Имейлът е жизненоважен комуникационен ресурс, на който много малки фирми разчитат да изпращат чувствителна, поверителна информация както вътре, така и извън организацията.
Но разпространението на електронната поща като бизнес инструмент го прави податлив на експлоатация и загуба на данни. Всъщност електронните съобщения представляват 35% от всички случаи на загуба на данни сред предприятията, според бяла книга на AppRiver, компания за киберсигурност.
$config[code] not foundНарушенията на данните не винаги са резултат от злонамерена дейност, като например опит за хакерство. Най-често те се появяват поради обикновена небрежност или пропуск на служителите. (Служителите са водещата причина за инциденти, свързани със сигурността, според бяла книга на Wells Fargo.)
През 2014 г. служител на застрахователната брокерска фирма Уилис Северна Америка случайно е изпратил електронна таблица, съдържаща поверителна информация, на група служители, включени в програмата за здравословни награди на компанията. В резултат на това Уилис трябваше да плати за две години защита на кражби на самоличност за близо 5000 души, засегнати от нарушението.
В друг случай, също от 2014 г., служител на Детската болница Ради в Сан Диего погрешно изпратил имейл, съдържащ защитената здравна информация на повече от 20 000 пациенти към кандидатите за работа. (Служителят смяташе, че изпраща файл за обучение, за да оцени кандидатите.)
Болницата изпрати уведомителни писма до засегнатите лица и работи с външна охранителна фирма, за да гарантира, че данните са изтрити.
Тези и много други подобни инциденти сочат към уязвимостта на електронната поща и подчертават необходимостта от големи и малки предприятия да осигурят, контролират и проследяват своите съобщения и прикачени файлове, където и да ги изпращат.
Ето пет стъпки от AppRiver, които малките предприятия могат да следват, за да опростят задачата за разработване на стандарти за спазване на електронната поща, за да се опази чувствителната информация.
Ръководство за съответствие с електронната поща
1. Определете какви правила се прилагат и какво трябва да направите
Започнете, като попитате: Какви правила се прилагат за моята фирма? Какви изисквания съществуват за демонстриране на спазването на електронната поща? Те се припокриват или конфликтират?
След като разберете какви правила се прилагат, определете дали имате нужда от различни политики, които да ги обхващат, или само една цялостна политика.
Примерните регламенти, с които много малки фирми се сблъскват, включват:
- Закон за преносимост и отчетност на здравното осигуряване (HIPAA) - урежда предаването на лична информация за здравето на пациента;
- Закон Сарбейнс-Оксли (S-OX) - изисква дружествата да установят вътрешен контрол, за да събират, обработват и докладват финансова информация;
- Закон за Грам-Лийч-Блайли (GLBA) - изисква от дружествата да прилагат политика и технологии, за да гарантират сигурността и поверителността на записите на клиентите, когато се предават и съхраняват;
- Стандарти за информационна сигурност на платежните карти (PCI) - задължава защитеното предаване на данни за картодържателите.
2. Определете какво трябва да защитите и задайте протоколи
В зависимост от правилата, на които се подчинява вашата компания, идентифицирайте данните, които се считат за поверителни - номера на кредитни карти, електронни здравни досиета или лична информация - изпращани по имейл.
Също така решете кой трябва да има достъп до изпращането и получаването на такава информация. След това, задайте политики, които можете да наложите чрез използване на технология за шифроване, архивиране или дори блокиране на предаването на съдържание на електронна поща въз основа на потребители, потребителски групи, ключови думи и други средства за идентифициране на предаваните данни като чувствителни.
3. Проследяване на изтичане и загуби на данни
След като разберете какви типове данни потребителите изпращат по имейл, проследявайте, за да определите дали се случва загуба и по какъв начин.
Нарушават ли се нарушения в бизнеса или в определена група потребители? Пропускат ли се прикачени файлове? Задайте допълнителни правила за справяне с основните ви уязвимости.
4. Определете какво ви е необходимо за прилагане на политиката
Правилното решение да наложите политиката си е също толкова важно, колкото и самата политика. За да се изпълнят регулаторните изисквания, може да са необходими няколко решения, за да се гарантира спазването на електронната поща.
Някои решения, които организациите могат да прилагат, включват криптиране, предотвратяване на изтичане на данни (DLP), архивиране на имейли и антивирусна защита.
5. Обучение на потребителите и служителите
Ефективната политика за спазване на електронната поща ще се фокусира върху образованието на потребителите и прилагането на политиката за приемливо използване.
Тъй като непреднамерената човешка грешка остава най-честата причина за нарушения на данните, много регламенти изискват обучение на потребителите за поведения, които потенциално могат да доведат до такива нарушения.
По-малко вероятно е потребителите и служителите да оставят охраната си и да правят грешки, когато разбират правилното използване на електронната поща на работното място и последиците от несъответствието и са удобни при използването на подходящи технологии.
Макар че не може да помогне на малкия бизнес да спази всеки регламент, следвайки тези пет стъпки, това може да помогне на бизнеса ви да разработи ефективна политика за спазване на електронната поща, която защитава стандартите за сигурност.
Имейл снимка чрез Shutterstock
1 Коментар ▼
