Email là một tài nguyên truyền thông quan trọng mà nhiều doanh nghiệp nhỏ dựa vào để gửi thông tin nhạy cảm, bí mật cả trong và ngoài tổ chức.
Nhưng sự phổ biến của email như một công cụ kinh doanh cũng khiến nó dễ bị khai thác và mất dữ liệu. Trên thực tế, email chiếm 35 phần trăm tất cả các sự cố mất dữ liệu giữa các doanh nghiệp, theo một tờ giấy trắng từ AppRiver, một công ty bảo mật mạng.
$config[code] not foundVi phạm dữ liệu không phải lúc nào cũng là kết quả của hoạt động độc hại, chẳng hạn như một nỗ lực hack. Thông thường, chúng xảy ra do sơ suất hoặc giám sát nhân viên đơn giản. (Nhân viên là nguyên nhân hàng đầu của các sự cố liên quan đến an ninh, theo sách trắng Wells Fargo.)
Vào năm 2014, một nhân viên tại công ty môi giới bảo hiểm Willis North America đã vô tình gửi email một bảng tính chứa thông tin bí mật cho một nhóm nhân viên đăng ký tham gia chương trình y tế của chương trình. Do đó, Willis đã phải trả hai năm bảo vệ chống trộm danh tính cho gần 5.000 người bị ảnh hưởng do vi phạm.
Trong một trường hợp khác, cũng từ năm 2014, một nhân viên của Bệnh viện Rady Children ở San Diego đã gửi nhầm email có chứa thông tin sức khỏe được bảo vệ của hơn 20.000 bệnh nhân cho người xin việc. (Nhân viên nghĩ rằng cô ấy đang gửi một tập tin đào tạo để đánh giá các ứng viên.)
Bệnh viện đã gửi thư thông báo cho các cá nhân bị ảnh hưởng và làm việc với một công ty bảo mật bên ngoài để đảm bảo dữ liệu đã bị xóa.
Những sự cố này và nhiều sự cố khác như vậy chỉ ra các lỗ hổng của Email và nhấn mạnh sự cần thiết của các doanh nghiệp lớn và nhỏ để bảo mật, kiểm soát và theo dõi tin nhắn và tệp đính kèm của họ ở bất cứ nơi nào họ gửi chúng.
Dưới đây là năm bước, từ AppRiver, mà các doanh nghiệp nhỏ có thể làm theo để đơn giản hóa nhiệm vụ phát triển các tiêu chuẩn tuân thủ email để bảo vệ thông tin nhạy cảm.
Hướng dẫn tuân thủ email
1. Xác định những quy định áp dụng và những gì bạn cần làm
Bắt đầu bằng cách hỏi: Những quy định nào áp dụng cho công ty của tôi? Những yêu cầu tồn tại để chứng minh sự tuân thủ email? Làm những chồng chéo hoặc xung đột?
Khi bạn hiểu những quy định nào được áp dụng, hãy xác định xem bạn cần các chính sách khác nhau để chi trả cho chúng hay chỉ một chính sách toàn diện.
Ví dụ quy định mà các doanh nghiệp nhỏ gặp phải bao gồm:
- Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPAA) - chi phối việc truyền thông tin sức khỏe bệnh nhân nhận dạng cá nhân;
- Đạo luật Sarbanes-Oxley (S-OX) - yêu cầu các công ty thiết lập kiểm soát nội bộ để thu thập, xử lý và báo cáo thông tin tài chính một cách chính xác;
- Đạo luật Gramm-Leach-Bliley (GLBA) - yêu cầu các công ty thực hiện chính sách và công nghệ để đảm bảo tính bảo mật và bí mật của hồ sơ khách hàng khi truyền và lưu trữ;
- Tiêu chuẩn bảo mật thông tin thẻ thanh toán (PCI) - bắt buộc truyền dữ liệu chủ thẻ an toàn.
2. Xác định những gì cần bảo vệ và thiết lập giao thức
Tùy thuộc vào quy định công ty của bạn phải tuân theo, xác định dữ liệu được coi là bí mật - số thẻ tín dụng, hồ sơ sức khỏe điện tử hoặc thông tin nhận dạng cá nhân - được gửi qua email.
Ngoài ra, quyết định ai sẽ có quyền truy cập để gửi và nhận thông tin đó. Sau đó, thiết lập các chính sách mà bạn có thể thực thi thông qua việc sử dụng công nghệ để mã hóa, lưu trữ hoặc thậm chí chặn truyền nội dung email dựa trên người dùng, nhóm người dùng, từ khóa và các phương tiện khác để xác định dữ liệu được truyền là nhạy cảm.
3. Theo dõi rò rỉ dữ liệu
Khi bạn hiểu loại dữ liệu nào người dùng đang gửi qua email, hãy theo dõi để xác định xem có xảy ra mất mát hay không và theo những cách nào.
Là vi phạm diễn ra trong doanh nghiệp hoặc trong một nhóm người dùng cụ thể? Là tập tin đính kèm đang bị rò rỉ? Đặt chính sách bổ sung để giải quyết các lỗ hổng cốt lõi của bạn.
4. Xác định những gì bạn cần để thực thi chính sách
Có giải pháp phù hợp để thực thi chính sách của bạn cũng quan trọng như chính sách đó. Để đáp ứng các yêu cầu quy định, một số giải pháp có thể cần thiết để đảm bảo tuân thủ email.
Một số giải pháp mà các tổ chức có thể thực hiện bao gồm mã hóa, ngăn chặn rò rỉ dữ liệu (DLP), lưu trữ email và bảo vệ chống vi-rút.
5. Giáo dục người dùng và nhân viên
Chính sách tuân thủ email hiệu quả sẽ tập trung vào giáo dục người dùng và thực thi chính sách để sử dụng chấp nhận được.
Vì lỗi vô ý của con người vẫn là nguyên nhân phổ biến nhất của vi phạm dữ liệu, nhiều quy định yêu cầu đào tạo người dùng về các hành vi có khả năng dẫn đến các vi phạm đó.
Người dùng và nhân viên sẽ ít có khả năng cảnh giác và mắc lỗi khi họ hiểu cách sử dụng email tại nơi làm việc phù hợp và hậu quả của việc không tuân thủ và thoải mái sử dụng các công nghệ thích hợp.
Mặc dù không có kế hoạch phù hợp với tất cả các quy mô khác của Tử có thể giúp các doanh nghiệp nhỏ tuân thủ mọi quy định, nhưng sau năm bước này có thể giúp doanh nghiệp của bạn phát triển chính sách tuân thủ email hiệu quả nhằm bảo vệ các tiêu chuẩn bảo mật.
Email Ảnh qua Shutterstock
1 Nhận xét
