení informací o chráněném zdraví:
- HHS může udělit občanskoprávní pokuty ve výši 100 USD za nesplnění požadavku pravidla ochrany soukromí.
- Trestní sankce ve výši 50 000 USD nebo vězení za vědomé ohrožení chráněných zdravotních informací pro váš vlastní prospěch.
Sankce GDPR za nedodržování a vystavení citlivých dat
- Sankce za nedodržování nařízení GDPR dosahují 10 milionů eur nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.
- Sankce za vystavení dat (odcizení citlivých údajů) podle GDPR dosahují 20 milionů eur nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.
Co by mělo školení zahrnovat?
HIPAA a SOX vyžadují, abyste své zaměstnance vyškolili k ochraně citlivých informací. To zahrnuje širokou škálu povědomí o zabezpečení: od vytváření silných hesel až po používání sítí VPN k ochraně připojení při práci mimo kancelář.
Zde je seznam nejdůležitějších témat, která by měla být pokryta:
- Jak se bránit proti phishingovým útokům
- Jak zůstat v bezpečí v e-mailu a přes internet
- Proč jsou důležitá silná hesla a vícefaktorové ověřování
- Jak odhalit a zastavit pokusy sociálního inženýrství
- Jak udržovat fyzické zabezpečení
- Proč je důležité zálohovat citlivá data - a jak to udělat bezpečně
- Jak se bezpečně připojit k datům na cestách
Jak by mělo probíhat školení?
Výcvik povědomí o bezpečnosti SOX,HIPAA a GDPR se tradičně uskutečňoval prostřednictvím celofiremních nebo celoodborových sezení, kde přednášející přednášel publiku o bezpečnosti. To společnosti umožnilo zajistit školení všech zaměstnanců ve všech základních oblastech. Problém tohoto typu školení spočíval v tom, že zaměstnanci byli během přednášky zahlceni informacemi - a poté brzy zapomněli na to málo, co se naučili.
Cloudové školení má oproti tradičním přednáškovým tréninkům řadu výhod. Kurzy založené na cloudu umožňují zaměstnancům absolvovat školení, kdykoli je to pro ně nejvhodnější, a umožňují uživatelům postupovat v tréninku rychlostí, která je pro ně vhodná. Mohou znovu projít obsahem, pokud potřebují druhé přečtení, aby něčemu lépe porozuměli, a online školení lze kombinovat s otázkami, které pomáhají posílit učení tím, že si uživatelé vybaví to, co se právě naučili.
Jak funguje cloudové školení?
Online školení o povědomí o bezpečnosti se skládá z kurzů založených na prezentacích, nebo videích, které se zaměřují na určité téma zabezpečení. Uživatelé mohou buď získat online přihlašovací údaje, aby našli své kurzy - nebo pohodlněji lze kurzy zasílat přímo do e-mailových schránek uživatelů. Uživatelé pak mohou postupovat ve všech požadovaných školeních svým vlastním tempem a vy budete moci sledovat jejich pokrok z webového řídicího panelu.
Kdy by mělo probíhat školení?
Nelze očekávat, že zaměstnanci absolvují školení jednorázově nebo ročně a poté vědí vše, co musí udělat, aby byla data v bezpečí. Místo toho by školení mělo být pravidelnou součástí odpovědnosti zaměstnanců. Pravidelná školení, která probíhají po celý rok, umožňují, aby se zabezpečení stalo běžnou součástí týdne vašich uživatelů. Klíčové body mohou být posíleny a mohou být zavedeny nové znalosti o zabezpečení, aniž by uživatele ohromily tím, že je přinutí učit se mnoha oblastem najednou. Probíhající školení také umožňuje rozdělení školení na malé kurzy, které jsou pro zaměstnance snadno strávitelné. To snižuje odpor vůči školením a pomáhá zajistit, aby uživatelé zůstali zapojeni do školení, kterého se účastní.
Usecure je cloudové, automatické řešení školení, které pomáhá společnostem z celého světa řešit jejich lidská rizika. Zjistěte, jak vám dnes můžeme pomoci s dodržováním předpisů nejen HIPAA,SOX a GDPR.
Kybernetická bezpečnost - další informace:
Autor originálního článku: Micke Ahola
Přeložil: Ondřej Strachota