Email adalah sumber komunikasi penting yang diandalkan banyak bisnis kecil untuk mengirim informasi sensitif dan rahasia baik di dalam maupun di luar organisasi.
Tetapi prevalensi email sebagai alat bisnis juga membuatnya rentan terhadap eksploitasi dan kehilangan data. Bahkan, email menyumbang 35 persen dari semua insiden kehilangan data di antara perusahaan, menurut buku putih dari AppRiver, sebuah perusahaan keamanan siber.
$config[code] not foundPelanggaran data tidak selalu merupakan hasil dari aktivitas jahat, seperti upaya peretasan. Paling sering, mereka terjadi karena kelalaian atau pengawasan karyawan yang sederhana. (Karyawan adalah penyebab utama insiden terkait keamanan, menurut buku putih Wells Fargo.)
Pada tahun 2014, seorang karyawan di perusahaan pialang asuransi Willis North America secara tidak sengaja mengirim email spreadsheet yang berisi informasi rahasia kepada sekelompok karyawan yang terdaftar dalam program Imbalan Sehat rencana medis perusahaan. Akibatnya, Willis harus membayar selama dua tahun perlindungan pencurian identitas untuk hampir 5.000 orang yang terkena dampak pelanggaran tersebut.
Dalam contoh lain, juga mulai tahun 2014, seorang karyawan Rumah Sakit Anak Rady di San Diego secara keliru mengirim email berisi informasi kesehatan yang dilindungi dari lebih dari 20.000 pasien kepada pelamar pekerjaan. (Karyawan itu berpikir dia mengirim file pelatihan untuk mengevaluasi pelamar.)
Rumah sakit mengirim surat pemberitahuan kepada orang-orang yang terkena dampak dan bekerja dengan perusahaan keamanan luar untuk memastikan data dihapus.
Ini dan banyak insiden serupa lainnya menunjukkan kerentanan email dan menggarisbawahi perlunya bisnis besar dan kecil untuk mengamankan, mengontrol dan melacak pesan dan lampiran mereka di mana pun mereka mengirimnya.
Berikut adalah lima langkah, dari AppRiver, yang dapat diikuti oleh usaha kecil untuk menyederhanakan tugas mengembangkan standar kepatuhan email untuk melindungi informasi sensitif.
Panduan Kepatuhan Email
1. Tentukan Peraturan Apa yang Berlaku dan Apa yang Perlu Anda Lakukan
Mulailah dengan bertanya: Peraturan apa yang berlaku untuk perusahaan saya? Persyaratan apa yang ada untuk menunjukkan kepatuhan email? Apakah ini tumpang tindih atau konflik?
Setelah Anda memahami peraturan apa yang berlaku, tentukan apakah Anda memerlukan kebijakan berbeda untuk menutupinya atau hanya satu kebijakan komprehensif.
Contoh peraturan yang banyak ditemui usaha kecil meliputi:
- Portabilitas & Akuntabilitas Asuransi Kesehatan (HIPAA) - mengatur pengiriman informasi kesehatan pasien yang dapat diidentifikasi secara pribadi;
- Sarbanes-Oxley Act (S-OX) - mengharuskan perusahaan membuat kontrol internal untuk mengumpulkan, memproses, dan melaporkan informasi keuangan secara akurat;
- Gramm-Leach-Bliley Act (GLBA) - Menuntut agar perusahaan menerapkan kebijakan dan teknologi untuk memastikan keamanan dan kerahasiaan catatan pelanggan saat dikirim dan disimpan;
- Standar Keamanan Informasi Kartu Pembayaran (PCI) - mengamanatkan transmisi data pemegang kartu yang aman.
2. Identifikasi Apa yang Perlu Dilindungi dan Tetapkan Protokol
Bergantung pada peraturan yang dikenakan perusahaan Anda, identifikasi data yang dianggap rahasia - nomor kartu kredit, catatan kesehatan elektronik, atau informasi yang dapat diidentifikasi secara pribadi - dikirim melalui email.
Juga, putuskan siapa yang harus memiliki akses untuk mengirim dan menerima informasi tersebut. Kemudian, tetapkan kebijakan yang dapat Anda terapkan melalui penggunaan teknologi untuk mengenkripsi, mengarsipkan, atau bahkan memblokir transmisi konten email berdasarkan pengguna, grup pengguna, kata kunci, dan cara lain untuk mengidentifikasi data yang dikirimkan sebagai sensitif.
3. Lacak Kebocoran dan Kerugian Data
Setelah Anda memahami jenis data apa yang dikirim pengguna melalui email, lacak untuk menentukan apakah kehilangan terjadi dan dengan cara apa.
Apakah pelanggaran terjadi di dalam bisnis atau di dalam kelompok pengguna tertentu? Apakah lampiran file bocor? Tetapkan kebijakan tambahan untuk mengatasi kerentanan inti Anda.
4. Identifikasi Apa yang Anda Butuhkan untuk Menegakkan Kebijakan
Memiliki solusi yang tepat untuk menegakkan kebijakan Anda sama pentingnya dengan kebijakan itu sendiri. Untuk memenuhi persyaratan peraturan, beberapa solusi mungkin diperlukan untuk memastikan kepatuhan email.
Beberapa solusi yang dapat diterapkan oleh organisasi termasuk enkripsi, pencegahan kebocoran data (DLP), pengarsipan email dan perlindungan anti-virus.
5. Mendidik Pengguna dan Karyawan
Kebijakan kepatuhan email yang efektif akan fokus pada pendidikan pengguna dan penegakan kebijakan untuk penggunaan yang dapat diterima.
Karena kesalahan manusia yang tidak disengaja tetap menjadi penyebab paling umum dari pelanggaran data, banyak peraturan mengharuskan pelatihan pengguna tentang perilaku yang berpotensi menyebabkan pelanggaran semacam itu.
Pengguna dan karyawan akan cenderung untuk membiarkan pertahanan mereka turun dan membuat kesalahan ketika mereka memahami penggunaan email di tempat kerja yang tepat dan konsekuensi dari ketidakpatuhan dan merasa nyaman menggunakan teknologi yang tepat.
Meskipun tidak ada rencana "satu ukuran untuk semua" yang dapat membantu usaha kecil mematuhi setiap peraturan, mengikuti lima langkah ini dapat membantu bisnis Anda mengembangkan kebijakan kepatuhan email yang efektif yang melindungi standar keamanan.
Email Foto melalui Shutterstock
1 Komentar ▼