Email er en vigtig kommunikationsressource, som mange små virksomheder stoler på at sende følsomme, fortrolige oplysninger både indenfor og uden for organisationen.
Men udbredelsen af e-mail som et forretningsværktøj gør det også modtageligt for udnyttelse og tab af data. Faktisk e-mail står for 35 procent af alle datatabsincidenter blandt virksomheder, ifølge et hvidbog fra AppRiver, et cybersikkerhedsfirma.
$config[code] not foundDatabrænkelser er ikke altid resultatet af ondsindet aktivitet, som f.eks. Et hackingforsøg. Oftest forekommer de på grund af simpel medarbejder uagtsomhed eller tilsyn. (Medarbejdere er den vigtigste årsag til sikkerhedsrelaterede hændelser, ifølge et Wells Fargo-hvidbog.)
I 2014 sendte en medarbejder hos forsikringsmæglerfirmaet Willis North America et regneark med fortrolige oplysninger til en medarbejdergruppe, der var indskrevet i firmaets sygesikringsplan. Som et resultat måtte Willis betale for to års identitetsstyveribeskyttelse for de næsten 5.000 mennesker, der var ramt af overtrædelsen.
I en anden instans, også fra 2014, sendte en medarbejder på Rady Børns Hospital i San Diego en e-mail, der indeholdt beskyttede sundhedsoplysninger fra mere end 20.000 patienter til jobsøgere. (Medarbejderen troede, at hun sendte en træningsfil for at vurdere ansøgerne.)
Sygehuset sendte besked til de berørte personer og arbejdede sammen med et eksternt sikkerhedsfirma for at sikre, at dataene blev slettet.
Disse og mange andre sådanne hændelser peger på e-mail sårbarheder og understreger behovet for virksomheder store og små til at sikre, kontrollere og spore deres meddelelser og vedhæftede filer, uanset hvor de sender dem.
Her er fem trin fra AppRiver, som små virksomheder kan følge for at forenkle opgaven med at udvikle e-mail-overholdelsesstandarder for at beskytte følsomme oplysninger.
Email Compliance Guide
1. Bestem hvilke regler der gælder, og hvad du skal gøre
Start med at spørge: Hvilke regler gælder for mit firma? Hvilke krav eksisterer for at demonstrere overholdelse af e-mail? Overlapper disse eller konflikter?
Når du har forstået, hvilke regler der gælder, skal du afgøre, om du har brug for forskellige politikker til at dække dem eller blot en samlet politik.
Eksempelregler, som små virksomheder støder på, er:
- Health Insurance Portability & Accountability Act (HIPAA) - regulerer overførsel af personligt identificerbare patientoplysninger
- Sarbanes-Oxley Act (S-OX) - kræver, at virksomheder etablerer interne kontroller for nøjagtigt at indsamle, behandle og rapportere finansielle oplysninger
- Gramm-Leach-Bliley Act (GLBA) - kræver, at virksomheder implementerer politik og teknologier for at sikre kundernes fortrolighed og fortrolighed ved overførsel og opbevaring
- Betalingskortinformationssikkerhedsstandarder (PCI) - mandat til sikker overførsel af kortindehaverdata.
2. Identificer, hvad der skal beskyttes og indstil protokoller
Afhængigt af de regler, som din virksomhed er underlagt, skal du identificere data, der anses for fortrolige - kreditkortnumre, elektroniske journaler eller personligt identificerbare oplysninger - sendes via e-mail.
Beslut også, hvem der skal have adgang til at sende og modtage sådanne oplysninger. Indstil derefter politikker, som du kan håndhæve ved hjælp af teknologi til at kryptere, arkivere eller endog blokere transmission af e-mailindhold baseret på brugere, brugergrupper, søgeord og andre midler til at identificere overførte data som følsomme.
3. Spor data lækage og tab
Når du har forstået, hvilke typer databrugere der sendes via e-mail, sporer du for at afgøre, om der opstår tab og på hvilke måder.
Er brud på forretninger eller inden for en bestemt gruppe af brugere? Er filer vedhæftede filer lækket? Indstil yderligere politikker til at løse dine centrale sårbarheder.
4. Identificer, hvad du skal håndhæve politik
At have den rigtige løsning til at håndhæve din politik er lige så vigtig som selve politikken. For at opfylde lovkrav kan flere løsninger være nødvendige for at sikre e-mail-overholdelse.
Nogle løsninger, som organisationer kan implementere, omfatter kryptering, data lækage forebyggelse (DLP), arkivering af e-mails og anti-virus beskyttelse.
5. Uddanne brugere og medarbejdere
En effektiv e-mail-overholdelsespolitik vil fokusere på brugeruddannelse og politisk håndhævelse for acceptabel brug.
Da utilsigtet menneskelig fejl fortsat er den mest almindelige årsag til overtrædelser af data, kræver mange forskrifter uddannelse af brugere om adfærd, der potentielt kan føre til sådanne overtrædelser.
Brugere og medarbejdere vil være mindre tilbøjelige til at lade deres vagt og gøre fejl, når de forstår ordentlig e-mailbrug på arbejdspladsen og konsekvenserne af manglende overholdelse og er komfortable ved at bruge passende teknologier.
Selv om ingen "one-size-fits-all" -planer kan hjælpe små virksomheder med at overholde alle regler, kan disse fem trin hjælpe dig med at udvikle en effektiv e-mail-overholdelsespolitik, der sikrer sikkerhedsstandarder.
Email-foto via Shutterstock
1 kommentar ▼
