Seuraava artikkeli auttaa sinua: Przewodnik dotyczący zgodności z pocztą elektroniczną: 5 kroków, które małe firmy mogą podjąć, aby zachować bezpieczeństwo
Poczta elektroniczna to ważny środek komunikacji, z którego korzysta wiele małych firm przy wysyłaniu wrażliwych, poufnych informacji zarówno wewnątrz, jak i na zewnątrz organizacji.
Jednak powszechność poczty elektronicznej jako narzędzia biznesowego czyni ją podatną na wykorzystanie i utratę danych. Jak wynika z białej księgi AppRiver, firmy zajmującej się bezpieczeństwem cybernetycznym, poczta e-mail jest przyczyną 35 procent wszystkich przypadków utraty danych w przedsiębiorstwach.
Naruszenie danych nie zawsze jest wynikiem złośliwej działalności, takiej jak próba włamania. Najczęściej powstają na skutek zwykłego zaniedbania lub niedopatrzenia pracownika. (Według białej księgi Wells Fargo pracownicy są główną przyczyną incydentów związanych z bezpieczeństwem.)
W 2014 r. pracownik firmy brokerskiej Willis North America przypadkowo wysłał e-mailem arkusz kalkulacyjny zawierający poufne informacje do grupy pracowników zapisanych do programu Healthy Rewards w ramach planu medycznego firmy. W rezultacie Willis musiał zapłacić za dwa lata ochrony przed kradzieżą tożsamości prawie 5000 osób dotkniętych naruszeniem.
W innym przypadku, także z 2014 r., pracownik Szpitala Dziecięcego Rady w San Diego omyłkowo wysłał do kandydatów do pracy wiadomość e-mail zawierającą chronione informacje zdrowotne ponad 20 000 pacjentów. (Pracownica myślała, że wysyła plik szkoleniowy w celu oceny kandydatów.)
Szpital wysłał pisma z powiadomieniami do dotkniętych osób i współpracował z zewnętrzną firmą ochroniarską, aby zapewnić usunięcie danych.
Te i wiele innych tego typu incydentów wskazują na słabe punkty poczty e-mail i podkreślają potrzebę zabezpieczania, kontrolowania i śledzenia wiadomości i załączników przez duże i małe firmy, niezależnie od tego, gdzie je wysyłają.
Oto pięć kroków od AppRiver, które małe firmy mogą wykonać, aby uprościć zadanie opracowywania standardów zgodności poczty elektronicznej w celu ochrony poufnych informacji.
Przewodnik dotyczący zgodności z pocztą elektroniczną
1. Ustal, jakie przepisy mają zastosowanie i co musisz zrobić
Zacznij od pytania: Jakie przepisy obowiązują moją firmę? Jakie wymagania istnieją, aby wykazać zgodność z pocztą elektroniczną? Czy te elementy nakładają się na siebie, czy są ze sobą sprzeczne?
Kiedy już zrozumiesz, jakie przepisy mają zastosowanie, określ, czy potrzebujesz różnych polis, aby je uwzględnić, czy tylko jednej kompleksowej polisy.
Przykładowe przepisy, z którymi spotyka się wiele małych firm, obejmują:
- Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) – reguluje przekazywanie danych osobowych pacjentów o stanie zdrowia;
- Ustawa Sarbanesa-Oxleya (S-OX) – wymaga, aby spółki ustanowiły kontrole wewnętrzne w celu dokładnego gromadzenia, przetwarzania i raportowania informacji finansowych;
- Ustawa Gramma-Leacha-Blileya (GLBA) – domaga się, aby przedsiębiorstwa wdrożyły politykę i technologie zapewniające bezpieczeństwo i poufność dokumentacji klientów podczas jej przesyłania i przechowywania;
- Standardy bezpieczeństwa informacji o kartach płatniczych (PCI) – nakazuje bezpieczne przesyłanie danych posiadaczy kart.
2. Zidentyfikuj, co wymaga ochrony i ustal protokoły
W zależności od przepisów, którym podlega Twoja firma, zidentyfikuj dane uważane za poufne – numery kart kredytowych, elektroniczną dokumentację medyczną lub dane osobowe – wysyłane pocztą elektroniczną.
Zdecyduj także, kto powinien mieć dostęp do wysyłania i odbierania takich informacji. Następnie ustal zasady, które możesz egzekwować za pomocą technologii szyfrowania, archiwizowania, a nawet blokowania transmisji treści wiadomości e-mail na podstawie użytkowników, grup użytkowników, słów kluczowych i innych sposobów identyfikowania przesyłanych danych jako wrażliwych.
3. Śledź wycieki i straty danych
Kiedy już zrozumiesz, jakie typy danych użytkownicy wysyłają pocztą elektroniczną, prześledź je, aby ustalić, czy dochodzi do utraty i w jaki sposób.
Czy naruszenia mają miejsce wewnątrz firmy, czy w obrębie określonej grupy użytkowników? Czy wyciekają załączniki plików? Ustaw dodatkowe zasady, aby wyeliminować podstawowe luki w zabezpieczeniach.
4. Określ, czego potrzebujesz, aby egzekwować zasady
Posiadanie odpowiedniego rozwiązania umożliwiającego egzekwowanie zasad jest tak samo ważne jak same zasady. Aby spełnić wymogi regulacyjne, może być niezbędnych kilka rozwiązań zapewniających zgodność poczty elektronicznej.
Niektóre rozwiązania, które organizacje mogą wdrożyć, obejmują szyfrowanie, zapobieganie wyciekom danych (DLP), archiwizację wiadomości e-mail i ochronę antywirusową.
5. Edukuj użytkowników i pracowników
Skuteczna polityka zgodności z pocztą elektroniczną będzie koncentrować się na edukacji użytkowników i egzekwowaniu zasad dotyczących dopuszczalnego użytkowania.
Ponieważ niezamierzony błąd ludzki pozostaje najczęstszą przyczyną naruszeń danych, wiele przepisów wymaga szkolenia użytkowników w zakresie zachowań, które mogą potencjalnie prowadzić do takich naruszeń.
Użytkownicy i pracownicy będą mniej skłonni do stracenia czujności i popełniania błędów, jeśli zrozumieją prawidłowe korzystanie z poczty elektronicznej w miejscu pracy i konsekwencje nieprzestrzegania zasad oraz będą czuć się komfortowo, korzystając z odpowiednich technologii.
Chociaż żaden uniwersalny plan nie pomoże małym firmom w przestrzeganiu wszystkich przepisów, wykonanie tych pięciu kroków może pomóc Twojej firmie w opracowaniu skutecznej polityki zgodności z pocztą elektroniczną, która zapewni standardy bezpieczeństwa.
