البريد الإلكتروني هو مورد اتصال حيوي يعتمد عليه العديد من الشركات الصغيرة لإرسال معلومات حساسة وسرية داخل وخارج المؤسسة.
ولكن انتشار البريد الإلكتروني كأداة عمل يجعله عرضة للاستغلال وفقد البيانات. في الواقع ، حسابات البريد الإلكتروني تمثل 35 في المئة من جميع حوادث فقدان البيانات بين الشركات ، وفقا لورقة بيضاء من AppRiver ، وهي شركة أمن الإنترنت.
$config[code] not foundلا تكون انتهاكات البيانات دائمًا نتيجة لنشاط ضار ، مثل محاولة اختراق. في معظم الأحيان ، تحدث بسبب إهمال بسيط للموظفين أو الإشراف. (الموظفون هم السبب الرئيسي في الحوادث المتعلقة بالأمن ، وفقاً لصحيفة Wells Fargo البيضاء).
في عام 2014 ، قام موظف في شركة وساطة التأمين ويليس أمريكا الشمالية عن طريق الخطأ بإرسال بريد إلكتروني يحتوي على معلومات سرية إلى مجموعة من الموظفين المسجلين في برنامج المكافآت الصحية الخاص بخطة الشركة الطبية. ونتيجة لذلك ، اضطر ويليس لدفع عامين من الحماية ضد سرقة الهوية لحوالي 5000 شخص تضرروا من الانتهاك.
وفي حالة أخرى أيضًا ، من عام 2014 ، أرسل موظف في مستشفى الأطفال في سان دييغو رسالة بريد إلكتروني تحتوي على المعلومات الصحية المحمية لأكثر من 20،000 مريض إلى المتقدمين للوظائف. (ظن الموظف أنها كانت ترسل ملف تدريب لتقييم المتقدمين).
أرسلت المستشفى رسائل إشعار إلى الأفراد المتضررين وعملت مع شركة أمنية خارجية لضمان حذف البيانات.
تشير هذه الحوادث وغيرها الكثير إلى نقاط الضعف في البريد الإلكتروني وتؤكد على الحاجة إلى الشركات الكبيرة والصغيرة لتأمين رسائلها ومرفقاتها والتحكم فيها وتتبعها أينما ترسلها.
فيما يلي خمس خطوات ، من AppRiver ، يمكن للشركات الصغيرة اتباعها لتبسيط مهمة تطوير معايير امتثال البريد الإلكتروني لحماية المعلومات الحساسة.
دليل الامتثال عبر البريد الإلكتروني
1. تحديد ما هي اللوائح التي تطبق وماذا تحتاج إلى القيام به
ابدأ بالسؤال: ما هي اللوائح التي تنطبق على شركتي؟ ما هي المتطلبات الموجودة لإثبات امتثال البريد الإلكتروني؟ هل هذه التداخل أو الصراع؟
بمجرد فهم القواعد المطبقة ، حدد ما إذا كنت بحاجة إلى سياسات مختلفة لتغطية هذه السياسات أو مجرد سياسة شاملة واحدة.
تشمل اللوائح على سبيل المثال التي تشملها العديد من الأنشطة التجارية الصغيرة ما يلي:
- قانون تأمين ومساءلة التأمين الصحي (HIPAA) - يحكم نقل معلومات صحة المريض الشخصية ؛
- قانون ساربينز أوكسلي (S-OX) - يتطلب من الشركات وضع ضوابط داخلية لجمع المعلومات المالية ومعالجتها والإبلاغ عنها بدقة ؛
- قانون جرام-ليتش-بليلي (GLBA) - يطالب الشركات بتنفيذ السياسات والتكنولوجيات لضمان أمن وسرية سجلات العملاء عند الإرسال والتخزين ؛
- معايير أمن معلومات بطاقات الدفع (PCI) - يفرض النقل الآمن لبيانات حامل البطاقة.
2. تحديد ما تحتاجه حماية وتعيين البروتوكولات
اعتمادًا على اللوائح التي تخضع لها شركتك ، يتم إرسال البيانات التي تعتبر سرية - أرقام بطاقات الائتمان أو السجلات الصحية الإلكترونية أو معلومات التعريف الشخصية - عبر البريد الإلكتروني.
أيضًا ، حدد من يمكنه الوصول إلى إرسال هذه المعلومات واستلامها. ثم قم بتعيين السياسات التي يمكنك تطبيقها من خلال استخدام التقنية لتشفير أو أرشفة أو حتى حظر نقل محتوى البريد الإلكتروني استنادًا إلى المستخدمين ومجموعات المستخدمين والكلمات الرئيسية والوسائل الأخرى لتحديد البيانات المرسلة على أنها حساسة.
3. تتبع بيانات التسرب والخسائر
بمجرد فهم أنواع البيانات التي يرسلها المستخدمون عبر البريد الإلكتروني ، قم بالتتبع لتحديد ما إذا كانت الخسارة تحدث وبأي طريقة.
هل الخروقات تحدث داخل الشركة أو داخل مجموعة معينة من المستخدمين؟ هل يتم تسرب مرفقات الملفات؟ ضع سياسات إضافية لمعالجة نقاط الضعف الأساسية لديك.
4. تحديد ما تحتاجه لإنفاذ السياسة
إن امتلاك الحل الصحيح لفرض سياستك لا يقل أهمية عن السياسة نفسها. لتلبية المتطلبات التنظيمية ، قد تكون هناك عدة حلول ضرورية لضمان توافق البريد الإلكتروني.
تتضمن بعض الحلول التي يمكن أن تنفذها المؤسسات التشفير ، منع تسرب البيانات (DLP) ، أرشفة رسائل البريد الإلكتروني والحماية من الفيروسات.
5. تثقيف المستخدمين والموظفين
ستركز سياسة فعالة لتوافق البريد الإلكتروني على تعليم المستخدم وإنفاذ السياسة للاستخدام المقبول.
بما أن الخطأ البشري غير المقصود يظل السبب الأكثر شيوعًا لانتهاكات البيانات ، تتطلب العديد من اللوائح تدريب المستخدمين على السلوكيات التي من المحتمل أن تؤدي إلى مثل هذه الانتهاكات.
سيكون المستخدمون والموظفون أقل عرضة لترك حراسهم ويخطئون عندما يفهمون استخدام البريد الإلكتروني في مكان العمل المناسب وعواقب عدم الامتثال ويكونون مرتاحين باستخدام التقنيات المناسبة.
في حين أنه لا توجد خطة "مقاس واحد يناسب الجميع" يمكن أن تساعد الشركات الصغيرة على الامتثال لكل أنظمة ، فإن اتباع هذه الخطوات الخمس يمكن أن يساعد شركتك على تطوير سياسة فعالة لتوافق البريد الإلكتروني تضمن معايير الأمان.
البريد الإلكتروني الصورة عبر Shutterstock
1 تعليق ▼
