1. Co je to soulad se správou záplat?

2. Proč je důležitý soulad s předpisy pro správu záplat?

3. Plnění cílů správy záplat pomocí softwarových nástrojů

4. Blogy

5. Další zdroje

Co je to soulad se správou záplat?

Správa záplat spočívá v kontrole počítačů, mobilních zařízení nebo jiných počítačů v síti, zda v nich nejsou chybějící aktualizace softwaru, tzv. záplaty, a v odstranění problému nasazením těchto záplat, jakmile jsou k dispozici. Záplaty jsou typem kódu, který se vkládá (nebo opravuje) do kódu stávajícího softwarového programu.

Protože nenainstalování záplat může způsobit vážné narušení bezpečnosti, mnoho vládních agentur a průmyslových sdružení nařídilo správu záplat.

Nejpřísnější požadavky na dodržování předpisů mají zpravidla vládní instituce, zdravotnictví a finanční sektor. Organizace v různých oblastech však musí dodržovat vládní předpisy, dohody o úrovni služeb (SLA), mandáty oborových asociací a firemní zásady.

Některé z nejvýznamnějších regulačních agentur a zákonů, které vyžadují určitý typ shody s regulačními předpisy v oblasti správy oprav, jsou následující:

• Payment Card Industry Data Security Standard (PCI DSS)

• Health Insurance Portability and Accountability Act (HIPAA)

• National Institute of Standards and Technology (NIST)

• European Union General Data Protection Regulation (GDPR)

• Federal Financial Institutions Examination Council (FFIEC)

• Gramm-Leach-Bliley (GLBA)

• Sarbanes-Oxley (SOX)

• Family Educational Rights and Privacy Act (FERPA)

Mnohé z těchto agentur vyžadují zavedení pravidelného, plně zdokumentovaného procesu správy záplat - popisujícího postupy krok za krokem. Organizace musí být schopny doložit důkaz o neustálém dodržování předpisů a procházet pravidelnými audity. Nezavedení opatření pro zajištění shody s předpisy pro správu záplat může mít pro organizaci za následek právní postihy. Například nařízení Evropské unie GDPR má sílu udělit organizacím, které nedodržují předpisy, pokutu až 20 milionů eur (přibližně 22 milionů USD) nebo čtyři procenta jejich ročního celosvětového obratu.

Stále více států, národů a mezinárodních orgánů přijímá zákony, které ukládají organizacím v jejich jurisdikci ochranu soukromí a další požadavky. V rámci USA se tyto zákony mohou dokonce stát od státu lišit, což činí jejich použitelnost a dodržování nepřehledným.

Tato složitost je ještě náročnější pro malé a střední podniky (SMB) s omezenými odděleními IT. Tyto nové požadavky přivádějí stále více těchto organizací do regulační sféry, kde se musí orientovat ve spleti mandátů stanovených matoucím a někdy nejasným právním žargonem. Malé a střední podniky mohou mít potíže pochopit, jaké jsou požadavky na správu záplat, zda se na ně vztahují - a pokud ano, jak je správně splnit.

Proč je důležitý soulad se správou záplat?

Správná správa záplat může výrazně zlepšit bezpečnostní ochranu organizace tím, že řeší zranitelnosti v softwaru a operačních systémech. Zde je několik důvodů, proč je dodržování pravidel pro správu záplat klíčové:

.
Kybernetické hrozby se staly běžnou záležitostí, a proto regulační orgány nařizují firmám, aby jako obranu proti těmto hrozbám používaly nejnovější záplaty. Narušení bezpečnosti sítě je nejčastěji způsobeno chybějícími záplatami operačních systémů a dalších aplikací. Nedodržení požadavků ohrožuje cenná informační aktiva, jako je duševní vlastnictví a vysoce citlivé údaje zákazníků (zdravotní záznamy, čísla kreditních karet atd.).

Pokuty od regulačních orgánů
Pokuty za nedodržení amerických a mezinárodních předpisů, jako je zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) a obecné nařízení o ochraně osobních údajů (GDPR), mohou společnosti stát tisíce až miliony dolarů. Pokuta ve výši 100 000 dolarů může pro malou firmu představovat významnou část jejího zisku.

Ztráta reputace a právní odpovědnost
Podniky mohou ztratit důvěru svých klientů, pokud zákazníci zjistí, že společnost nedodržela předpisy. Podle studie Ponemon Institute, The True Cost of Compliance with Data Protection Regulations (Skutečné náklady na dodržování předpisů o ochraně osobních údajů): "Důsledkem nezvládnutí rizik v oblasti dodržování předpisů je ztráta důvěry, která ohrozí loajalitu zákazníků, a neschopnost poskytovat služby a produkty, což způsobí pokles příjmů." Kromě toho mohou zákazníci dokonce podniknout právní kroky proti firmě za závažné porušení ochrany osobních údajů, pokud se hackeři dostanou k údajům, které by mohly vést k peněžním ztrátám nebo krádeži identity.

Produktivita
Havárie počítače způsobené vadným softwarem mohou vést ke snížení úrovně produktivity. Instalace záplaty naopak snižuje možnost havárií a výpadků, a umožňuje tak pracovníkům vykonávat jejich úkoly bez přerušení. Záplaty nejsou vždy určeny k opravě chyb. Mohou také obsahovat nové funkce a vlastnosti, které mohou využívat nejnovější inovace softwaru. Dodavatelé softwaru neustále pracují na nových vlastnostech a zasílají nové funkce ve formě záplat. Když IT oddělení tyto záplaty stáhne a nainstaluje, může to zaměstnancům pomoci pracovat lépe a chytřeji.

BYOD
Nástup "přines si vlastní zařízení" neboli BYOD otevřel kybernetickým útočníkům zcela nové možnosti. Zaměstnanci stále častěji používají ke své práci střídavě svá osobní a kancelářská zařízení - což vyžaduje, aby byla chráněna i osobní zařízení. Při správném dodržování pravidel správy záplat by se měly záplaty instalovat na všechna zařízení bez ohledu na jejich fyzické umístění. Dodržování předpisů funguje jako obrana proti mnoha problémům, které s sebou přináší používání osobních zařízení.

Plnění cílů správy záplat pomocí softwarových nástrojů

V uplynulém desetiletí se na trhu objevila řada softwarových řešení pro správu záplat, která mohou organizacím pomoci snáze splnit požadavky na dodržování předpisů. Patří mezi ně řešení pro audit a bezpečnostní skenování, správu hrozeb, řízení přístupu, monitorování sítě a software pro správu záplat, který pomáhá plnit specifické požadavky na dodržování předpisů.

Cloudové služby poskytují vestavěné nástroje, jako jsou možnosti šifrování, systémy správy identit a přístupu (IAM), izolace virtuální sítě a další bezpečnostní nástroje, které pomáhají chránit osobní údaje podle požadavků předpisů na ochranu osobních údajů. V kombinaci s lokálními nástroji pro správu záplat je dosažení cílů v oblasti dodržování předpisů dosažitelnější.

Jak si vybrat správné řešení pro správu záplat vzhledem k velkému množství dnes dostupných nástrojů pro správu záplat? Zde jsou některé funkce, které by měl software pro správu záplat obsahovat, aby pomohl s dodržováním předpisů:

• Obsahuje specifické přehledy pro hlavní úkony v oblasti dodržování předpisů, jakož i přehledy zaměřené na používání a správu účtů, změny zásad a další.
• Udržuje kompletní pokrytí hodnocení zranitelností a konsoliduje zjištění do smysluplných zpráv - bez ohledu na platformu - jak to vyžadují regulační orgány, například PCI a HIPAA.
• Zajišťuje sběr dat protokolů, normalizaci a vícevrstvou konsolidaci, aby splňoval požadavky běžných regulačních orgánů a zákonů na uchovávání dostupnosti dat protokolů a revizi správy oprav.
• Generuje zprávy o stavu každé aktualizace a příslušné statistiky o instalacích a aktualizacích záplat pro účely auditu.
• Funguje na různých platformách a operačních systémech - včetně operačních systémů Microsoft®, MAC OS X® a Linux®, Amazon Web Services (AWS), dalších cloudových platforem a také aplikací třetích stran.
• Prohledává celou síť a identifikuje chybějící záplaty napříč různým softwarem
• Stahuje záplaty přímo ze stránek dodavatelů
• Zahrnuje efektivní postupy testování a nasazování záplat
• Snadno se instaluje na všechna zařízení, jako jsou stolní počítače, notebooky a servery

Blogy

Dodatečné zdroje