¿Qué es el cumplimiento de IT? Definición y reglamentación
El Reglamento sobre el tráfico internacional de armas (Regulations) es el Reglamento de los Estados Unidos que controla la fabricación, venta y distribución de artículos y servicios de defensa y relacionados con el espacio, tal como se definen en la lista de municiones de los Estados Unidos (USML).
además de lanzacohetes, torpedos y otros equipos militares, la lista también restringe los planes, diagramas, fotos y otra documentación utilizada para construir equipos militares controlados por IT., ELAR se refiere a esto como»datos técnicos».
obtenga la guía esencial gratuita para el cumplimiento y las regulaciones de protección de datos de EE. UU.
It exige que el acceso a materiales físicos o datos técnicos relacionados con las tecnologías militares y de defensa esté restringido solo a ciudadanos estadounidenses. ¿Cómo puede una empresa asegurarse de que solo los ciudadanos estadounidenses tienen y luego acceder a esos datos en una red y cumplen con IT? Limitar el acceso a los materiales físicos es sencillo; limitar el acceso a los datos digitales es más complicado.,
¿Quién necesita seguir el cumplimiento de IT?
Cualquier empresa que se encarga de, fabrica, diseña, vende o distribuye artículos en la USML debe ser ITAR compatible. La dirección de controles comerciales de Defensa (DDTC) del Departamento de Estado administra la lista de compañías que pueden operar en bienes y servicios de USML, y corresponde a cada compañía establecer políticas para cumplir con las regulaciones de US.,
- Mayoristas
- Distribuidores
- Software/ Hardware vendedores
- proveedores
- los Contratistas
Cada empresa en la cadena de suministro debe ser ITAR compatible. Si la compañía a vende una parte a la compañía B y luego la compañía B vende la misma parte a una potencia extranjera, la compañía a también viola ELAR.
regulaciones
las regulaciones IT son simples: solo los ciudadanos estadounidenses pueden acceder a los elementos de la lista USML.
las reglas de IT pueden representar un desafío para muchas empresas estadounidenses., Una compañía con sede en Estados Unidos con operaciones en el extranjero tiene prohibido compartir datos técnicos de IT con empleados contratados localmente, a menos que ganen el Departamento del Estado. autorización. El mismo principio se aplica cuando las empresas estadounidenses trabajan con subcontratistas no estadounidenses.
el Departamento de Estado puede emitir exenciones a esa regla, y hay exenciones existentes establecidas para propósitos específicos. Hay ciertos países que actualmente tienen acuerdos permanentes con los EE.UU. que se aplican a IT-Australia, Canadá y el Reino Unido, por ejemplo.,
el Gobierno de los EE.UU. requiere tener en marcha e implementar un programa de cumplimiento de documented documentado, que debe incluir el seguimiento, monitoreo y auditoría de los datos técnicos. Con los datos técnicos, también es una buena idea etiquetar cada página con un aviso o marcador IT para que los empleados no compartan accidentalmente información controlada con usuarios no autorizados.
It existe para rastrear material militar y de defensa sensible y para mantener ese material fuera de las manos de los enemigos estadounidenses., El incumplimiento puede resultar en fuertes multas junto con un daño significativo a la marca y la reputación, por no mencionar la pérdida potencial de negocios para un competidor que cumple con las normas.,
Sanciones por ITAR Violaciones en el Cumplimiento de
Las sanciones por ITAR infracciones son rígidas:
- multas Civiles de hasta $500.000 por violación
- multas de hasta $1 millón y/o 10 años de prisión por violación
En abril de 2018, el Departamento de Estado de una multa de FLIR Systems, Inc $30 millones en multas civiles para la transferencia de USML de datos a la doble nacionalidad de los empleados. Parte de la sanción requiere que FLIR implemente mejores medidas de cumplimiento y contrate a un funcionario externo para supervisar su acuerdo con el Departamento de Estado.,
en 2007 ITT tomó una multa de 1 100 millones a la cara por exportar tecnología de visión nocturna ilegalmente. ITT pensó que podían evitar las restricciones, el Gobierno no estaba de acuerdo con su interpretación de las reglas.
tipos de artículos de Defensa
hay 21 categorías de artículos de defensa en el USML. Un artículo de defensa es cualquier cosa en esta larga y extrañamente específica lista.,equipo asociado
dadas las penalizaciones asociadas con It, tiene sentido proteger los datos digitales con tantas capas de seguridad como sea posible., Debido a que IT es una regulación Federal de los Estados Unidos, su propia guía para la seguridad de los datos es un excelente lugar para comenzar. NIST SP 800-53 define los estándares y pautas que las agencias federales deben seguir, y cualquier compañía que administre materiales regulados por IT debe usar NIST SP 800-53 como base para sus propios estándares de seguridad..,habilitar permisos de usuarios, grupos, carpetas y archivos
determinar quién tiene acceso a qué datos
Identificar y desactivar usuarios obsoletos
administrar membresías de usuarios y grupos
eliminar grupos de Acceso Global
implementar un modelo de privilegios mínimos
auditar e informar sobre la actividad de archivos y eventos
monitorear amenazas internas, malware, configuraciones erróneas y brechas de seguridad
detectar vulnerabilidades de seguridad y remediarlas
preguntas frecuentes sobre el cumplimiento de IT
- ¿Cómo puede ayudarme Varonis a encontrar todos mis datos it?,
El motor de clasificación de datos identifica y clasifica los datos regulados en sus almacenes de datos principales, tanto en las instalaciones como en la nube. Puede configurar reglas para identificar los datos IT e incluso aplicar etiquetas personalizadas, indicadores y notas a los datos regulados. - ¿Quién puede acceder a estos datos de IT?Varonis DatAdvantage rastrea sus sistemas de archivos para analizar los permisos de todos sus datos, incluidos los datos it. Comprender quién puede acceder a estos datos es el primer paso para proteger los datos del acceso ilegal., Con DatAdvantage, puede ver esta información gráficamente en una interfaz de usuario limpia y fácil de usar, o como un informe exportable.
- ¿Cómo sabré si se accede a mis datos it?Varonis DatAlert monitorea y activa alertas cuando se accede a los datos, incluida una carpeta de sus datos it. Puede detectar, marcar e investigar cualquier comportamiento sospechoso o actividad inusual en sus datos de IT, y mantener un seguimiento de auditoría completo para ayudar a cumplir con las regulaciones de IT.
- ¿Cómo puedo gestionar el acceso a los datos de IT?,el motor de automatización repara y mantiene automáticamente los permisos del sistema de archivos, manteniendo los datos locked bloqueados y ayudando a lograr un modelo de privilegios mínimos. Varonis DataPrivilege ayuda a optimizar la gobernanza del acceso, aplicar automáticamente las políticas de seguridad y demostrar el cumplimiento a los auditores gubernamentales.
¿desea obtener más información sobre cómo administrar sus datos IT para cumplir con el cumplimiento? Obtenga una Demostración 1:1 con un ingeniero de seguridad para ver cómo puede ayudar Varonis.