E-mail je životně důležitý komunikační zdroj, který mnoho malých firem spoléhá na zasílání citlivých a důvěrných informací uvnitř i vně organizace.
Ale prevalence e-mailu jako obchodního nástroje také činí náchylnou k vykořisťování a ztrátě dat. Ve skutečnosti, e-mailové účty představují 35 procent všech incidentů ztráty dat mezi podniky, podle bílé knihy AppRiver, kybernetické bezpečnostní společnosti.
$config[code] not foundPřerušení dat není vždy výsledkem škodlivých aktivit, například pokusu o hacker. Nejčastěji se vyskytují v důsledku jednoduché nedbalosti nebo dohledu zaměstnanců. (Zaměstnanci jsou hlavními příčinami incidentů souvisejících s bezpečností, podle white paperu společnosti Wells Fargo.)
V roce 2014 zaměstnanec pojišťovací makléřské společnosti Willis North America omylem zaslal e-mailovou tabulku obsahující důvěrné informace skupině zaměstnanců zapsaným do programu Healthy Rewards společnosti zdravotního plánu. V důsledku toho musel Willis platit dva roky ochrany proti krádeži identity pro téměř 5 000 lidí postižených porušením.
V jiném případě od roku 2014 zaměstnanec Dětské nemocnice Rady v San Diegu mylně poslal e-mail obsahující chráněné informace o zdraví více než 20 000 pacientů uchazečům o zaměstnání. (Zaměstnanec si myslel, že posílá výcvikový soubor pro hodnocení žadatelů.)
Nemocnice poslala oznamující dopisy postiženým osobám a spolupracovala s externí bezpečnostní firmou, aby zajistila vymazání údajů.
Tyto a mnohé další takové případy poukazují na zranitelnosti e-mailu a podtrhují potřebu velkých i malých podniků, aby zabezpečily, kontrolovaly a sledovaly své zprávy a přílohy, kamkoli je posílají.
Zde je pět kroků, od AppRiveru, které mohou malé podniky sledovat, aby zjednodušily úkol rozvíjet standardy pro dodržování e-mailů, aby byly chráněny citlivé informace.
Průvodce dodržováním e-mailu
1. Zjistěte, jaká pravidla platí a co musíte udělat
Začněte tím, že se ptáte: Jaká pravidla platí pro mou společnost? Jaké požadavky existují pro prokázání shody e-mailu? Dochází k překrývání nebo konfliktu?
Jakmile zjistíte, jaké předpisy se vztahují, zjistěte, zda potřebujete odlišné zásady, které je mají pokrýt, nebo jen jednu komplexní politiku.
Příkladem předpisů, kterými se setkávají malé firmy, jsou:
- Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) - řídí přenos osobně identifikovatelných zdravotních informací o pacientovi;
- Sarbanes-Oxleyův zákon (S-OX) - vyžaduje, aby společnosti zaváděly vnitřní kontroly s cílem přesně shromažďovat, zpracovávat a vykazovat finanční informace;
- Gramm-Leach-Blileyův zákon (GLBA) - požaduje, aby společnosti zavedly politiku a technologie, které zajistí bezpečnost a důvěrnost záznamů o zákaznících při jejich předávání a skladování;
- Standardy zabezpečení informací o platebních kartách (PCI) - pověřuje bezpečný přenos údajů o držitelích karet.
2. Určete, co potřebuje ochranu a nastavení protokolů
V závislosti na pravidlech, které vaše společnost podléhá, identifikujte údaje, které jsou považovány za důvěrné - čísla kreditních karet, elektronické zdravotní záznamy nebo osobní identifikační údaje - zasílané e-mailem.
Také se rozhodněte, kdo by měl mít přístup k odesílání a přijímání takových informací. Poté nastavte zásady, které můžete vynutit pomocí technologie k šifrování, archivování nebo dokonce zablokování přenosu obsahu e-mailu na základě uživatelů, skupin uživatelů, klíčových slov a dalších způsobů, jak identifikovat přenášená data jako citlivá.
3. Sledování netěsností a ztrát dat
Jakmile zjistíte, jaké typy uživatelů dat odesílají prostřednictvím e-mailu, sledujte, zda došlo ke ztrátě a jakým způsobem.
Dochází k porušení v podnikání nebo v určité skupině uživatelů? Jsou přílohy souborů vytečeny? Nastavte další zásady, které by řešily vaše nejzávažnější chyby.
4. Určete, co potřebujete k prosazování zásad
Mít správné řešení k prosazování svých zásad je stejně důležité jako samotná politika. Aby bylo možné uspokojit regulační požadavky, může být nutné zajistit několik řešení, která zajistí dodržování požadavků na elektronickou poštu.
Některá řešení, která organizace mohou implementovat, zahrnují šifrování, prevenci úniku dat (DLP), archivaci e-mailů a antivirovou ochranu.
5. Vyučovat uživatele a zaměstnance
Efektivní politika dodržování e-mailů se zaměří na vzdělávání uživatelů a prosazování politik pro přijatelné použití.
Vzhledem k tomu, že neúmyslná lidská chyba zůstává nejčastější příčinou narušení dat, mnoho předpisů vyžaduje školení uživatelů o chováních, které by mohly potenciálně vést k takovým porušením předpisů.
Uživatelé a zaměstnanci budou mít méně pravděpodobné, že se nechtějí zbavit a udělají chyby, pokud chápou správné používání e-mailu na pracovišti a důsledky nedodržení předpisů a jsou spokojeni s použitím vhodných technologií.
Ačkoli žádný plán "jednorázových záležitostí" nemůže pomoci malým podnikům splňovat všechna pravidla, mohou tyto pět kroků pomoci vašemu podniku rozvíjet účinnou politiku dodržování e-mailů, která chrání bezpečnostní standardy.
Odeslat e-mailem fotografii pomocí programu Shutterstock
1 Komentář ▼