overholdelse af e-mail-sikkerheden

Selv den mest erfarne og velforberedte virksomhed kan blive overrasket af en kompromitteret e-mail. Derfor er det vigtigt at opbygge en effektiv model til overholdelse af e-mail-sikkerhedsreglerne.

Hvad er overholdelse af e-mail-sikkerheden?

E-mailsikkerhed overholdelse er processen med at overvåge, vedligeholde og håndhæve politikker og kontroller for at sikre fortroligheden af elektronisk kommunikation. Dette kan gøres ved hjælp af regelmæssige e-mail-revisioner eller løbende overvågningsindsatser.

Alle organisationer bør have en dokumenteret model for overholdelse af sikkerhedskrav (SCM), som beskriver deres politikker, procedurer og aktiviteter i forbindelse med overholdelse af e-mail-sikkerheden. Dette sikrer, at der ikke sker overtrædelser af kommunikationen i din organisation, og hjælper med at fastholde forretningspartnere, som måske er på vagt over for virksomheder med dårlig sikkerhedspraksis.

Forståelse af reglerne om overholdelse af e-mail-sikkerhed for virksomheder

Lovgivningen om overholdelse af e-mail-sikkerhedsreglerne tjener som en juridisk ramme for at sikre sikkerheden og privatlivets fred for de oplysninger, der er gemt i e-mail. Disse love håndhæves af forskellige nationale regeringer og er et voksende problem for virksomheder i alle former og størrelser.

Nedenfor har vi givet et kort overblik over de krav, der stilles til virksomheder, der håndterer e-mailkommunikation, sammen med et generelt overblik over de forskellige juridiske rammer, der skal overholdes for at opbygge en ordentlig overholdelse af e-mailsikkerheden for din virksomhed.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

Health Insurance Portability and Accountability Act(HIPAA) og Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP og PCI DSS er alle regler, der kræver, at organisationer beskytter privatlivets fred og sikkerheden af elektronisk beskyttede sundhedsoplysninger (ePHI). ePHI er alle oplysninger, der overføres elektronisk mellem omfattede enheder eller forretningsforbindelser.

Lovene kræver, at de omfattede enheder implementerer politikker, procedurer og tekniske kontroller, der passer til arten af de data, de behandler, samt andre sikkerhedsforanstaltninger, der er nødvendige for at udføre deres ansvar i henhold til HIPAA og SOC 2. Disse bestemmelser gælder for alle enheder, der overfører eller modtager PHI i elektronisk form på vegne af en anden enhed; de gælder dog også for alle forretningsforbindelser og andre enheder, der modtager PHI fra en omfattet enhed.

Hvilken virksomhed er omfattet af denne forordning?

Denne forordning gælder for alle virksomheder, der indsamler, opbevarer eller overfører PHI (Protected Health Information) elektronisk. Den gælder også for enhver virksomhed, der er involveret i levering af en dækket elektronisk sundhedsjournal (eHealth Record) eller andre dækkede sundhedstjenester elektronisk. Disse bestemmelser har til formål at beskytte både patienternes privatliv og patientdataenes sikkerhed mod uautoriseret adgang for tredjeparter.

b. GDPR

Den generelle forordning om databeskyttelse (GDPR) er en forordning, der er gennemført af EU. Den har til formål at beskytte EU-borgernes personoplysninger, og den er blevet kaldt "den vigtigste lov om beskyttelse af privatlivets fred i en generation".

GDPR kræver, at virksomheder skal være gennemsigtige med hensyn til, hvordan de bruger kundedata, og at de skal give klare politikker for, hvordan de håndterer disse data. Den kræver også, at virksomhederne oplyser, hvilke oplysninger de indsamler og opbevarer om kunderne, og at de tilbyder nemme måder, hvorpå enkeltpersoner kan få adgang til disse oplysninger. Desuden forbyder GDPR virksomheder at bruge personoplysninger til andre formål end dem, de blev indsamlet til.

Hvilken virksomhed er omfattet af denne forordning?

Den gælder for alle virksomheder, der indsamler data i EU, og den kræver, at virksomhederne skal have udtrykkeligt samtykke fra dem, hvis personlige oplysninger de indsamler. GDPR medfører også bøder ved manglende overholdelse, så du skal have styr på det, før du begynder at indsamle personlige oplysninger.

c. CAN-SPAM

CAN-SPAM er en føderal lov, som blev vedtaget af Kongressen i 2003, og som kræver, at kommercielle forretningsmails skal indeholde visse oplysninger om deres oprindelse, herunder afsenderens fysiske adresse og telefonnummer. Loven kræver også, at kommercielle meddelelser skal indeholde en returadresse, som skal være en adresse inden for afsenderens domæne.

CAN-SPAM-loven blev senere opdateret for at indføre strengere krav til kommercielle e-mails. De nye regler kræver, at afsendere af e-mails skal identificere sig selv klart og præcist, angive en legitim returadresse og inkludere et link til afmelding nederst i hver e-mail.

Hvilken virksomhed er omfattet af denne forordning?

CAN-SPAM-loven gælder for alle kommercielle meddelelser, herunder meddelelser, der sendes af virksomheder til forbrugere og omvendt, så længe de opfylder visse krav. Reglerne skal beskytte virksomheder mod spamming, dvs. når nogen sender en meddelelse med det formål at få dig til at klikke på et link eller åbne en vedhæftet fil. Loven beskytter også forbrugerne mod spam, der sendes af virksomheder, som forsøger at sælge dem noget.

Sådan opbygger du en model for overholdelse af e-mail-sikkerhedsreglerne for din virksomhed

Modellen for overholdelse af e-mail-sikkerheden er designet til at verificere, at en organisations servere og e-mail-applikationer overholder gældende love, industridækkende standarder og direktiver. Modellen hjælper organisationer med at etablere politikker og procedurer, der sørger for indsamling og beskyttelse af kundedata gennem detektion, forebyggelse, undersøgelse og afhjælpning af potentielle sikkerhedshændelser.

Nedenfor kan du lære, hvordan du opbygger en model, der hjælper med e-mail-sikkerheden, samt tips og avancerede teknologier, der går videre end overholdelse.

1. Brug Secure Email Gateway

En e-mail-sikkerhedsgateway er en vigtig forsvarslinje til beskyttelse af din virksomheds e-mail-kommunikation. Den er med til at sikre, at kun den tiltænkte modtager modtager e-mailen, og den blokerer også spam og phishingforsøg.

Du kan bruge gatewayen til at styre informationsstrømmen mellem din organisation og dens kunder. Du kan også udnytte funktioner som kryptering, der hjælper med at beskytte følsomme oplysninger, der sendes via e-mail, ved at kryptere dem, før de forlader en computer, og dekryptere dem på vej til en anden computer. Dette kan være med til at forhindre cyberkriminelle i at kunne læse indholdet af e-mails eller vedhæftede filer, der sendes mellem forskellige computere eller brugere.

En sikker e-mail-gateway kan også tilbyde funktioner som spamfiltrering og arkivering - som alle er vigtige for at opretholde en organiseret og lovlydig atmosfære i din virksomhed.

2. Udøvelse af beskyttelse efter leveringen

Der er flere måder at opbygge en model for overholdelse af e-mail-sikkerheden på for din virksomhed. Den mest almindelige metode er at bruge modellen til at identificere potentielle risici og derefter anvende Post-Delivery Protection (PDP) til at beskytte disse risici.

Beskyttelse efter levering er processen med at kontrollere, at en e-mail er blevet leveret til den tilsigtede modtager. Dette omfatter sikring af, at modtageren kan logge ind på sin e-mail-klient-software og tjekke, om beskeden er modtaget, samt bekræftelse af, at e-mailen ikke er blevet filtreret af spamfiltre.

Beskyttelse efter levering kan opnås ved at have et sikkert netværk eller en sikker server, hvor dine e-mails gemmes, og derefter kryptere dem, før de leveres til de tilsigtede modtagere. Det er vigtigt at bemærke, at kun en autoriseret person bør have adgang til disse filer, så de kun kan dekrypteres af dem.

3. Implementere isoleringsteknologier

En model til overholdelse af e-mail-sikkerheden er bygget op ved at isolere alle slutpunkter for dine brugere og deres webtrafik. Isolationsteknologier fungerer ved at isolere al brugerens webtrafik i en skybaseret sikker browser. Det betyder, at e-mails, der sendes via isolationsteknologi, krypteres på serversiden og dekrypteres på klientsiden i en "isoleret" station.

Derfor kan ingen eksterne computere få adgang til deres e-mails, og de kan ikke downloade skadelige programmer eller links. På denne måde kan malware ikke inficere deres computer eller netværk, selv hvis nogen klikker på et link i en e-mail, der indeholder malware (da det skadelige link åbnes i skrivebeskyttet form).

Isolationsteknologier gør det nemt for virksomheder at overholde regler som PCI DSS og HIPAA ved at implementere sikre e-mailløsninger, der anvender værtsbaseret kryptering (HBE).

4. Skab effektive spamfiltre

E-mail-filtrering indebærer, at e-mail-meddelelser kontrolleres i forhold til en liste over regler, før de leveres til det modtagende system. Reglerne kan oprettes af brugere eller automatisk på grundlag af bestemte kriterier. Filtrering bruges typisk til at kontrollere, at meddelelser, der sendes fra bestemte kilder, ikke er skadelige eller indeholder uventet indhold.

Den bedste måde at skabe et effektivt spamfilter på er ved at analysere, hvordan spammere bruger teknikker, der gør det svært at opdage deres meddelelser, før de når modtagernes indbakker. Denne analyse skal hjælpe dig med at udvikle filtre, der kan identificere spam og forhindre, at det når indbakken.

Heldigvis findes der nogle løsninger (som DMARC), der automatiserer en stor del af denne proces ved at give virksomheder mulighed for at definere specifikke regler for hver enkelt meddelelse, så kun de meddelelser, der matcher disse regler, bliver behandlet af filtrene.

5. Implementere protokoller til autentificering af e-mail

DMARC standarden er et vigtigt skridt i retning af at sikre, at dine brugere får de meddelelser, de forventer fra din virksomhed, og at følsomme oplysninger aldrig kommer i utilsigtede hænder.

Det er en protokol til godkendelse af e-mail, der gør det muligt for domæneejere at afvise meddelelser, der ikke opfylder visse kriterier. Dette kan bruges som en måde at forhindre spam og phishing på, men det er også nyttigt til at forhindre, at der sendes vildledende e-mails til dine kunder.

Hvis du er ved at opbygge en model til overholdelse af e-mail-sikkerhedsreglerne for din virksomhed, har du brug for DMARC for at beskytte dit brand mod at blive skæmmet af ondsindede e-mails sendt fra eksterne kilder, der kan forsøge at udgive sig for at være virksomhedens navn eller domæne for at snyde dine loyale kunder. .

Som kunde hos en virksomhed med DMARC-aktiverede e-mails kan du være sikker på, at du modtager lovlig kommunikation fra virksomheden.

6. Tilpas e-mailsikkerhed til en overordnet strategi

Den overordnede strategi for dit program for overholdelse af e-mail-sikkerhedsreglerne er at sikre, at din organisation overholder alle relevante statslige regler. Disse omfatter bestemmelser vedrørende følgende områder: afsender-id'er, opt-ins, opt-outs og behandlingstid for anmodninger.

For at opnå dette skal du udvikle en plan, der behandler hvert af disse områder separat og derefter integrerer dem på en sådan måde, at de understøtter hinanden.

Du bør også overveje at differentiere din e-mail-strategi på tværs af forskellige regioner baseret på de forskellige politikker, som de enkelte regioner har. I USA er der f.eks. mange forskellige regler for spamming, som kræver en anden implementering end i andre lande som Indien eller Kina, hvor reglerne for spamming er mindre strenge.

Tjek vores sikkerhed for virksomhedens e-mail tjekliste for at sikre dine virksomhedsdomæner og systemer.

Opbygning af en model for overholdelse af e-mail-sikkerhedsreglerne for din virksomhed: Yderligere trin

  • Udarbejd en plan for dataindsamling, der omfatter de typer af oplysninger, du gerne vil indsamle, hvor ofte du gerne vil indsamle dem, og hvor lang tid det skal tage at indsamle dem.
  • Træn medarbejderne i at bruge e-mail sikkert og forsvarligt ved at indføre politikker, procedurer og uddannelsesmoduler om korrekt brug af e-mail på arbejdspladsen.
  • Evaluer dine nuværende e-mailsikkerhedsforanstaltninger for at se, om de er opdateret med branchens bedste praksis, og overvej om nødvendigt at opgradere dem.
  • Bestem, hvilke personaledata der skal holdes private eller fortrolige, og hvordan de skal kommunikeres til dine medarbejdere, partnere og leverandører, herunder tredjeparter, der er involveret i at skabe indhold til dit websted eller dine sociale mediekanaler.
  • Lav en liste over alle medarbejdere, der har adgang til følsomme/fortrolige oplysninger, og udarbejd en plan for overvågning af deres brug af e-mail-kommunikationsværktøjer.

Hvem er ansvarlig for overholdelse af e-mail-sikkerheden i din virksomhed?

It-chefer - It-chefen er ansvarlig for den overordnede overholdelse af e-mailsikkerheden i deres organisation. Det er dem, der sørger for, at virksomhedens sikkerhedspolitikker bliver fulgt, og at alle medarbejdere er blevet uddannet i dem.

Sysadmins - Sysadmins er ansvarlige for at installere og konfigurere e-mail-servere samt enhver anden it-infrastruktur, der kan være nødvendig for at drive et velfungerende e-mail-system. De skal forstå, hvilken type data der gemmes, hvem der har adgang til dem, og hvordan de skal bruges.

Compliance Officers - De er ansvarlige for at sikre, at virksomheden overholder alle love vedrørende overholdelse af e-mail-sikkerhed.

Medarbejdere - Medarbejdere er ansvarlige for at følge virksomhedens politikker og procedurer for e-mail-sikkerhed samt eventuelle yderligere instruktioner eller vejledning fra deres leder eller supervisor.

Tredjepartstjenesteudbydere - Du kan outsource din e-mailsikkerhed til tredjeparter, hvilket sparer både tid og penge. En tredjepart kan f.eks. DMARC-administreret tjeneste udbyder kan hjælpe dig med at implementere dine protokoller på få minutter, administrere og overvåge dine DMARC-rapporter, fejlfinding og yde ekspertvejledning for nemt at opnå overholdelse.

Hvordan kan vi bidrage til din rejse til overholdelse af e-mail-sikkerhed?

PowerDMARC leverer e-mail-sikkerhedsløsninger til virksomheder over hele verden og gør dit mailing-system mere sikkert mod phishing og spoofing. .

Vi hjælper domæneejere med at skifte til en DMARC-kompatibel e-mailinfrastruktur med en håndhævet politik (p=reject) uden at miste leveringsmulighederne. Vores løsning leveres med en gratis prøveperiode (ingen kortoplysninger er nødvendige), så du kan afprøve den, før du træffer langsigtede beslutninger.Tag den DMARC-prøveperiode nu!

Nyeste indlæg af Ahona Rudra (se alle)