Электронная почта является жизненно важным коммуникационным ресурсом, от которого многие малые предприятия могут посылать конфиденциальную конфиденциальную информацию как внутри, так и за ее пределами.
Но распространенность электронной почты как бизнес-инструмента также делает ее уязвимой для эксплуатации и потери данных. На самом деле, на электронную почту приходится 35 процентов всех случаев потери данных среди предприятий, согласно официальному документу AppRiver, компании по кибербезопасности.
$config[code] not foundНарушения данных не всегда являются результатом злонамеренных действий, таких как попытка взлома. Чаще всего они происходят из-за простой халатности или недосмотра сотрудника. (Согласно белой книге Wells Fargo сотрудники являются основной причиной инцидентов, связанных с безопасностью.)
В 2014 году сотрудник страховой брокерской фирмы Willis North America случайно отправил по электронной почте электронную таблицу, содержащую конфиденциальную информацию, группе сотрудников, участвующих в программе Healthy Rewards медицинского плана компании. В результате Уиллису пришлось заплатить за два года защиты от кражи личных данных почти 5000 человек, пострадавших от нарушения.
В другом случае, также с 2014 года, сотрудник детской больницы Rady в Сан-Диего по ошибке отправил электронное письмо, содержащее защищенную информацию о здоровье более чем 20 000 пациентов, претендентов на работу. (Сотрудница подумала, что отправляет учебный файл для оценки кандидатов.)
Больница разослала письма-уведомления пострадавшим лицам и работала с внешней охранной фирмой, чтобы гарантировать удаление данных.
Эти и многие другие подобные инциденты указывают на уязвимости электронной почты и подчеркивают необходимость для больших и малых предприятий защищать, контролировать и отслеживать свои сообщения и вложения, куда бы они их ни отправляли.
Вот пять шагов от AppRiver, которые малые предприятия могут выполнить, чтобы упростить задачу разработки стандартов соответствия требованиям электронной почты для защиты конфиденциальной информации.
Руководство по электронной почте
1. Определите, какие правила применяются и что вам нужно сделать
Начните с вопроса: какие правила применяются к моей компании? Какие существуют требования для демонстрации соответствия электронной почте? Они совпадают или конфликтуют?
После того, как вы поймете, какие правила применяются, определите, нужны ли вам другие политики для них или только одна комплексная политика.
Примеры правил, с которыми сталкиваются малые предприятия, включают:
- Закон о мобильности и ответственности медицинского страхования (HIPAA) - регулирует передачу личной информации о здоровье пациента;
- Закон Сарбейнса-Оксли (S-OX) - требует, чтобы компании установили внутренний контроль для точного сбора, обработки и представления финансовой информации;
- Закон Грэмма-Лича-Блили (GLBA) - требует, чтобы компании внедрили политику и технологии для обеспечения безопасности и конфиденциальности записей клиентов при их передаче и хранении;
- Стандарты информационной безопасности платежных карт (PCI) - обязывает к безопасной передаче данных держателя карты.
2. Определите, что нужно для защиты и установите протоколы
В зависимости от правил, на которые распространяется действие вашей компании, идентифицируйте данные, которые считаются конфиденциальными - номера кредитных карт, электронные медицинские карты или личную информацию, - которые отправляются по электронной почте.
Кроме того, решите, кто должен иметь доступ для отправки и получения такой информации. Затем установите политики, которые вы можете применять с помощью технологии для шифрования, архивирования или даже блокирования передачи содержимого электронной почты на основе пользователей, групп пользователей, ключевых слов и других средств определения передаваемых данных как конфиденциальных.
3. Отслеживать утечки и потери данных
Как только вы поймете, какие типы данных пользователи отправляют по электронной почте, проследите, чтобы определить, происходит ли потеря и каким образом.
Имеют ли место нарушения в бизнесе или в определенной группе пользователей? Утечка файловых вложений? Установите дополнительные политики для устранения основных уязвимостей.
4. Определите, что вам нужно для реализации политики
Правильное решение для обеспечения соблюдения вашей политики так же важно, как и сама политика. Чтобы удовлетворить нормативные требования, может потребоваться несколько решений для обеспечения соответствия электронной почте.
Некоторые решения, которые могут реализовать организации, включают шифрование, предотвращение утечки данных (DLP), архивирование электронной почты и антивирусную защиту.
5. Обучите пользователей и сотрудников
Эффективная политика соответствия требованиям электронной почты будет сосредоточена на обучении пользователей и применении политики для приемлемого использования.
Поскольку непреднамеренная ошибка человека остается самой распространенной причиной утечки данных, многие нормативные акты требуют обучения пользователей поведению, которое потенциально может привести к таким нарушениям.
Пользователи и сотрудники с меньшей вероятностью будут разочаровываться и совершать ошибки, если они понимают, как правильно использовать электронную почту на рабочем месте, а также о последствиях несоответствия и могут свободно пользоваться соответствующими технологиями.
Хотя ни один план «один размер подходит всем» не может помочь малым предприятиям соблюдать все правила, выполнение этих пяти шагов может помочь вашему бизнесу разработать эффективную политику соответствия требованиям электронной почты, обеспечивающую соблюдение стандартов безопасности.
Отправить фото через Shutterstock
1 комментарий ▼