E-mail is een essentieel communicatiemiddel waarop veel kleine bedrijven vertrouwen om gevoelige, vertrouwelijke informatie zowel binnen als buiten de organisatie te verzenden.
Maar de prevalentie van e-mail als een bedrijfsinstrument maakt het ook vatbaar voor exploitatie en gegevensverlies. In feite is e-mail goed voor 35 procent van alle gevallen van gegevensverlies bij bedrijven, volgens een white paper van AppRiver, een cyberbeveiligingsbedrijf.
$config[code] not foundDatalekken zijn niet altijd het gevolg van kwaadwillende activiteiten, zoals een hackpoging. Meestal zijn ze het gevolg van eenvoudige nalatigheid of onoplettendheid door de werknemer. (Medewerkers zijn de belangrijkste oorzaak van veiligheidsgerelateerde incidenten, volgens een witboek van Wells Fargo.)
In 2014 stuurde een medewerker van het verzekeringsmakelaarsbureau Willis North America per ongeluk een spreadsheet met vertrouwelijke informatie per e-mail naar een groep werknemers die deelnam aan het Healthy Rewards-programma van het medische plan van het bedrijf. Als gevolg hiervan moest Willis twee jaar identiteitsdiefstalbescherming betalen voor de bijna 5.000 mensen die door de overtreding werden getroffen.
In een ander geval, ook vanaf 2014, stuurde een medewerker van het Rady Kinderziekenhuis in San Diego ten onrechte een e-mail met de beschermde gezondheidsinformatie van meer dan 20.000 patiënten naar sollicitanten. (De medewerker dacht dat ze een trainingsbestand stuurde om de aanvragers te evalueren.)
Het ziekenhuis stuurde kennisgevingsbrieven naar de getroffen personen en werkte samen met een extern beveiligingsbedrijf om ervoor te zorgen dat de gegevens werden verwijderd.
Deze en vele andere dergelijke incidenten wijzen op de kwetsbaarheden van e-mail en onderstrepen de noodzaak voor grote en kleine bedrijven om hun berichten en bijlagen te beveiligen, te controleren en bij te houden, waar ze ook naartoe sturen.
Hier zijn vijf stappen, van AppRiver, die kleine bedrijven kunnen volgen om de taak te vereenvoudigen om e-mailnalevingsstandaarden te ontwikkelen om gevoelige informatie te beschermen.
Email Compliance Guide
1. Bepaal welke voorschriften van toepassing zijn en wat u moet doen
Begin met te vragen: welke regels zijn van toepassing op mijn bedrijf? Welke eisen zijn er om naleving van e-mail aan te tonen? Overlappen deze of zijn er conflicten?
Zodra u begrijpt welke regels van toepassing zijn, bepaalt u of u andere beleidsregels nodig hebt om ze te dekken of slechts één uitgebreid beleid.
Voorbeelden van voorschriften die kleine bedrijven veel tegenkomen zijn onder meer:
- Health Insurance Portability & Accountability Act (HIPAA) - regelt de overdracht van persoonlijk identificeerbare patiëntgezondheidsinformatie;
- Sarbanes-Oxley-wet (S-OX) - vereist dat bedrijven interne controles instellen om financiële informatie nauwkeurig te verzamelen, verwerken en rapporteren;
- Gramm-Leach-Bliley Act (GLBA) - eist dat bedrijven beleid en technologieën implementeren om de veiligheid en vertrouwelijkheid van klantendossiers te waarborgen bij verzending en opslag;
- Betaalkaart Informatiebeveiligingsnormen (PCI) - machtigt de veilige overdracht van kaarthoudergegevens.
2. Identificeer wat moet worden beschermd en stel protocollen in
Afhankelijk van de regels waaraan uw bedrijf onderhevig is, identificeert u gegevens die als vertrouwelijk worden beschouwd - creditcardnummers, elektronische medische dossiers of persoonlijk identificeerbare informatie - die via e-mail worden verzonden.
Bepaal ook wie toegang moet hebben tot het verzenden en ontvangen van dergelijke informatie. Stel vervolgens beleidsregels in die u kunt afdwingen door het gebruik van technologie om e-mailcontent te versleutelen, archiveren of zelfs blokkeren op basis van gebruikers, gebruikersgroepen, zoekwoorden en andere manieren om verzonden gegevens als gevoelig te identificeren.
3. Spoor datalekken en -verliezen op
Zodra u begrijpt welke soorten gegevens gebruikers via e-mail verzenden, volgt u om te bepalen of er verlies optreedt en op welke manieren.
Zijn er inbreuken binnen het bedrijf of binnen een bepaalde groep gebruikers? Zijn bestandsbijlagen gelekt? Stel aanvullend beleid in om uw belangrijkste kwetsbaarheden aan te pakken.
4. Identificeer wat u nodig hebt om beleid te handhaven
De juiste oplossing hebben om uw beleid te handhaven is net zo belangrijk als het beleid zelf. Om aan de wettelijke vereisten te voldoen, kunnen verschillende oplossingen nodig zijn om naleving van e-mail te garanderen.
Sommige oplossingen die organisaties kunnen implementeren, omvatten codering, datalekken (DLP), archivering van e-mails en antivirusbescherming.
5. Informeer gebruikers en werknemers
Een effectief beleid voor e-mailbeleid zal zich richten op gebruikerseducatie en beleidsafdwinging voor aanvaardbaar gebruik.
Aangezien onopzettelijke menselijke fouten de meest voorkomende oorzaak van datalekken blijven, vereisen veel voorschriften dat gebruikers worden getraind in gedrag dat mogelijk tot dergelijke schendingen kan leiden.
Gebruikers en werknemers zullen minder snel hun hoede laten en fouten maken wanneer zij het juiste e-mailgebruik op de werkplek en de gevolgen van niet-naleving begrijpen en vertrouwd zijn met het gebruik van geschikte technologieën.
Hoewel geen enkel 'one-size-fits-all'-plan kleine bedrijven kan helpen om aan elke regelgeving te voldoen, kan het volgen van deze vijf stappen ertoe bijdragen dat uw bedrijf een effectief beleid voor e-mailnaleving ontwikkelt dat de beveiligingsstandaarden bewaakt.
E-mail foto via Shutterstock
1 Reactie ▼
