דוא"ל הוא משאב תקשורת חיוני כי עסקים קטנים רבים מסתמכים על לשלוח מידע רגיש, סודי הן בתוך הארגון והן מחוצה לו.
אבל השכיחות של דוא"ל ככלי עסקי גם עושה את זה רגישים לניצול ולאובדן נתונים. למעשה, אימייל מהווה 35% מכלל תקריות אובדן הנתונים בין ארגונים, על פי מאמר לבן של חברת AppRiver, חברת אבטחה מקוונת.
$config[code] not foundהפרות נתונים אינן תמיד תוצאה של פעילות זדונית, כגון ניסיון פריצה. לרוב, הם מתרחשים עקב רשלנות עובד פשוט או פיקוח. (העובדים הם הגורם המוביל לאירועים ביטחוניים, על פי נייר לבן של וולס פארגו).
בשנת 2014, עובד של חברת הביטוח עמילות ויליס צפון אמריקה בטעות בדוא"ל אלקטרוני המכיל מידע סודי לקבוצה של עובדים שנרשמו בתוכנית הרפואה של החברה תוכנית בריאותי Rewards. כתוצאה מכך, ויליס נאלץ לשלם במשך שנתיים של הגנה על גניבת זהות עבור כמעט 5,000 אנשים שנפגעו על ידי ההפרה.
במקרה אחר, גם מ 2014, עובד של בית החולים לילדים ראדי בסן דייגו שלח בטעות הודעת דוא"ל המכילה את המידע הבריאותי מוגן של יותר מ -20,000 חולים למבקשי עבודה. (העובדת חשבה שהיא שולחת קובץ הכשרה להערכת המועמדים).
בית החולים שלח מכתבי התראה לאנשים שנפגעו ועבד עם חברת אבטחה חיצונית כדי לוודא שהנתונים נמחקו.
מקרים אלה ורבים אחרים מצביעים על נקודות התורפה של הדוא"ל ומדגישים את הצורך בעסקים גדולים וקטנים כדי לאבטח, לשלוט ולעקוב אחר ההודעות והקבצים שלהם בכל מקום שבו הם שולחים אותם.
הנה חמישה צעדים, החל AppRiver, כי עסקים קטנים יכולים לעקוב כדי לפשט את המשימה של פיתוח תקני תאימות דוא"ל כדי להגן על מידע רגיש.
מדריך תאימות לדוא"ל
1. לקבוע מה החלים תקנות ומה אתה צריך לעשות
התחל לשאול: אילו תקנות חלות על החברה שלי? אילו דרישות קיימות כדי להוכיח תאימות לדוא"ל? האם אלה חופפים או מתנגשים?
ברגע שאתה מבין מה התקנות החלות, לקבוע אם אתה צריך מדיניות שונה כדי לכסות אותם או רק מדיניות מקיפה אחת.
הנהלים לדוגמה כי עסקים קטנים רבים נתקלים כוללים:
- ביטוח בריאות ניידות & דין וחשבון (HIPAA) - מסדיר את השידור של מידע אישי לבריאות המטופל;
- סרבנס-אוקסלי (S-OX) - מחייב כי חברות להקים בקרות פנימיות כדי לאסוף במדויק, לעבד ולדווח על מידע כספי;
- Gramm-Leach-Bliley Act (GLBA) - דורש מהחברות ליישם מדיניות וטכנולוגיות כדי להבטיח את האבטחה ואת הסודיות של רשומות הלקוח בעת העברת ואחסון;
- פרטי כרטיס אשראי פרטי אבטחה (PCI) - מחייב את שידור מאובטח של נתוני מחזיק הכרטיס.
2. זהה מה צריך להגן ולהגדיר פרוטוקולים
בהתאם לתקנות שהחברה שלך כפופה להן, זהה נתונים הנחשבים חסויים - מספרי כרטיסי אשראי, רשומות בריאות אלקטרוניות או מידע המאפשר זיהוי אישי - שנשלח בדוא"ל.
כמו כן, להחליט מי צריך גישה לשלוח ולקבל מידע כזה. לאחר מכן, קבע מדיניות שניתן לאכוף באמצעות שימוש בטכנולוגיה כדי להצפין, להעביר בארכיון או אפילו לחסום שידור של תוכן דוא"ל המבוסס על משתמשים, קבוצות משתמשים, מילות מפתח ואמצעים אחרים לזיהוי נתונים המועברים כרגישים.
3. מעקב אחר נתונים leaks ו הפסדים
לאחר שתבינו אילו סוגי נתונים משתמשים שולחים בדוא"ל, עקבו אחריכם כדי לקבוע אם ההפסד מתרחש ובאילו דרכים.
האם הפרות מתרחשות בתוך העסק או בתוך קבוצה מסוימת של משתמשים? האם קבצים מצורפים דולפים? קבע מדיניות נוספת לטיפול בפגיעויות הליבה שלך.
4. זהה את מה שאתה צריך לאכוף מדיניות
פתרון נכון לאכיפת המדיניות שלך חשוב באותה מידה כמו למדיניות עצמה. כדי לספק דרישות רגולטוריות, ייתכן שיהיה צורך במספר פתרונות כדי להבטיח תאימות לדוא"ל.
כמה פתרונות שארגונים יכולים ליישם כוללים הצפנה, מניעת דליפת נתונים (DLP), אחסון בארכיון של הודעות דוא"ל והגנה מפני וירוסים.
5. לחנך משתמשים ועובדים
מדיניות יעילה של תאימות לדוא"ל תתמקד בחינוך משתמשים ואכיפת מדיניות לשימוש מקובל.
מאחר ששגיאה אנושית לא מכוונת נותרת הסיבה השכיחה ביותר לפריצת נתונים, תקנות רבות מחייבות את הכשרת המשתמשים להתנהגויות העלולות להוביל להפרות כאלה.
משתמשים ועובדים יהיו פחות סביר להניח השומר שלהם ולעשות טעויות כאשר הם מבינים את השימוש הנכון דוא"ל העבודה ואת ההשלכות של אי תאימות נוח להשתמש בטכנולוגיות מתאימות.
אמנם אין תוכנית "בגודל אחד מתאים לכל" יכול לעזור לעסקים קטנים לציית לכל תקנה, בעקבות אלה חמישה שלבים יכול לעזור לעסק שלך לפתח מדיניות תאימות דוא"ל יעיל כי שמירה על תקני אבטחה.
תמונה דוא"ל באמצעות Shutterstock
1 הערה ▼
