Електронна пошта є життєво важливим комунікаційним ресурсом, на який покладаються численні малі підприємства для передачі конфіденційної, конфіденційної інформації як усередині, так і за межами організації.
Але поширеність електронної пошти як бізнес-інструменту також робить її сприйнятливою до експлуатації та втрати даних. Фактично, електронна пошта становить 35% всіх випадків втрати даних серед підприємств, повідомляє біла книга компанії AppRiver, кібербезпеки.
$config[code] not foundПорушення даних не завжди є результатом шкідливої діяльності, наприклад, спроби злому. Найчастіше вони виникають внаслідок простої недбалості працівників або нагляду. (Співробітники є провідною причиною інцидентів, пов'язаних із безпекою, згідно з білою книгою Wells Fargo.)
У 2014 році співробітник страхової брокерської фірми Willis North America випадково надіслав електронну таблицю, що містить конфіденційну інформацію, групі працівників, включених до програми медичних планів компанії Healthy Rewards. В результаті Вілліс повинен був заплатити за два роки захисту крадіжки особистих даних для майже 5000 осіб, які постраждали від порушення.
В іншому випадку, також з 2014 року, працівник дитячої лікарні Раді в Сан-Дієго помилково надіслав електронну пошту, що містить захищену інформацію про здоров'я більше 20 тисяч пацієнтів. (Працівник подумав, що вона надсилає навчальний файл для оцінки заявників.)
Лікарня надіслала листи-повідомлення до постраждалих осіб і працювала з зовнішньою фірмою безпеки, щоб забезпечити видалення даних.
Ці та багато інших подібних подій вказують на уразливості електронної пошти та підкреслюють необхідність великих та малих підприємств забезпечувати, контролювати та відстежувати свої повідомлення та вкладення, де б вони не надсилали їх.
Ось п'ять кроків від AppRiver, за якими малі підприємства можуть слідувати, щоб спростити завдання розробки стандартів відповідності електронної пошти для захисту конфіденційної інформації.
Посібник з дотримання електронної пошти
1. Визначте, які правила застосовувати і що потрібно робити
Почніть з запитання: Які правила застосовуються до моєї компанії? Які вимоги існують для демонстрації дотримання електронної пошти? Чи перекриваються ці конфлікти?
Як тільки ви зрозумієте, які правила застосовуються, визначте, чи потрібні різні політики, щоб охопити їх або лише одну комплексну політику.
Приклади регулювання, з якими багато хто з них стикається, включають:
- Закон про перенесення та відповідальність за медичне страхування (HIPAA) - регулює передачу особистої інформації про здоров'я пацієнта;
- Закон Сарбейнса-Окслі (S-OX) - вимагає, щоб компанії встановлювали внутрішній контроль для точного збору, обробки та звітування фінансової інформації;
- Закон Грамм-Ліч-Блілі (GLBA) - вимагає від компаній реалізації політики та технологій для забезпечення безпеки та конфіденційності записів клієнтів при передачі та зберіганні;
- Стандарти інформаційної безпеки платіжних карток (PCI) - вимагає безпечної передачі даних про власників карток.
2. Визначте, що потрібно захищати та встановлювати протоколи
Залежно від правил, на які поширюється ваша компанія, ідентифікуйте дані, які вважаються конфіденційними - номери кредитних карток, електронні медичні записи або особисту інформацію, що надсилається електронною поштою.
Крім того, вирішити, хто повинен мати доступ для надсилання та отримання такої інформації. Потім встановіть політики, які можна запровадити за допомогою використання технології для шифрування, архівування або навіть блокування передачі вмісту електронної пошти на основі користувачів, груп користувачів, ключових слів та інших засобів ідентифікації переданих даних як чутливих.
3. Відстежуйте витоки даних та втрати
Після того, як ви зрозумієте, які типи даних користувачі надсилають по електронній пошті, слід визначити, чи відбуваються втрати, і якими способами.
Чи відбуваються порушення в межах бізнесу або в межах певної групи користувачів? Чи є вкладені файли? Встановіть додаткові правила для усунення вразливостей вашого ядра.
4. Визначте, що потрібно для забезпечення політики
Правильне рішення для забезпечення виконання політики є настільки ж важливим, як і сама політика. Щоб задовольнити нормативні вимоги, для забезпечення відповідності електронної пошти може знадобитися кілька рішень.
Деякі рішення, які організації можуть реалізувати, включають шифрування, запобігання витоку даних (DLP), архівування електронних листів і антивірусний захист.
5. Навчити користувачів і співробітників
Ефективна політика дотримання електронної пошти зосереджуватиметься на освіті користувачів і дотримання політики для прийнятного використання.
Оскільки ненавмисна людська помилка залишається найпоширенішою причиною порушення даних, багато нормативно-правових актів вимагають підготовки користувачів до поведінки, яка потенційно може призвести до таких порушень.
Користувачі та працівники з меншою ймовірністю не дозволять своїм охоронцям і помиляються, коли вони розуміють правильне використання електронної пошти на робочому місці та наслідки невиконання вимог, а також користуються відповідними технологіями.
Незважаючи на те, що план «єдиного розміру для всіх» не може допомогти малим підприємствам дотримуватись будь-яких положень, ці п'ять кроків можуть допомогти вашому бізнесу розробити ефективну політику дотримання електронної пошти, яка гарантує стандарти безпеки.
Надсилайте фотографії через Shutterstock
1 Коментар ▼
