E-mail to ważne źródło komunikacji, na którym wiele małych firm polega na przesyłaniu poufnych, poufnych informacji zarówno w organizacji, jak i poza nią.
Jednak rozpowszechnienie poczty e-mail jako narzędzia biznesowego powoduje również, że jest ona podatna na wykorzystanie i utratę danych. W rzeczywistości konta e-mail stanowią 35 procent wszystkich incydentów związanych z utratą danych wśród przedsiębiorstw, zgodnie z białą księgą firmy AppRiver, firmy zajmującej się bezpieczeństwem w Internecie.
$config[code] not foundNaruszenie danych nie zawsze jest skutkiem złośliwej aktywności, na przykład próby włamania. Najczęściej występują z powodu zwykłego zaniedbania lub niedbalstwa pracownika. (Pracownicy są główną przyczyną incydentów związanych z bezpieczeństwem, zgodnie z białą księgą Wells Fargo).
W 2014 roku pracownik ubezpieczeniowej firmy brokerskiej Willis North America przypadkowo wysłał e-mailem arkusz kalkulacyjny zawierający informacje poufne do grupy pracowników zapisanych w programie Healthy Rewards programu Medical Plan. W rezultacie Willis musiał zapłacić za dwa lata zabezpieczenia przed kradzieżą tożsamości dla prawie 5000 osób dotkniętych naruszeniem.
W innym przypadku, również od 2014 r. Pracownik Rady Szpitala Dziecięcego w San Diego błędnie wysłał do kandydatów pocztą elektroniczną wiadomość zawierającą chronione informacje zdrowotne od ponad 20 000 pacjentów. (Pracownik uznał, że wysyła plik szkoleniowy, aby ocenić kandydatów.)
Szpital wysyłał listy powiadomień do osób dotkniętych chorobą i współpracował z zewnętrzną firmą ochroniarską, aby upewnić się, że dane zostały usunięte.
Te i wiele innych takich incydentów wskazuje na luki w zabezpieczeniach poczty e-mail i podkreśla potrzebę dużych i małych firm do zabezpieczania, kontrolowania i śledzenia ich wiadomości i załączników w każdym miejscu, w którym je wysyłają.
Oto pięć kroków, od AppRiver, które małe firmy mogą wykonać, aby uprościć zadanie opracowania standardów zgodności e-mail w celu ochrony poufnych informacji.
Przewodnik zgodności z pocztą e-mail
1. Określić, jakie przepisy obowiązują i co należy zrobić
Zacznij od pytania: Jakie przepisy obowiązują w mojej firmie? Jakie wymagania istnieją, aby wykazać zgodność z pocztą e-mail? Czy te nakładania się lub konfliktów?
Gdy zrozumiesz, jakie przepisy obowiązują, ustal, czy potrzebujesz różnych zasad, aby je uwzględnić, czy tylko jednej kompleksowej polityki.
Przykładowe regulacje, które mogą napotkać małe firmy:
- Ustawa o Przenoszalności i Odpowiedzialności Ubezpieczeń Zdrowotnych (HIPAA) - reguluje przekazywanie danych osobowych dotyczących zdrowia pacjenta;
- Ustawa Sarbanes-Oxley (S-OX) - wymaga, aby firmy ustanowiły wewnętrzne mechanizmy kontrolne w celu dokładnego gromadzenia, przetwarzania i raportowania informacji finansowych;
- Akt Gramm-Leach-Bliley (GLBA) - wymaga, aby firmy wdrażały politykę i technologie w celu zapewnienia bezpieczeństwa i poufności zapisów klientów podczas ich przesyłania i przechowywania;
- Informacje o karcie płatniczej Standardy bezpieczeństwa (PCI) - nakazuje bezpieczną transmisję danych posiadacza karty.
2. Zidentyfikuj, co jest potrzebne, aby chronić i ustawić protokoły
W zależności od przepisów, którym podlega firma, dane identyfikujące poufne - numery kart kredytowych, elektroniczne karty zdrowia lub dane osobowe - przesyłane są pocztą elektroniczną.
Zdecyduj także, kto powinien mieć dostęp do wysyłania i odbierania takich informacji. Następnie ustal zasady, które można egzekwować za pomocą technologii szyfrowania, archiwizowania, a nawet blokowania transmisji treści e-mail na podstawie użytkowników, grup użytkowników, słów kluczowych i innych środków identyfikacji przesyłanych danych jako poufnych.
3. Śledzenie wycieków danych i strat
Gdy zrozumiesz, jakie typy danych wysyłają użytkownicy za pośrednictwem poczty e-mail, śledź, aby ustalić, czy występują straty i w jaki sposób.
Czy naruszenia mają miejsce wewnątrz firmy lub w określonej grupie użytkowników? Czy załączniki plików są wyciekiem? Ustaw dodatkowe zasady, aby wyeliminować główne luki.
4. Zidentyfikuj to, co jest potrzebne do egzekwowania zasad
Posiadanie właściwego rozwiązania w celu egzekwowania zasad jest tak samo ważne jak sama polityka. Aby spełnić wymagania prawne, może być konieczne kilka rozwiązań zapewniających zgodność z pocztą e-mail.
Niektóre rozwiązania, które organizacje mogą wdrożyć, obejmują szyfrowanie, zapobieganie wyciekom danych (DLP), archiwizowanie wiadomości e-mail i ochronę antywirusową.
5. Edukuj użytkowników i pracowników
Skuteczna polityka zgodności z pocztą e-mail skupi się na edukacji użytkowników i egzekwowaniu zasad w zakresie dozwolonego użytku.
Ponieważ niezamierzony ludzki błąd pozostaje najczęstszą przyczyną naruszeń bezpieczeństwa danych, wiele przepisów wymaga szkolenia użytkowników na temat zachowań, które mogą prowadzić do takich naruszeń.
Użytkownicy i pracownicy będą rzadziej tracić czujność i popełniać błędy, gdy zrozumieją poprawne korzystanie z poczty e-mail w miejscu pracy i konsekwencje nieprzestrzegania przepisów oraz wygodnie wykorzystują odpowiednie technologie.
Podczas gdy żaden plan "jeden rozmiar dla wszystkich" nie może pomóc małym firmom w przestrzeganiu wszystkich przepisów, postępując zgodnie z tymi pięcioma krokami, możesz pomóc Twojej firmie w opracowaniu skutecznej polityki przestrzegania e-maili, która chroni standardy bezpieczeństwa.
Wyślij wiadomość e-mail przez Shutterstock
1 komentarz ▼