Puestos

Incluso la empresa más experimentada y mejor preparada puede verse sorprendida por un compromiso del correo electrónico. Por eso es esencial crear un modelo eficaz de cumplimiento de la seguridad del correo electrónico.

¿Qué es el cumplimiento de la seguridad del correo electrónico?

La seguridad del correo electrónico es el proceso de supervisión, mantenimiento y aplicación de políticas y controles para garantizar la confidencialidad de las comunicaciones electrónicas. Esto puede hacerse mediante auditorías periódicas del correo electrónico o esfuerzos de supervisión continuos.

Toda organización debería tener un Modelo de Cumplimiento de Seguridad (MSC) documentado que describa sus políticas, procedimientos y actividades relacionadas con el cumplimiento de la seguridad del correo electrónico. Esto garantiza que no se produzcan violaciones de la comunicación dentro de su organización y ayuda a retener a los socios comerciales que pueden desconfiar de las empresas con malas prácticas de seguridad.

Entender la normativa de cumplimiento de la seguridad del correo electrónico para las empresas

Las leyes de cumplimiento de la seguridad del correo electrónico sirven de marco legal para garantizar la seguridad y la privacidad de la información almacenada en el correo electrónico. Estas leyes son aplicadas por varios gobiernos nacionales y son una preocupación creciente para las empresas de todas las formas y tamaños.

A continuación, hemos dado una breve visión de los requisitos impuestos a las empresas que manejan la comunicación por correo electrónico, junto con una visión general de los diversos marcos legales aplicables para cumplir con el cumplimiento de la seguridad del correo electrónico para su negocio.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

La Ley de Portabilidad y Responsabilidad de los Seguros Médicos(HIPAA) y las Normas de Seguridad para los Sistemas de Información Federales, 2ª Edición (SOC 2), FedRAMP y PCI DSS son normativas que exigen a las organizaciones proteger la privacidad y la seguridad de la información sanitaria protegida electrónicamente (ePHI). La ePHI es cualquier información que se transmite electrónicamente entre las entidades cubiertas o los asociados comerciales.

Las leyes exigen que las entidades cubiertas apliquen políticas, procedimientos y controles técnicos adecuados a la naturaleza de los datos que procesan, así como otras salvaguardias necesarias para llevar a cabo sus responsabilidades en virtud de la HIPAA y la SOC 2. Estas normativas se aplican a todas las entidades que transmiten o reciben PHI en formato electrónico en nombre de otra entidad; sin embargo, también se aplican a todos los asociados comerciales y otras entidades que reciben PHI de una entidad cubierta.

¿A qué empresas se aplica este reglamento?

Este reglamento se aplica a cualquier empresa que recoja, almacene o transmita información sanitaria protegida por vía electrónica. También se aplica a cualquier empresa que participe en el suministro de una historia clínica electrónica cubierta (eHealth Record) o de otros servicios sanitarios cubiertos por vía electrónica. Estas normas están diseñadas para proteger tanto la privacidad como la seguridad de los datos de los pacientes frente al acceso no autorizado de terceros.

b. GDPR

El Reglamento General de Protección de Datos (RGPD) es un reglamento aplicado por la Unión Europea. Está diseñado para proteger los datos personales de los ciudadanos de la UE, y ha sido calificado como "la ley de privacidad más importante en una generación".

El RGPD exige a las empresas que sean transparentes en cuanto al uso de los datos de los clientes, así como que proporcionen políticas claras sobre el manejo de esos datos. También exige a las empresas que revelen la información que recopilan y almacenan sobre los clientes, y que ofrezcan formas fáciles de acceder a esa información. Además, el RGPD prohíbe a las empresas utilizar los datos personales para fines distintos de aquellos para los que fueron recogidos.

¿A qué empresas se aplica este reglamento?

Se aplica a todas las empresas que recopilan datos en la UE y exige a las empresas el consentimiento explícito de las personas cuya información personal recopilan. El RGPD también conlleva multas en caso de incumplimiento, por lo que hay que ponerse las pilas antes de empezar a recopilar información personal.

c. CAN-SPAM

CAN-SPAM es una ley federal aprobada por el Congreso en 2003 que exige que los correos electrónicos comerciales incluyan cierta información sobre su origen, como la dirección física y el número de teléfono del remitente. La ley también exige que los mensajes comerciales incluyan una dirección de retorno, que debe ser una dirección dentro del dominio del remitente.

La Ley CAN-SPAM se actualizó posteriormente para incluir requisitos más estrictos para los correos electrónicos comerciales. Las nuevas normas exigen que los remitentes de correos electrónicos se identifiquen de forma clara y precisa, proporcionen una dirección de retorno legítima e incluyan un enlace para cancelar la suscripción en la parte inferior de cada correo electrónico.

¿A qué empresas se aplica este reglamento?

La Ley CAN-SPAM se aplica a todos los mensajes comerciales, incluidos los que envían las empresas a los consumidores y viceversa, siempre que cumplan ciertos requisitos. La normativa pretende proteger a las empresas del spam, que es cuando alguien envía un mensaje con la intención de que usted haga clic en un enlace o abra un archivo adjunto. La ley también protege a los consumidores del spam enviado por empresas que intentan venderles algo.

Cómo crear un modelo de cumplimiento de la seguridad del correo electrónico para su empresa

El modelo de cumplimiento de la seguridad del correo electrónico está diseñado para verificar que los servidores y las aplicaciones de correo electrónico de una organización cumplen con las leyes aplicables, las normas del sector y las directivas. El modelo ayuda a las organizaciones a establecer políticas y procedimientos que contemplen la recogida y protección de los datos de los clientes mediante la detección, prevención, investigación y reparación de posibles incidentes de seguridad.

A continuación, aprenderá a construir un modelo que ayude a la seguridad del correo electrónico, así como consejos y tecnologías avanzadas para ir más allá del cumplimiento.

1. Utilizar la pasarela de correo electrónico seguro

Una pasarela de seguridad de correo electrónico es una importante línea de defensa para proteger las comunicaciones por correo electrónico de su empresa. Ayuda a garantizar que sólo el destinatario previsto reciba el correo electrónico, y también bloquea el spam y los intentos de suplantación de identidad.

Puede utilizar la pasarela para gestionar el flujo de información entre su organización y sus clientes. Así como aprovechar funciones como el cifrado, que ayuda a proteger la información sensible enviada por correo electrónico cifrándola antes de que salga de un ordenador y descifrándola de camino a otro. Esto puede ayudar a evitar que los ciberdelincuentes puedan leer el contenido de los correos electrónicos o los archivos adjuntos enviados entre diferentes ordenadores o usuarios.

Una pasarela de correo electrónico segura también puede ofrecer funciones como el filtrado de spam y el archivado, todas ellas esenciales para mantener un ambiente organizado y conforme en su empresa.

2. Ejercer la protección posterior a la entrega

Hay varias maneras de construir un modelo de cumplimiento de la seguridad del correo electrónico para su empresa. El método más común es utilizar el modelo para identificar los riesgos potenciales y, a continuación, aplicar la protección posterior a la entrega (PDP) a esos riesgos.

La protección post-entrega es el proceso de verificar que un correo electrónico ha sido entregado a su destinatario. Esto incluye garantizar que el destinatario pueda iniciar sesión en su software de cliente de correo electrónico y comprobar si el mensaje ha llegado, así como confirmar que el correo electrónico no ha sido filtrado por los filtros de spam.

La protección posterior a la entrega puede lograrse disponiendo de una red o un servidor seguro donde se almacenen los correos electrónicos y encriptándolos antes de entregarlos a los destinatarios. Es importante tener en cuenta que sólo una persona autorizada debe tener acceso a estos archivos para que sólo ella pueda descifrarlos.

3. Aplicar tecnologías de aislamiento

Un modelo de cumplimiento de la seguridad del correo electrónico se construye aislando todos los puntos finales de sus usuarios y su tráfico web. Las tecnologías de aislamiento funcionan aislando todo el tráfico web de un usuario en un navegador seguro basado en la nube. Esto significa que los correos electrónicos enviados a través de la tecnología de aislamiento se cifran en el lado del servidor y se descifran en el lado del cliente en una estación "aislada".

Por lo tanto, ningún ordenador externo puede acceder a sus correos electrónicos, y no pueden descargar ningún programa o enlace malicioso. De este modo, aunque alguien haga clic en un enlace de un correo electrónico que contenga malware, éste no podrá infectar su ordenador o su red (ya que el enlace malicioso se abrirá en forma de sólo lectura).

Las tecnologías de aislamiento facilitan a las empresas el cumplimiento de normativas como PCI DSS e HIPAA mediante la implantación de soluciones de correo electrónico seguras que utilizan el cifrado basado en el host (HBE).

4. Crear filtros de spam eficaces

El filtrado del correo electrónico consiste en cotejar los mensajes de correo electrónico con una lista de reglas antes de entregarlos al sistema receptor. Las reglas pueden ser configuradas por los usuarios o automáticamente en base a ciertos criterios. El filtrado suele utilizarse para verificar que los mensajes enviados desde determinadas fuentes no son maliciosos ni tienen un contenido inesperado.

La mejor manera de crear un filtro de spam eficaz es analizar cómo los spammers utilizan técnicas que dificultan la detección de sus mensajes antes de que lleguen a las bandejas de entrada de los destinatarios. Este análisis debería ayudarle a desarrollar filtros que identifiquen el spam y eviten que llegue a la bandeja de entrada.

Afortunadamente, hay algunas soluciones disponibles (como DMARC) que automatizan gran parte de este proceso al permitir a las empresas definir reglas específicas para cada mensaje, de modo que sólo los que coinciden con esas reglas son procesados por los filtros.

5. Implementar protocolos de autenticación de correo electrónico

La página web DMARC es un paso importante para garantizar que sus usuarios reciban los mensajes que esperan de su empresa y que la información sensible nunca llegue a manos no deseadas.

Es un protocolo de autenticación de correo electrónico que permite a los propietarios de dominios rechazar los mensajes que no cumplen ciertos criterios. Se puede utilizar como una forma de prevenir el spam y el phishing, pero también es útil para evitar que se envíen correos electrónicos engañosos a sus clientes.

Si está construyendo un modelo de cumplimiento de la seguridad del correo electrónico para su empresa, necesita DMARC para ayudar a proteger su marca de ser empañada por correos electrónicos maliciosos enviados desde fuentes externas que pueden intentar suplantar el nombre o el dominio de la empresa para estafar a sus clientes fieles. .

Como cliente de una empresa con mensajes de correo electrónico con DMARC, puede estar seguro de que está recibiendo comunicaciones legítimas de la empresa.

6. Alinear la seguridad del correo electrónico con una estrategia global

La estrategia general de su programa de cumplimiento de la seguridad del correo electrónico es garantizar que su organización cumpla con todas las normativas gubernamentales pertinentes. Entre ellas se encuentran las normativas relacionadas con las siguientes áreas: identificaciones de remitentes, opt-ins, opt-outs y tiempo de procesamiento de solicitudes.

Para conseguirlo, hay que desarrollar un plan que aborde cada una de estas áreas por separado y luego integrarlas de manera que se apoyen mutuamente.

También debe considerar la posibilidad de diferenciar su estrategia de correo electrónico en las distintas regiones en función de las distintas políticas de cada una de ellas. Por ejemplo, en EE.UU. hay muchas normativas diferentes sobre el envío de spam que requieren medios de aplicación diferentes a los que se requieren en otros países como India o China, donde las normativas sobre el envío de spam son menos estrictas.

Consulte nuestra seguridad del correo electrónico corporativo para asegurar sus dominios y sistemas corporativos.

Creación de un modelo de cumplimiento de la seguridad del correo electrónico para su empresa: Pasos adicionales

  • Elabore un plan de recogida de datos que incluya los tipos de información que le gustaría recoger, la frecuencia con la que le gustaría recogerla y el tiempo que le llevaría recogerla
  • Formar a los empleados sobre cómo utilizar el correo electrónico de forma segura instituyendo políticas, procedimientos y módulos de formación sobre el uso adecuado del correo electrónico en su lugar de trabajo.
  • Evalúe sus actuales medidas de seguridad del correo electrónico para ver si están al día con las mejores prácticas del sector, y considere la posibilidad de actualizarlas si es necesario.
  • Determine qué tipo de datos de recursos humanos deben mantenerse privados o confidenciales y cómo se comunicarán a sus empleados, socios y proveedores, incluidos los terceros que participen en la creación de contenidos para su sitio web o canales de medios sociales.
  • Elabore una lista de todos los empleados que tienen acceso a información sensible/confidencial y desarrolle un plan para supervisar su uso de las herramientas de comunicación por correo electrónico.

¿Quién es el responsable del cumplimiento de la seguridad del correo electrónico en su empresa?

Gerentes de TI - El gerente de TI es responsable del cumplimiento general de la seguridad del correo electrónico de su organización. Son los que se aseguran de que se cumplan las políticas de seguridad de la empresa y de que todos los empleados hayan recibido formación al respecto.

Administradores de sistemas - Los administradores de sistemas son responsables de la instalación y configuración de los servidores de correo electrónico, así como de cualquier otra infraestructura de TI que pueda ser necesaria para el funcionamiento de un sistema de correo electrónico exitoso. Deben saber qué tipo de datos se almacenan, quién tiene acceso a ellos y cómo se van a utilizar.

Responsables de cumplimiento: son los encargados de garantizar que la empresa cumpla con todas las leyes relativas al cumplimiento de la seguridad del correo electrónico.

Empleados - Los empleados son responsables de seguir las políticas y procedimientos de seguridad del correo electrónico de la empresa, así como cualquier instrucción u orientación adicional de su gerente o supervisor.

Terceros proveedores de servicios: puede subcontratar la seguridad de su correo electrónico a terceros que le ahorrarán tiempo y dinero. Por ejemplo, un tercero DMARC, proveedor de servicios gestionados puede ayudarle a implantar sus protocolos en pocos minutos, gestionar y supervisar sus informes DMARC, solucionar errores y proporcionarle orientación experta para conseguir la conformidad fácilmente.

¿Cómo podemos contribuir a su viaje de cumplimiento de la seguridad del correo electrónico?

PowerDMARC, proporciona soluciones de seguridad de correo electrónico para empresas de todo el mundo, haciendo que su sistema de correo empresarial sea más seguro contra el phishing y la suplantación de identidad. .

Ayudamos a los propietarios de dominios a pasar a una infraestructura de correo electrónico compatible con DMARC con una política reforzada (p=rechazo) sin que se produzca ningún fallo en la capacidad de entrega. Nuestra solución viene con un período de prueba gratuito (sin necesidad de datos de la tarjeta) para que pueda probarla antes de tomar cualquier decisión a largo plazo. prueba de DMARC ahora.

El cumplimiento de la ciberseguridad es un área de creciente preocupación para muchas empresas. Es importante que su empresa conozca los requisitos y tenga un plan para lograr el cumplimiento.

El cumplimiento de la ciberseguridad implica lo siguiente:

  1. Realización de evaluaciones de riesgo en su empresa, incluidos los riesgos que plantean las amenazas externas, como los virus y el malware, y las amenazas internas, como el uso indebido de información confidencial por parte de personas internas.
  2. Crear un equipo de respuesta a incidentes que pueda responder rápidamente a cualquier incidente. También deben recibir formación sobre cómo responder a los ciberataques.
  3. Implementar un sistema de detección de intrusos que supervise la red y el tráfico de correo electrónico en busca de actividades no autorizadas, como un analizador DMARC.
  4. Desarrollar una sólida estrategia de ciberseguridad que incluya las mejores prácticas para el desarrollo de controles de seguridad y la formación de los empleados sobre cómo utilizarlos correctamente.

¿Qué es el cumplimiento de la ciberseguridad?

El cumplimiento de la ciberseguridad es un conjunto de normas que las empresas y organizaciones deben seguir para ser consideradas "conformes". Estas normas pueden variar en función del tipo de entidad u organización, pero generalmente incluyen políticas, procedimientos y controles que garantizan que una empresa se protege de los ciberataques.

Por ejemplo, si su organización utiliza el correo electrónico como modo de comunicación, necesita implementar protocolos de seguridad y autenticación de correo electrónico como DMARC para asegurar sus transacciones de correo electrónico y verificar las fuentes de envío. La falta de estos protocolos puede hacer que su dominio sea vulnerable a la falsificación de dominios, a los ataques de phishing y al ransomware. 

Una de las cosas más importantes que puede hacer para proteger su empresa es asegurarse de que sus prácticas de ciberseguridad están a la altura. No puede permitirse el lujo de ignorar las violaciones de la ciberseguridad: son la forma más fácil de que los hackers entren en su red y le causen graves daños.

Pero, ¿qué es exactamente el cumplimiento de la ciberseguridad?

El cumplimiento de la ciberseguridad es un conjunto de buenas prácticas que las empresas utilizan en sus operaciones diarias para asegurarse de que se están protegiendo de los ciberataques. Estas mejores prácticas incluyen:

  • Mantener una red segura
  • Mantener los sistemas parcheados y actualizados con parches de seguridad
  • Salvaguardar la información y los datos de los clientes
  • Salvaguardar sus propios datos y comunicaciones por correo electrónico 

¿Por dónde empezar con el cumplimiento de la ciberseguridad?

El primer paso para lograr el cumplimiento de la ciberseguridad es entender lo que se quiere conseguir.

¿Cuáles son sus objetivos? ¿Cuáles son las expectativas específicas de la organización o de la persona que gestiona el cumplimiento de la ciberseguridad? ¿Es para la propia empresa o para una entidad externa que podría ser una agencia gubernamental, una organización como la NSA o incluso un proveedor externo?

Si es para la propia empresa, tendrá que entender cómo funciona su organización y cómo interactúa con otras entidades. También querrá saber qué tipo de datos recogen y dónde los almacenan. Y si utilizan servicios en la nube como Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure u Oracle Cloud Platform (OCP), tendrá que averiguar si existen controles de seguridad en torno a esos servicios.

Si trabaja con una entidad externa, como una agencia gubernamental o un proveedor externo, querrá asegurarse de que conoce bien su organización y sus necesidades, así como su propio proceso de supervisión y respuesta a las amenazas. También querrá que estén familiarizados con los tipos de ataques que podrían producirse contra los sistemas de su empresa y cómo. 

Estrategia de cumplimiento de la ciberseguridad: Un plan en acción

Seguridad del correo electrónico

Empecemos por lo básico: Tienes que mantener tu sistema de correo electrónico seguro. Eso significa proteger el correo electrónico con una contraseña, aunque sea una sola para todo el sistema. Y debes asegurarte de que cualquier servicio externo que envíe o reciba correos electrónicos de tu organización también sea seguro y tenga los mismos requisitos de contraseña que tus sistemas internos.

El sistema de correo electrónico de su empresa es una parte fundamental de su negocio. Es la forma de conectar con los clientes potenciales, los clientes y los empleados, y de enviar actualizaciones y anuncios importantes.

Pero también es una de las partes más vulnerables de su empresa.

Así que si quiere asegurarse de que sus correos electrónicos permanecen privados y a salvo de los hackers, el cumplimiento de la ciberseguridad es una necesidad. Aquí tienes algunos consejos para asegurarte de que tus correos electrónicos están al día en el cumplimiento de la ciberseguridad:

  1. Asegúrate de utilizar el cifrado(SSL) cuando envíes información sensible por correo electrónico. Esto ayuda a garantizar que nadie pueda interceptar o leer lo que se envía entre tu ordenador y el dispositivo del destinatario.
  2. Establezca políticas de contraseñas para que todos los usuarios tengan contraseñas únicas que se cambien con regularidad y que nunca se utilicen en ningún otro servicio o aplicación en la misma cuenta o dispositivo del proveedor de servicios de correo electrónico (ESP).
  3. Habilitar la autenticación de dos factores (2FA) siempre que sea posible, de modo que sólo las personas autorizadas puedan acceder a las cuentas con la 2FA activada, e incluso sólo si otra persona con la 2FA ya activada les ha concedido el acceso.
  4. Proteja su dominio de correo electrónico contra la suplantación de identidad, el phishing, el ransomware, etc., aplicando protocolos de autenticación de correo electrónico como DMARC, SPFy DKIM
  5. Proteja sus correos electrónicos en tránsito de las miradas indiscretas de un atacante "man-in-the-middle" aplicando una transacción de correo electrónico cifrada por TLS con la ayuda de MTA-STS

La importancia del cumplimiento de la ciberseguridad

Hay muchas maneras en que una empresa puede no cumplir con la ciberseguridad. Por ejemplo, si su empresa tiene un cortafuegos anticuado, es posible que los hackers utilicen su sistema como punto de partida para sus ataques de malware. O si su red no está protegida por la autenticación de dos factores, podría correr el riesgo de que su sitio web sea hackeado. O si sus correos electrónicos no están autenticados, puede allanar el camino para ataques de suplantación de identidad y phishing. 

Es importante señalar que el cumplimiento de la normativa no protege contra todos los tipos de vectores de amenaza. Las soluciones de ciberseguridad pueden ayudar a las organizaciones a evitar que los piratas informáticos accedan a sus redes, a prevenir el robo de propiedad intelectual, a proteger activos físicos como ordenadores y servidores, a prevenir infecciones de malware que puedan restringir el acceso a sistemas o información críticos, a detectar el fraude en las transacciones de pago online y a detener otros ciberataques antes de que se produzcan.