Incluso la empresa más experimentada y mejor preparada puede verse sorprendida por un compromiso del correo electrónico. Por eso es esencial crear un modelo eficaz de cumplimiento de la seguridad del correo electrónico.
¿Qué es el cumplimiento de la seguridad del correo electrónico?
La seguridad del correo electrónico es el proceso de supervisión, mantenimiento y aplicación de políticas y controles para garantizar la confidencialidad de las comunicaciones electrónicas. Esto puede hacerse mediante auditorías periódicas del correo electrónico o esfuerzos de supervisión continuos.
Toda organización debería tener un Modelo de Cumplimiento de Seguridad (MSC) documentado que describa sus políticas, procedimientos y actividades relacionadas con el cumplimiento de la seguridad del correo electrónico. Esto garantiza que no se produzcan violaciones de la comunicación dentro de su organización y ayuda a retener a los socios comerciales que pueden desconfiar de las empresas con malas prácticas de seguridad.
Entender la normativa de cumplimiento de la seguridad del correo electrónico para las empresas
Las leyes de cumplimiento de la seguridad del correo electrónico sirven de marco legal para garantizar la seguridad y la privacidad de la información almacenada en el correo electrónico. Estas leyes son aplicadas por varios gobiernos nacionales y son una preocupación creciente para las empresas de todas las formas y tamaños.
A continuación, hemos dado una breve visión de los requisitos impuestos a las empresas que manejan la comunicación por correo electrónico, junto con una visión general de los diversos marcos legales aplicables para cumplir con el cumplimiento de la seguridad del correo electrónico para su negocio.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
La Ley de Portabilidad y Responsabilidad de los Seguros Médicos(HIPAA) y las Normas de Seguridad para los Sistemas de Información Federales, 2ª Edición (SOC 2), FedRAMP y PCI DSS son normativas que exigen a las organizaciones proteger la privacidad y la seguridad de la información sanitaria protegida electrónicamente (ePHI). La ePHI es cualquier información que se transmite electrónicamente entre las entidades cubiertas o los asociados comerciales.
Las leyes exigen que las entidades cubiertas apliquen políticas, procedimientos y controles técnicos adecuados a la naturaleza de los datos que procesan, así como otras salvaguardias necesarias para llevar a cabo sus responsabilidades en virtud de la HIPAA y la SOC 2. Estas normativas se aplican a todas las entidades que transmiten o reciben PHI en formato electrónico en nombre de otra entidad; sin embargo, también se aplican a todos los asociados comerciales y otras entidades que reciben PHI de una entidad cubierta.
¿A qué empresas se aplica este reglamento?
Este reglamento se aplica a cualquier empresa que recoja, almacene o transmita información sanitaria protegida por vía electrónica. También se aplica a cualquier empresa que participe en el suministro de una historia clínica electrónica cubierta (eHealth Record) o de otros servicios sanitarios cubiertos por vía electrónica. Estas normas están diseñadas para proteger tanto la privacidad como la seguridad de los datos de los pacientes frente al acceso no autorizado de terceros.
b. GDPR
El Reglamento General de Protección de Datos (RGPD) es un reglamento aplicado por la Unión Europea. Está diseñado para proteger los datos personales de los ciudadanos de la UE, y ha sido calificado como "la ley de privacidad más importante en una generación".
El RGPD exige a las empresas que sean transparentes en cuanto al uso de los datos de los clientes, así como que proporcionen políticas claras sobre el manejo de esos datos. También exige a las empresas que revelen la información que recopilan y almacenan sobre los clientes, y que ofrezcan formas fáciles de acceder a esa información. Además, el RGPD prohíbe a las empresas utilizar los datos personales para fines distintos de aquellos para los que fueron recogidos.
¿A qué empresas se aplica este reglamento?
Se aplica a todas las empresas que recopilan datos en la UE y exige a las empresas el consentimiento explícito de las personas cuya información personal recopilan. El RGPD también conlleva multas en caso de incumplimiento, por lo que hay que ponerse las pilas antes de empezar a recopilar información personal.
c. CAN-SPAM
CAN-SPAM es una ley federal aprobada por el Congreso en 2003 que exige que los correos electrónicos comerciales incluyan cierta información sobre su origen, como la dirección física y el número de teléfono del remitente. La ley también exige que los mensajes comerciales incluyan una dirección de retorno, que debe ser una dirección dentro del dominio del remitente.
La Ley CAN-SPAM se actualizó posteriormente para incluir requisitos más estrictos para los correos electrónicos comerciales. Las nuevas normas exigen que los remitentes de correos electrónicos se identifiquen de forma clara y precisa, proporcionen una dirección de retorno legítima e incluyan un enlace para cancelar la suscripción en la parte inferior de cada correo electrónico.
Para obtener más información sobre el cumplimiento legal y el derecho cibernético, considere la posibilidad de explorar recursos como Lawrina, que le ayudará a salvaguardar la información sensible y a adherirse a los marcos legales en evolución en materia de ciberseguridad.
¿A qué empresas se aplica este reglamento?
La Ley CAN-SPAM se aplica a todos los mensajes comerciales, incluidos los que envían las empresas a los consumidores y viceversa, siempre que cumplan ciertos requisitos. La normativa pretende proteger a las empresas del spam, que es cuando alguien envía un mensaje con la intención de que usted haga clic en un enlace o abra un archivo adjunto. La ley también protege a los consumidores del spam enviado por empresas que intentan venderles algo.
Cómo crear un modelo de cumplimiento de la seguridad del correo electrónico para su empresa
El modelo de cumplimiento de la seguridad del correo electrónico está diseñado para verificar que los servidores y las aplicaciones de correo electrónico de una organización cumplen con las leyes aplicables, las normas del sector y las directivas. El modelo ayuda a las organizaciones a establecer políticas y procedimientos que contemplen la recogida y protección de los datos de los clientes mediante la detección, prevención, investigación y reparación de posibles incidentes de seguridad.
A continuación, aprenderá a construir un modelo que ayude a la seguridad del correo electrónico, así como consejos y tecnologías avanzadas para ir más allá del cumplimiento.
1. Utilizar la pasarela de correo electrónico seguro
Una pasarela de seguridad de correo electrónico es una importante línea de defensa para proteger las comunicaciones por correo electrónico de su empresa. Ayuda a garantizar que sólo el destinatario previsto reciba el correo electrónico, y también bloquea el spam y los intentos de suplantación de identidad.
Puede utilizar la pasarela para gestionar el flujo de información entre su organización y sus clientes. Así como aprovechar funciones como el cifrado, que ayuda a proteger la información sensible enviada por correo electrónico cifrándola antes de que salga de un ordenador y descifrándola de camino a otro. Esto puede ayudar a evitar que los ciberdelincuentes puedan leer el contenido de los correos electrónicos o los archivos adjuntos enviados entre diferentes ordenadores o usuarios.
Una pasarela de correo electrónico segura también puede ofrecer funciones como el filtrado de spam y el archivado, todas ellas esenciales para mantener un ambiente organizado y conforme en su empresa.
2. Ejercer la protección posterior a la entrega
Hay varias maneras de construir un modelo de cumplimiento de la seguridad del correo electrónico para su empresa. El método más común es utilizar el modelo para identificar los riesgos potenciales y, a continuación, aplicar la protección posterior a la entrega (PDP) a esos riesgos.
La protección post-entrega es el proceso de verificar que un correo electrónico ha sido entregado a su destinatario. Esto incluye garantizar que el destinatario pueda iniciar sesión en su software de cliente de correo electrónico y comprobar si el mensaje ha llegado, así como confirmar que el correo electrónico no ha sido filtrado por los filtros de spam.
La protección posterior a la entrega puede lograrse disponiendo de una red o un servidor seguro donde se almacenen los correos electrónicos y encriptándolos antes de entregarlos a los destinatarios. Es importante tener en cuenta que sólo una persona autorizada debe tener acceso a estos archivos para que sólo ella pueda descifrarlos.
3. Aplicar tecnologías de aislamiento
Un modelo de cumplimiento de la seguridad del correo electrónico se construye aislando todos los puntos finales de sus usuarios y su tráfico web. Las tecnologías de aislamiento funcionan aislando todo el tráfico web de un usuario en un navegador seguro basado en la nube. Esto significa que los correos electrónicos enviados a través de la tecnología de aislamiento se cifran en el lado del servidor y se descifran en el lado del cliente en una estación "aislada".
Por lo tanto, ningún ordenador externo puede acceder a sus correos electrónicos, y no pueden descargar ningún programa o enlace malicioso. De este modo, aunque alguien haga clic en un enlace de un correo electrónico que contenga malware, éste no podrá infectar su ordenador o su red (ya que el enlace malicioso se abrirá en forma de sólo lectura).
Las tecnologías de aislamiento facilitan a las empresas el cumplimiento de normativas como PCI DSS e HIPAA mediante la implantación de soluciones de correo electrónico seguras que utilizan el cifrado basado en el host (HBE).
4. Crear filtros de spam eficaces
El filtrado del correo electrónico consiste en cotejar los mensajes de correo electrónico con una lista de reglas antes de entregarlos al sistema receptor. Las reglas pueden ser configuradas por los usuarios o automáticamente en base a ciertos criterios. El filtrado suele utilizarse para verificar que los mensajes enviados desde determinadas fuentes no son maliciosos ni tienen un contenido inesperado.
La mejor manera de crear un filtro de spam eficaz es analizar cómo los spammers utilizan técnicas que dificultan la detección de sus mensajes antes de que lleguen a las bandejas de entrada de los destinatarios. Este análisis debería ayudarle a desarrollar filtros que identifiquen el spam y eviten que llegue a la bandeja de entrada.
Afortunadamente, hay algunas soluciones disponibles (como DMARC) que automatizan gran parte de este proceso al permitir a las empresas definir reglas específicas para cada mensaje, de modo que sólo los que coinciden con esas reglas son procesados por los filtros.
5. Implementar protocolos de autenticación de correo electrónico
La página web DMARC es un paso importante para garantizar que sus usuarios reciban los mensajes que esperan de su empresa y que la información sensible nunca llegue a manos no deseadas.
Es un protocolo de autenticación de correo electrónico que permite a los propietarios de dominios rechazar los mensajes que no cumplen ciertos criterios. Se puede utilizar como una forma de prevenir el spam y el phishing, pero también es útil para evitar que se envíen correos electrónicos engañosos a sus clientes.
Si está construyendo un modelo de cumplimiento de la seguridad del correo electrónico para su empresa, necesita DMARC para ayudar a proteger su marca de ser empañada por correos electrónicos maliciosos enviados desde fuentes externas que pueden intentar suplantar el nombre o el dominio de la empresa para estafar a sus clientes fieles. .
Como cliente de una empresa con mensajes de correo electrónico con DMARC, puede estar seguro de que está recibiendo comunicaciones legítimas de la empresa.
6. Alinear la seguridad del correo electrónico con una estrategia global
La estrategia general de su programa de cumplimiento de la seguridad del correo electrónico es garantizar que su organización cumpla con todas las normativas gubernamentales pertinentes. Entre ellas se encuentran las normativas relacionadas con las siguientes áreas: identificaciones de remitentes, opt-ins, opt-outs y tiempo de procesamiento de solicitudes.
Para conseguirlo, hay que desarrollar un plan que aborde cada una de estas áreas por separado y luego integrarlas de manera que se apoyen mutuamente.
También debe considerar la posibilidad de diferenciar su estrategia de correo electrónico en las distintas regiones en función de las distintas políticas de cada una de ellas. Por ejemplo, en EE.UU. hay muchas normativas diferentes sobre el envío de spam que requieren medios de aplicación diferentes a los que se requieren en otros países como India o China, donde las normativas sobre el envío de spam son menos estrictas.
Consulte nuestra seguridad del correo electrónico corporativo para asegurar sus dominios y sistemas corporativos.
Creación de un modelo de cumplimiento de la seguridad del correo electrónico para su empresa: Pasos adicionales
- Elabore un plan de recogida de datos que incluya los tipos de información que le gustaría recoger, la frecuencia con la que le gustaría recogerla y el tiempo que le llevaría recogerla
- Forme a los empleados con software de formación sobre el cumplimiento de la normativa acerca de cómo utilizar el correo electrónico de forma segura mediante la institución de políticas, procedimientos y módulos de formación sobre el uso adecuado del correo electrónico en su lugar de trabajo.
- Evalúe sus actuales medidas de seguridad del correo electrónico para ver si están al día con las mejores prácticas del sector, y considere la posibilidad de actualizarlas si es necesario.
- Determine qué tipo de datos de recursos humanos deben mantenerse privados o confidenciales y cómo se comunicarán a sus empleados, socios y proveedores, incluidos los terceros que participen en la creación de contenidos para su sitio web o canales de medios sociales.
- Elabore una lista de todos los empleados que tienen acceso a información sensible/confidencial y desarrolle un plan para supervisar su uso de las herramientas de comunicación por correo electrónico.
¿Quién es el responsable del cumplimiento de la seguridad del correo electrónico en su empresa?
Gerentes de TI - El gerente de TI es responsable del cumplimiento general de la seguridad del correo electrónico de su organización. Son los que se aseguran de que se cumplan las políticas de seguridad de la empresa y de que todos los empleados hayan recibido formación al respecto.
Administradores de sistemas - Los administradores de sistemas son responsables de la instalación y configuración de los servidores de correo electrónico, así como de cualquier otra infraestructura de TI que pueda ser necesaria para el funcionamiento de un sistema de correo electrónico exitoso. Deben saber qué tipo de datos se almacenan, quién tiene acceso a ellos y cómo se van a utilizar.
Responsables de cumplimiento: son los encargados de garantizar que la empresa cumpla con todas las leyes relativas al cumplimiento de la seguridad del correo electrónico.
Empleados - Los empleados son responsables de seguir las políticas y procedimientos de seguridad del correo electrónico de la empresa, así como cualquier instrucción u orientación adicional de su gerente o supervisor.
Terceros proveedores de servicios - Puede externalizar la seguridad de su correo electrónico a terceros que le ahorrarán tiempo y dinero. Por ejemplo, un proveedor de servicios gestionados DMARC puede ayudarle a implantar sus protocolos en pocos minutos, gestionar y supervisar sus informes DMARC, solucionar errores y proporcionarle orientación experta para conseguir la conformidad fácilmente.
¿Cómo podemos contribuir a su viaje de cumplimiento de la seguridad del correo electrónico?
PowerDMARC, proporciona soluciones de seguridad de correo electrónico para empresas de todo el mundo, haciendo que su sistema de correo empresarial sea más seguro contra el phishing y la suplantación de identidad. .
Ayudamos a los propietarios de dominios a pasar a una infraestructura de correo electrónico compatible con DMARC con una política reforzada (p=rechazo) sin que se produzca ningún fallo en la capacidad de entrega. Nuestra solución viene con un período de prueba gratuito (sin necesidad de datos de la tarjeta) para que pueda probarla antes de tomar cualquier decisión a largo plazo. prueba de DMARC ahora.
- Aumentan las estafas fiscales y los ataques de suplantación de identidad de IRS por correo electrónico durante la temporada de impuestos - 2 de mayo de 2024
- Seguridad del correo electrónico 101 para combatir las criptoestafas - 30 de abril de 2024
- ¿Cómo encontrar el mejor proveedor de soluciones DMARC para su empresa? - 25 de abril de 2024