El correo electrónico es un recurso de comunicación vital en el que muchas pequeñas empresas confían para enviar información confidencial, tanto dentro como fuera de la organización.
Pero la prevalencia del correo electrónico como herramienta comercial también lo hace susceptible de explotación y pérdida de datos. De hecho, las cuentas de correo electrónico representan el 35 por ciento de todos los incidentes de pérdida de datos entre las empresas, según un documento técnico de AppRiver, una empresa de seguridad cibernética.
$config[code] not foundLas violaciones de datos no siempre son el resultado de actividades maliciosas, como un intento de piratería. La mayoría de las veces, se producen debido a negligencia o supervisión simple de los empleados. (Los empleados son la causa principal de incidentes relacionados con la seguridad, según un documento de Wells Fargo).
En 2014, un empleado de la firma de corretaje de seguros Willis North America envió accidentalmente una hoja de cálculo con información confidencial a un grupo de empleados inscritos en el programa Healthy Rewards del plan médico de la compañía. Como resultado, Willis tuvo que pagar por dos años de protección contra el robo de identidad de las casi 5,000 personas afectadas por la violación.
En otro caso, también a partir de 2014, un empleado del Rady Children´s Hospital en San Diego envió erróneamente un correo electrónico con la información médica protegida de más de 20,000 pacientes a los solicitantes de empleo. (La empleada pensó que estaba enviando un archivo de capacitación para evaluar a los solicitantes).
El hospital envió cartas de notificación a las personas afectadas y trabajó con una empresa de seguridad externa para garantizar que se eliminaran los datos.
Estos y muchos otros incidentes similares apuntan a las vulnerabilidades del correo electrónico y subrayan la necesidad de que las empresas grandes y pequeñas aseguren, controlen y rastreen sus mensajes y archivos adjuntos dondequiera que los envíen.
Aquí hay cinco pasos, desde AppRiver, que las pequeñas empresas pueden seguir para simplificar la tarea de desarrollar estándares de cumplimiento de correo electrónico para salvaguardar la información confidencial.
Guía de cumplimiento de correo electrónico
1. Determine qué regulaciones se aplican y qué debe hacer
Comience preguntando: ¿Qué regulaciones se aplican a mi empresa? ¿Qué requisitos existen para demostrar el cumplimiento del correo electrónico? ¿Se superponen o entran en conflicto?
Una vez que entienda qué regulaciones se aplican, determine si necesita políticas diferentes para cubrirlas o solo una política integral.
Ejemplos de regulaciones que muchas empresas pequeñas encuentran:
- Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) - rige la transmisión de información de salud del paciente personalmente identificable;
- Ley Sarbanes-Oxley (S-OX) - requiere que las compañías establezcan controles internos para recopilar, procesar y reportar información financiera con precisión;
- Ley Gramm-Leach-Bliley (GLBA) - exige que las empresas implementen políticas y tecnologías para garantizar la seguridad y confidencialidad de los registros de los clientes cuando se transmiten y almacenan;
- Estándar de seguridad de información de tarjeta de pago (PCI) - exige la transmisión segura de los datos del titular de la tarjeta.
2. Identificar qué necesita proteger y establecer protocolos
Dependiendo de las regulaciones a las que esté sujeta su empresa, identifique los datos que se consideran confidenciales (números de tarjetas de crédito, registros electrónicos de salud o información de identificación personal) que se envían por correo electrónico.
Además, decida quién debe tener acceso para enviar y recibir dicha información. Luego, establezca políticas que pueda aplicar mediante el uso de tecnología para cifrar, archivar o incluso bloquear la transmisión de contenido de correo electrónico según los usuarios, grupos de usuarios, palabras clave y otros medios para identificar los datos transmitidos como confidenciales.
3. Seguimiento de fugas y pérdidas de datos
Una vez que entienda qué tipos de datos están enviando los usuarios por correo electrónico, realice un seguimiento para determinar si se está produciendo una pérdida y de qué manera.
¿Se producen infracciones dentro de la empresa o dentro de un grupo particular de usuarios? ¿Se están filtrando los archivos adjuntos? Establezca políticas adicionales para abordar sus vulnerabilidades principales.
4. Identifique lo que necesita para hacer cumplir la política
Tener la solución correcta para hacer cumplir su política es tan importante como la política en sí. Para satisfacer los requisitos reglamentarios, pueden ser necesarias varias soluciones para garantizar el cumplimiento del correo electrónico.
Algunas soluciones que las organizaciones pueden implementar incluyen cifrado, prevención de fuga de datos (DLP), archivo de correos electrónicos y protección antivirus.
5. Educar a los usuarios y empleados.
Una política efectiva de cumplimiento de correo electrónico se centrará en la educación del usuario y la aplicación de políticas para un uso aceptable.
Como el error humano no intencional sigue siendo la causa más común de la violación de datos, muchas regulaciones requieren la capacitación de los usuarios sobre comportamientos que podrían conducir a tales violaciones.
Es menos probable que los usuarios y empleados bajen la guardia y cometan errores cuando entiendan el uso correcto del correo electrónico en el lugar de trabajo y las consecuencias del incumplimiento y se sientan cómodos al usar las tecnologías apropiadas.
Si bien ningún plan de "talla única para todos" puede ayudar a las pequeñas empresas a cumplir con todas las regulaciones, seguir estos cinco pasos puede ayudar a su empresa a desarrollar una política de cumplimiento de correo electrónico efectiva que proteja los estándares de seguridad.
Enviar foto por correo electrónico a través de Shutterstock
1 comentario ▼
