El correu electrònic és un recurs de comunicació vital que moltes empreses petites confien a enviar informació confidencial i confidencial tant dins com fora de l'organització.
Però la prevalença del correu electrònic com a eina comercial també la fa susceptible a l'explotació i la pèrdua de dades. De fet, el correu electrònic representa el 35 per cent de totes les incidències de pèrdua de dades entre empreses, segons un document blanc d'AppRiver, una empresa de seguretat cibernètica.
$config[code] not foundLes infraccions de dades no són sempre el resultat de l'activitat maliciosa, com ara un intent de pirateig. Molt sovint, es produeixen a causa de la simple negligència o supervisió dels empleats. (Els empleats són la causa principal d'incidents relacionats amb la seguretat, d'acord amb un document blanc de Wells Fargo).
El 2014, un empleat de la companyia d'assegurances Willis North America va enviar per correu accidental un full de càlcul que conté informació confidencial a un grup d'empleats inscrits al programa Healthy Rewards del pla mèdic de l'empresa. Com a resultat, Willis va haver de pagar dos anys de protecció contra robatori d'identitat per les gairebé 5.000 persones afectades per l'incompliment.
En un altre cas, també a partir del 2014, un empleat de l'Hospital Infantil Rady de San Diego va enviar erròniament un correu electrònic que conté informació de salut protegida de més de 20.000 pacients als sol licitants d'ocupació. (El treballador va pensar que enviava un arxiu d'entrenament per avaluar els sol·licitants).
L'hospital va enviar cartes de notificació als individus afectats i va treballar amb una empresa de seguretat externa per assegurar-se que les dades es van eliminar.
Aquests i molts altres incidents d'aquest tipus apunten a les vulnerabilitats de correu electrònic i subratllen la necessitat que les empreses grans i petites assegurin, controlin i rastrejar els seus missatges i adjunts allà on els envieu.
Aquí teniu cinc passos, des d'AppRiver, que les petites empreses poden seguir per simplificar la tasca de desenvolupar estàndards de compliment de correu electrònic per protegir la informació confidencial.
Guia de compliment de correu electrònic
1. Determineu quins reglaments s'apliquen i què cal fer
Comença preguntant: quines normes s'apliquen a la meva empresa? Quins requisits existeixen per demostrar el compliment del correu electrònic? Aquests solapaments o conflictes?
Un cop hàgiu entès quines normes s'apliquen, determineu si necessiteu polítiques diferents per cobrir-les o només una política completa.
Exemples de regulacions que inclouen moltes trobades entre empreses petites:
- Llei de portabilitat i responsabilitat de l'assegurança mèdica (HIPAA) - regula la transmissió d'informació de salut personal d'identificació personal;
- Llei Sarbanes-Oxley (S-OX) - requereix que les empreses estableixin controls interns per recollir, processar i informar informació financera amb precisió;
- Llei Gramm-Leach-Bliley (GLBA) - exigeix que les empreses implementin polítiques i tecnologies per assegurar la seguretat i la confidencialitat dels registres de clients quan es transmet i emmagatzemi;
- Normes de seguretat de la informació de la targeta de pagament (PCI) - exigeix la transmissió segura de dades del titular de la targeta.
2. Identificar el que necessita per protegir i establir protocols
Depenent de les regulacions que la vostra empresa està subjecta, identifiqui les dades que es consideren confidencials: números de targetes de crèdit, registres electrònics de salut o informació d'identificació personal, enviant-los per correu electrònic.
A més, decideixi qui ha de tenir accés per enviar i rebre aquesta informació. A continuació, configureu les polítiques que podeu aplicar mitjançant l'ús de la tecnologia per xifrar, arxivar o fins i tot bloquejar la transmissió de contingut de correu electrònic basat en usuaris, grups d'usuaris, paraules clau i altres mitjans d'identificació de les dades transmeses com a sensibles.
3. Seguiu les pèrdues i pèrdues de dades
Un cop hàgiu entès quins tipus d'usuaris de dades s'envien per correu electrònic, feu un seguiment per determinar si la pèrdua es produeix i de quina manera.
Es produeixen infraccions dins de l'empresa o dins d'un determinat grup d'usuaris? S'han filtrat els fitxers adjunts? Definiu polítiques addicionals per fer front a les vostres vulnerabilitats principals.
4. Identifiqueu el que necessiteu per complir la política
Tenir la solució adequada per fer complir la vostra política és tan important com la pròpia política. Per satisfer els requisits normatius, poden ser necessàries diverses solucions per garantir el compliment del correu electrònic.
Algunes de les solucions que poden implementar les organitzacions inclouen el xifratge, la prevenció de dades (DLP), l'arxivat de correus electrònics i la protecció antivirus.
5. Educar els usuaris i empleats
Una política efectiva de compliment de correu electrònic se centrarà en l'educació dels usuaris i l'aplicació de polítiques per a un ús acceptable.
Com que l'error humà involuntari continua sent la causa més comuna de les infraccions de dades, moltes regulacions requereixen la formació dels usuaris sobre conductes que potencialment podrien comportar aquestes infraccions.
Els usuaris i empleats tindran menys probabilitats de deixar la seva guàrdia i cometre errors quan entenen l'ús adequat del correu electrònic del lloc de treball i les conseqüències de l'incompliment i se senten còmodes utilitzant les tecnologies adequades.
Encara que cap pla "d'un sol ús" ajudi a les empreses petites a complir amb totes les regulacions, després d'aquests cinc passos, podeu ajudar al vostre negoci a desenvolupar una política efectiva de compliment de correu electrònic que garanteixi els estàndards de seguretat.
Correu electrònic foto a través de Shutterstock
1 comentari ▼
