|
La mayoría hace compras las políticas y las prácticas determinadas de limitar vulnerabilidades y de reducir incidentes de la seguridad. Las palabras operativas aquí son límite y reducen. Corto de desenchufar tus computadoras, es imposible eliminar todas las amenazas a tus sistemas y datos de información. Pero en la salud y los sectores financieros, este panorama del mejor-esfuerzo está no más bastante--el gobierno federal desea hecho para combatir fraude y abuso. Y no pensar que porque estás en venta al por menor o la fabricación no necesitas tomar el aviso: Pues los feds afilan con piedra sus habilidades reguladoras en tecnología, el brazo largo de la ley pronto puede extender a otras áreas de computar de la red.
Gramm-Lixiviar-Bliley el acto (GLBA) y las empresas afectadas asimiento del acto de la portabilidad y de la responsabilidad del seguro médico (HIPAA) responsables proteger la información privada, significándolo deben determinar los riesgos y poner salvaguardias en ejecución apropiadas. El acto de Sarbanes-Oxley de 2002 (Sarbox) requiere a compañías que publican seguridades públicas para establecer y para mantener controles internos sobre sus sistemas de divulgación financieros y para determinar la eficacia de estos controles en informes a la Comisión de seguridades y de intercambio (SEC). Cerca de 72 por ciento de lectores votados para este artículo dicen que el acto del patriota los afectan HIPAA, Sarbox, GLBA o.
El fondo para cada uno de estos leyes es responsabilidad--la responsabilidad que va más allá de ÉL es responsabilidad de mantener los sistemas y los datos de información seguros. Los equipos de la gerencia deben formular políticas y se ponen en ejecución los procedimientos que se conforman con GLBA, HIPAA y Sarbox y aseguran estas políticas. Si no, las penas civiles y criminales pueden aplicarse. Las multas para no hacer caso de un requisito específico debajo de HIPAA pueden alcanzar $25.000 por la violación, y un oficial corporativo que firma con conocimiento un informe financiero falso puede ser multado hasta $1 millones y/o hacer frente a tanto como 10 años en la prisión debajo de Sarbox.
|
|
Debajo de GLBA, los bancos y las instituciones financieras tienen un mandato para asegurar datos del cliente privado. Deben poner un comprensivo en ejecución, escrito programa de la seguridad de la información con las salvaguardias administrativas, técnicas y físicas para la información del cliente. Además, la junta directiva de la institución o un comité apropiado del tablero debe aprobar el programa de la seguridad y supervisar su desarrollo. Las acciones individuales para hacer cumplir las regulaciones pueden alcanzar $1.000, y los daños para una clase de individuos son hasta $500.000 disponibles. Más allá de ésa, las regulaciones de GLBA ligan salvaguardias de la seguridad de la información a la seguridad y a la validez totales de una institución y dan la supervisión de las agencias, tales como el FDIC y el departamento del Hacienda, latitud amplia para tratar condiciones inseguras y falsas en instituciones bajo su jurisdicción.
Debajo de HIPAA, las empresas en el sector de la salud deben guardar la PHI (información protegida de la salud) y las políticas y los procedimientos del instrumento para salvaguardarla en cualquier formato, de papel o electrónico. Y como con GLBA, las entidades cubiertas debajo de HIPAA deben identificar a un funcionario responsable de convertirse y de poner en ejecución este aislamiento y las políticas y los procedimientos de la seguridad.
Sarbox sostiene a oficiales corporativos responsables de sus sistemas de divulgación financieros. Requiere a equipos de la gerencia de compañías públicas establecer y mantener controles internos adecuados y determinar la eficacia de esos controles. Incluso crea una organización no lucrativa (tablero del descuido de la contabilidad de la compañía pública) para supervisar las actividades de la intervención de compañías públicas.
A la luz de escándalos corporativos recientes, eres pensamiento probable, “antes tarde que nunca.” Pero Sarbox no es el saqueo del SEC primer en esta arena reguladora: Desde 1979 la agencia propuesta gobierna requerir a compañías públicas divulgar cierta información sobre sus controles internos de la contabilidad. Por ejemplo, las reglas requirieron a gerencia indicar su opinión encendido si el acceso a los activos corporativos y las transacciones fueron ejecutados y registrados de acuerdo con su autorización. Pero el SEC abandonó su regulador, decidiendo dejó a voluntario, iniciativas del privado-sector continúa convirtiéndose. Entonces vino Enron.
Rápido adelante a hoy: La autoregulación de la industria se está substituyendo por la regulación de la ley y del gobierno. Pero aunque GLBA, HIPAA y Sarbox requieren responsabilidad corporativa en la manipulación de transacciones, de seguridad y de datos sobre redes, no proporcionan un mapa de camino detallado del hardware y del software que necesitarás conformarse. Algo, cada uno proporciona objetivos generales y sugiere las estrategias de la puesta en práctica para la conformidad (véase la “ley contra la regulación,”). Esto se va mucho para que interprete.
|
 |
