Az e-mail létfontosságú kommunikációs erőforrás, amelyet sok kisvállalkozás érzékeny, bizalmas információk küldésére támaszkodhat mind a szervezeten belül, mind azon kívül.
De az e-mailek üzleti eszközként való elterjedtsége is érzékeny a kizsákmányolásra és az adatvesztésre. Valójában az e-mailek az összes adatvesztési incidens 35% -át teszik ki a vállalatok között, az AppRiver, a számítógépes biztonsági cég által készített fehér könyv szerint.
$config[code] not foundAz adatok megsértése nem mindig a rosszindulatú tevékenységek, például a hackelési kísérlet eredménye. Leggyakrabban az egyszerű gondatlanság vagy felügyelet miatt következnek be. (A Wells Fargo fehér könyve szerint az alkalmazottak a biztonsággal kapcsolatos események vezető oka.)
2014-ben a Willis North America biztosítási brókercég munkatársa véletlenül e-mailben küldött egy bizalmas információt tartalmazó táblázatot az alkalmazottak egészségügyi csoportjának Egészséges jutalmak programjába felvett alkalmazottaknak. Ennek eredményeként Willisnek két évig kellett fizetnie a személyazonosság-lopás elleni védelmet a közel 5000, a jogsértés által érintett személy számára.
Egy másik esetben, 2014-től is, a San Diego-i Rady Gyermekkórház alkalmazottja tévesen küldött egy e-mailt, amely a több mint 20 000 beteg védett egészségügyi információját tartalmazza a munkaadóknak. (A munkavállaló úgy gondolta, hogy képzési fájlt küld a pályázók értékelésére.)
A kórház értesítési leveleket küldött az érintett személyeknek, és egy külső biztonsági céggel dolgozott, hogy biztosítsa az adatok törlését.
Ezek és sok más ilyen eset arra utalnak, hogy az e-mailek sérülékenységei vannak, és hangsúlyozzák, hogy a nagyvállalatoknak és a kis- és nagyvállalatoknak biztosítaniuk kell, ellenőrizniük és nyomon követniük üzeneteiket és mellékleteiket, bárhol is küldhetik.
Az AppRiver öt lépéséből kitűnik, hogy a kisvállalkozások követhetik az e-mail megfelelőségi szabványok kidolgozásának feladatát az érzékeny információk védelme érdekében.
E-mail megfelelőségi útmutató
1. Határozza meg, hogy milyen szabályok érvényesek, és mit kell tennie
Kezdje azzal, hogy megkérdezi: Milyen szabályok vonatkoznak a cégemre? Milyen követelmények léteznek az e-mailek megfelelőségének igazolására? Ezek az átfedések vagy konfliktusok?
Miután megértette, hogy milyen szabályok vonatkoznak, határozza meg, hogy szükség van-e különböző politikákra, hogy fedezze őket, vagy csak egy átfogó politikát.
Példák a kisvállalkozások sok találkozásához:
- Egészségbiztosítási hordozhatóság és elszámoltathatósági törvény (HIPAA) - szabályozza a személyesen azonosítható betegegészségügyi információk továbbítását;
- Sarbanes-Oxley törvény (S-OX) - megköveteli, hogy a vállalatok belső ellenőrzéseket hozzanak létre a pénzügyi információk pontos összegyűjtéséhez, feldolgozásához és jelentéséhez;
- Gramm-Leach-Bliley törvény (GLBA) - követeli meg, hogy a vállalatok hajtsanak végre politikát és technológiákat, hogy biztosítsák az ügyfelek nyilvántartásainak biztonságát és titkosságát, amikor azokat továbbítják és tárolják;
- Fizetési kártyák információbiztonsági szabványai (PCI) - megbízza a kártyatulajdonos adatok biztonságos továbbítását.
2. Határozza meg, mit kell védeni és beállítani a protokollokat
Attól függően, hogy milyen szabályok vonatkoznak a vállalatra, azonosítson bizalmasnak tekintett adatokat - hitelkártyaszámokat, elektronikus egészségügyi nyilvántartásokat vagy személyes azonosításra alkalmas adatokat - e-mailben.
Továbbá döntse el, hogy ki férhet hozzá az ilyen információk küldéséhez és fogadásához. Ezután állítsa be azokat a házirendeket, amelyeket a technológia, a felhasználók, felhasználói csoportok, kulcsszavak és más módon továbbított adatok titkosítása, archiválása vagy akár az átviteli adatok azonosítására érzékenyként történő titkosítására, archiválására vagy akár blokkolására használhat.
3. Nyomon követheti az adatok szivárgásait és veszteségeit
Miután megértette, hogy a felhasználók milyen típusú adatokat küldenek e-mailben, nyomon követheti, hogy a veszteség előfordul-e és milyen módon.
Vannak-e a vállalaton belüli vagy egy bizonyos felhasználói csoporton belüli megsértések? Szivárognak-e a fájl mellékletei? További irányelvek beállítása az alapvető biztonsági rések kezeléséhez.
4. Határozza meg, hogy mit kell végrehajtania a politika végrehajtásához
Ugyanolyan fontos, mint a politika érvényesítésének megfelelő megoldása. A szabályozási követelmények teljesítése érdekében több megoldás is szükséges lehet az e-mailek megfelelőségének biztosítása érdekében.
Egyes megoldások, amelyeket a szervezetek megvalósíthatnak, a titkosítás, az adatszivárgás megelőzése (DLP), az e-mailek archiválása és a vírusvédelem.
5. A felhasználók és az alkalmazottak oktatása
A hatékony e-mail megfelelőségi politika a felhasználói oktatásra és a politika végrehajtására fog összpontosítani az elfogadható használat érdekében.
Mivel a véletlen emberi hiba továbbra is az adatszegések leggyakoribb oka, sok szabály előírja a felhasználók képzését olyan magatartásokról, amelyek potenciálisan ilyen jogsértésekhez vezethetnek.
A felhasználók és a munkavállalók kevésbé fogják engedni az őröket, és hibáznak, amikor megértik a megfelelő munkahelyi e-mail használatát és a nem megfelelőség következményeit, és kényelmesek a megfelelő technológiák használatával.
Bár egyetlen „egy-egy-mindenki számára megfelelő” terv sem segíthet a kisvállalkozásoknak minden rendeletnek való megfelelésben, az öt lépés követése segíthet abban, hogy a vállalkozás hatékony e-mail megfelelőségi politikát alakítson ki, amely biztosítja a biztonsági előírásokat.
Fénykép küldése a Shutterstock segítségével
1 Megjegyzés ▼
