E-post er en viktig kommunikasjonsressurs som mange små bedrifter stoler på å sende sensitiv, konfidensiell informasjon både i og utenfor organisasjonen.
Men utbredelsen av e-post som et forretningsverktøy gjør det også utsatt for utnyttelse og tap av data. Faktisk er e-postmeldinger for 35 prosent av alle datatapshendelser blant bedrifter, ifølge et vitbok fra AppRiver, et sikkerhetsselskap for nettkunder.
$config[code] not foundData brudd er ikke alltid et resultat av ondsinnet aktivitet, for eksempel et hackingforsøk. Oftest forekommer de på grunn av enkel ansatt uaktsomhet eller tilsyn. (Ansatte er den viktigste årsaken til sikkerhetsrelaterte hendelser, ifølge et Wells Fargo-brev).
I 2014 sendte en ansatt hos forsikringsmeglerfirmaet Willis Nord-Amerika per e-post et regneark som inneholder konfidensiell informasjon til en gruppe medarbeidere som er inntatt i selskapets sykepleieprogram. Som et resultat måtte Willis betale for to års identitetstyveribeskyttelse for de nesten 5000 personer som ble rammet av bruddet.
I en annen tilfelle, også fra 2014, sendte en ansatt til Rady Children's Hospital i San Diego feilaktig en epost som inneholder beskyttet helseinformasjon fra over 20 000 pasienter til jobbsøkere. (Ansatte trodde hun sendte en treningsfil for å vurdere søkerne.)
Sykehuset sendte meldingsbrev til de berørte personer og arbeidet med et eksternt sikkerhetsfirma for å sikre at dataene ble slettet.
Disse og mange andre slike hendelser peker på e-post sårbarheter og understreker behovet for bedrifter som er store og små for å sikre, kontrollere og spore deres meldinger og vedlegg hvor de sender dem.
Her er fem trinn, fra AppRiver, som små bedrifter kan følge for å forenkle oppgaven med å utvikle e-compliance standarder for å sikre sensitiv informasjon.
Email Compliance Guide
1. Bestem hvilke regler som gjelder og hva du trenger å gjøre
Begynn med å spørre: Hvilke regler gjelder for mitt firma? Hvilke krav eksisterer for å demonstrere e-post compliance? Gjør disse overlapp eller konflikt?
Når du har forstått hvilke regler som gjelder, må du avgjøre om du trenger forskjellige retningslinjer for å dekke dem eller bare en omfattende policy.
Eksempelregler som små bedrifter møter mange er:
- Hivsforsikringsportabilitet og ansvarlig lov (HIPAA) - styrer overføring av personlig identifiserbar pasienthelseinformasjon
- Sarbanes-Oxley Act (S-OX) - krever at selskaper etablerer interne kontroller for nøyaktig å samle, behandle og rapportere finansiell informasjon
- Gramm-Leach-Bliley Act (GLBA) - krever at selskaper implementerer politikk og teknologi for å sikre sikkerhet og konfidensialitet av kundeoppføringer når de overføres og lagres
- Betalingskortets informasjonssikkerhetsstandarder (PCI) - mandater sikker overføring av kortinnehaver data.
2. Identifiser hvilke behov som skal beskyttes og sett protokoller
Avhengig av regelverket ditt firma er underlagt, identifiserer data som anses for å være konfidensielle - kredittkortnumre, elektroniske helsjournaler eller personlig identifiserbar informasjon - sendes via e-post.
Også bestemme hvem som skal ha tilgang til å sende og motta slik informasjon. Deretter angir du retningslinjer som du kan håndheve gjennom bruk av teknologi for å kryptere, arkivere eller til og med blokkere overføring av e-postinnhold basert på brukere, brukergrupper, søkeord og andre metoder for å identifisere overførte data som sensitive.
3. Spor data lekkasjer og tap
Når du forstår hvilke typer databrukere som sendes via e-post, sporer du for å finne ut om tapet oppstår og på hvilke måter.
Er brudd sted i virksomheten eller i en bestemt gruppe brukere? Er filvedlegg lekket? Angi flere retningslinjer for å håndtere dine kjerneproblemer.
4. Identifiser hva du trenger for å iverksette politikk
Å ha den riktige løsningen for å håndheve din policy er like viktig som selve policyen. For å tilfredsstille regulatoriske krav, kan det være nødvendig med flere løsninger for å sikre e-postoverensstemmelse.
Noen løsninger som organisasjoner kan implementere inkluderer kryptering, datalekkasjeforebygging (DLP), arkivering av e-post og anti-virusbeskyttelse.
5. Utdanne brukere og ansatte
En effektiv e-compliance-politikk vil fokusere på brukerutdanning og politisk håndheving for akseptabel bruk.
Ettersom utilsiktet menneskelig feil er den vanligste årsaken til databrudd, krever mange forskrifter opplæring av brukere om atferd som potensielt kan føre til slike brudd.
Brukere og ansatte vil være mindre tilbøyelige til å la dem vekte og gjøre feil når de forstår riktig e-postbruk på arbeidsplassen og konsekvensene av manglende overholdelse og er komfortable ved å bruke passende teknologier.
Selv om ingen "one-size-fits-all" -plan kan hjelpe små bedrifter til å overholde hver regel, kan disse fem trinnene hjelpe din bedrift til å utvikle en effektiv policy for e-compliance, som sikrer sikkerhetsstandarder.
E-postfoto via Shutterstock
1 Kommentar ▼