O email é um recurso de comunicação vital no qual muitas pequenas empresas confiam para enviar informações sigilosas confidenciais, tanto dentro como fora da organização.
Mas a prevalência do email como ferramenta de negócios também o torna suscetível a exploração e perda de dados. Na verdade, o e-mail responde por 35% de todos os incidentes de perda de dados entre empresas, de acordo com um white paper da AppRiver, uma empresa de segurança cibernética.
$config[code] not foundAs violações de dados nem sempre são o resultado de atividades maliciosas, como uma tentativa de invasão. Na maioria das vezes, eles ocorrem devido à simples negligência ou supervisão do funcionário. (Os funcionários são a principal causa de incidentes relacionados à segurança, de acordo com um white paper da Wells Fargo.)
Em 2014, um funcionário da corretora de seguros Willis North America enviou acidentalmente por e-mail uma planilha contendo informações confidenciais para um grupo de funcionários inscritos no programa Healthy Rewards do plano médico da empresa. Como resultado, Willis teve que pagar por dois anos de proteção contra roubo de identidade para as quase 5.000 pessoas afetadas pela violação.
Em outro caso, também a partir de 2014, um funcionário do Hospital Infantil Rady, em San Diego, enviou erroneamente um e-mail contendo as informações de saúde protegidas de mais de 20.000 pacientes para candidatos a emprego. (O funcionário pensou que ela estava enviando um arquivo de treinamento para avaliar os candidatos.)
O hospital enviou cartas de notificação aos indivíduos afetados e trabalhou com uma empresa de segurança externa para garantir que os dados fossem excluídos.
Esses e muitos outros incidentes desse tipo apontam para as vulnerabilidades dos e-mails e ressaltam a necessidade de empresas grandes ou pequenas protegerem, controlarem e rastrearem suas mensagens e anexos onde quer que eles os enviem.
Aqui estão cinco etapas, do AppRiver, que as pequenas empresas podem seguir para simplificar a tarefa de desenvolver padrões de conformidade de email para proteger informações confidenciais.
Guia de conformidade de e-mail
1. Determine quais regulamentos se aplicam e o que você precisa fazer
Comece perguntando: que regulamentos se aplicam à minha empresa? Quais são os requisitos para demonstrar a conformidade de email? Estes se sobrepõem ou conflitam?
Depois de entender quais regulamentos se aplicam, determine se você precisa de políticas diferentes para cobri-los ou apenas uma política abrangente.
Exemplo de regulamentações que as pequenas empresas muitas encontram incluem:
- Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) - rege a transmissão de informações de saúde do paciente pessoalmente identificáveis;
- Lei Sarbanes-Oxley (S-OX) - exige que as empresas estabeleçam controles internos para coletar, processar e reportar informações financeiras com precisão;
- Lei Gramm-Leach-Bliley (GLBA) - exige que as empresas implementem políticas e tecnologias para garantir a segurança e a confidencialidade dos registros do cliente quando transmitidos e armazenados;
- Padrões de segurança de informações de cartão de pagamento (PCI) - determina a transmissão segura dos dados do portador do cartão.
2. Identifique o que precisa proteger e definir protocolos
Dependendo das regulamentações a que sua empresa está sujeita, identifique os dados considerados confidenciais - números de cartão de crédito, registros eletrônicos de saúde ou informações de identificação pessoal - enviados por e-mail.
Além disso, decida quem deve ter acesso para enviar e receber essas informações. Em seguida, defina políticas que você pode impor por meio do uso da tecnologia para criptografar, arquivar ou até bloquear a transmissão de conteúdo de e-mail com base em usuários, grupos de usuários, palavras-chave e outros meios de identificação de dados transmitidos como confidenciais.
3. Rastrear vazamentos e perdas de dados
Depois de entender quais tipos de dados os usuários estão enviando por email, rastreie para determinar se a perda está ocorrendo e de que maneira.
As violações ocorrem dentro da empresa ou dentro de um determinado grupo de usuários? Os anexos de arquivo estão sendo vazados? Defina políticas adicionais para lidar com suas principais vulnerabilidades.
4. Identifique o que você precisa para aplicar a política
Ter a solução certa para impor sua política é tão importante quanto a própria política. Para satisfazer os requisitos regulamentares, várias soluções podem ser necessárias para garantir a conformidade com o email.
Algumas soluções que as organizações podem implementar incluem criptografia, prevenção de vazamento de dados (DLP), arquivamento de e-mails e proteção antivírus.
5. Educar Usuários e Empregados
Uma política de conformidade de e-mail eficaz se concentrará na educação do usuário e na aplicação de políticas para uso aceitável.
Como o erro humano não intencional continua sendo a causa mais comum de violações de dados, muitos regulamentos exigem o treinamento de usuários em comportamentos que poderiam levar a tais violações.
Usuários e funcionários terão menos probabilidade de baixar a guarda e cometer erros quando entenderem o uso adequado do e-mail no local de trabalho e as conseqüências da não conformidade e se sentirem confortáveis usando as tecnologias apropriadas.
Embora nenhum plano de “tamanho único” possa ajudar as pequenas empresas a cumprir todos os regulamentos, seguir essas cinco etapas pode ajudar sua empresa a desenvolver uma política de conformidade de e-mail eficaz que proteja os padrões de segurança.
Email Foto via Shutterstock
1 comentário ▼
