Anche l'azienda più esperta e preparata può essere colta di sorpresa da una compromissione delle e-mail. Ecco perché è essenziale costruire un modello di conformità efficace per la sicurezza delle e-mail.
Che cos'è la conformità alla sicurezza delle e-mail?
Sicurezza delle e-mail è il processo di monitoraggio, mantenimento e applicazione di politiche e controlli per garantire la riservatezza delle comunicazioni elettroniche. Ciò può essere fatto attraverso verifiche periodiche delle e-mail o sforzi di monitoraggio continui.
Ogni organizzazione dovrebbe avere un Modello di conformità alla sicurezza (SCM) documentato che delinei le politiche, le procedure e le attività relative alla conformità alla sicurezza delle e-mail. Questo garantisce che non si verifichino violazioni della comunicazione all'interno dell'organizzazione e aiuta a fidelizzare i partner commerciali che potrebbero diffidare delle aziende con pratiche di sicurezza inadeguate.
Comprendere le norme di conformità sulla sicurezza delle e-mail per le aziende
Le leggi sulla conformità della sicurezza delle e-mail costituiscono un quadro giuridico per garantire la sicurezza e la privacy delle informazioni memorizzate nelle e-mail. Queste leggi sono applicate da vari governi nazionali e rappresentano una preoccupazione crescente per le aziende di ogni forma e dimensione.
Di seguito, abbiamo fornito una breve panoramica dei requisiti imposti alle aziende che gestiscono le comunicazioni via e-mail, insieme a una panoramica generale dei vari quadri giuridici applicabili da rispettare per costruire una corretta conformità della sicurezza e-mail per la vostra azienda.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
L'Health Insurance Portability and Accountability Act(HIPAA) e gli standard di sicurezza per i sistemi informativi federali, 2a edizione (SOC 2), FedRAMP e PCI DSS sono tutte normative che impongono alle organizzazioni di proteggere la privacy e la sicurezza delle informazioni sanitarie protette elettronicamente (ePHI). Le ePHI sono tutte le informazioni trasmesse elettronicamente tra le entità coperte o i business associate.
Le leggi richiedono alle entità coperte di implementare politiche, procedure e controlli tecnici adeguati alla natura dei dati che trattano, nonché altre misure di salvaguardia necessarie per adempiere alle responsabilità previste dalla normativa HIPAA e SOC 2. Queste norme si applicano a tutte le entità che trasmettono o ricevono PHI in forma elettronica per conto di un'altra entità; tuttavia, si applicano anche a tutti i soci d'affari e ad altre entità che ricevono PHI da un'entità coperta.
A quali aziende si applica questo regolamento?
Questo regolamento si applica a tutte le aziende che raccolgono, archiviano o trasmettono PHI (Informazioni sanitarie protette) per via elettronica. Si applica inoltre a qualsiasi azienda coinvolta nella fornitura di una cartella clinica elettronica coperta (eHealth Record) o di altri servizi sanitari coperti per via elettronica. Queste norme sono state concepite per proteggere la privacy dei pazienti e la sicurezza dei loro dati da accessi non autorizzati da parte di terzi.
b. GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) è un regolamento attuato dall'Unione europea. È stato concepito per proteggere i dati personali dei cittadini dell'UE ed è stato definito "la legge sulla privacy più importante di una generazione".
Il GDPR richiede alle aziende di essere trasparenti su come utilizzano i dati dei clienti e di fornire politiche chiare su come li gestiscono. Richiede inoltre che le aziende rendano note le informazioni che raccolgono e conservano sui clienti e che offrano alle persone modi semplici per accedere a tali informazioni. Inoltre, il GDPR vieta alle aziende di utilizzare i dati personali per scopi diversi da quelli per cui sono stati raccolti.
A quali aziende si applica questo regolamento?
Si applica a tutte le aziende che raccolgono dati nell'UE e richiede che le aziende abbiano il consenso esplicito di coloro di cui raccolgono i dati personali. Il GDPR prevede anche sanzioni pecuniarie in caso di mancata conformità, quindi è necessario mettersi in regola prima di iniziare a raccogliere informazioni personali.
c. CAN-SPAM
La CAN-SPAM è una legge federale approvata dal Congresso nel 2003 che richiede che le e-mail commerciali includano alcune informazioni sulla loro origine, tra cui l'indirizzo fisico e il numero di telefono del mittente. La legge richiede inoltre che i messaggi commerciali includano un indirizzo di ritorno, che deve essere un indirizzo all'interno del dominio del mittente.
Il CAN-SPAM Act è stato successivamente aggiornato per includere requisiti più severi per le e-mail commerciali. Le nuove regole richiedono che i mittenti di e-mail si identifichino in modo chiaro e accurato, forniscano un indirizzo di ritorno legittimo e includano un link di cancellazione in fondo a ogni e-mail.
Per ulteriori informazioni sulla conformità legale e sulla cyber-legislazione, considerate l'opportunità di esplorare risorse come Lawrina, che vi aiuterà a salvaguardare le informazioni sensibili e ad aderire ai quadri legali in evoluzione in materia di cybersecurity.
A quali aziende si applica questo regolamento?
La legge CAN-SPAM si applica a tutti i messaggi commerciali, compresi quelli inviati dalle aziende ai consumatori e viceversa, purché rispettino determinati requisiti. Le norme hanno lo scopo di proteggere le aziende dallo spamming, ovvero quando qualcuno invia un messaggio con l'intenzione di farvi cliccare su un link o aprire un allegato. La legge protegge anche i consumatori dallo spam inviato dalle aziende che cercano di vendere loro qualcosa.
Come costruire un modello di conformità per la sicurezza delle e-mail per la vostra azienda
Il modello di conformità per la sicurezza delle e-mail è progettato per verificare che i server e le applicazioni e-mail di un'organizzazione siano conformi alle leggi, agli standard di settore e alle direttive applicabili. Il modello aiuta le organizzazioni a stabilire politiche e procedure che garantiscano la raccolta e la protezione dei dati dei clienti attraverso il rilevamento, la prevenzione, l'indagine e la risoluzione di potenziali incidenti di sicurezza.
Di seguito scoprirete come costruire un modello che aiuti a garantire la sicurezza delle e-mail, oltre a suggerimenti e tecnologie avanzate per andare oltre la conformità.
1. Utilizzare un gateway e-mail sicuro
Un gateway di sicurezza per le e-mail è un'importante linea di difesa per proteggere le comunicazioni e-mail della vostra azienda. Aiuta a garantire che solo il destinatario previsto riceva l'e-mail e blocca lo spam e i tentativi di phishing.
Potete utilizzare il gateway per gestire il flusso di informazioni tra la vostra organizzazione e i suoi clienti. Inoltre, è possibile sfruttare funzionalità come la crittografia, che aiuta a proteggere le informazioni sensibili inviate tramite e-mail, criptandole prima che lascino un computer e decriptandole durante il tragitto verso un altro computer. In questo modo si può evitare che i criminali informatici siano in grado di leggere il contenuto delle e-mail o degli allegati inviati tra computer o utenti diversi.
Un gateway di posta elettronica sicuro può anche fornire funzioni come il filtro antispam e l'archiviazione, tutti elementi essenziali per mantenere un'atmosfera organizzata e conforme nella vostra azienda.
2. Esercitare la protezione post-consegna
Esistono diversi modi per costruire un modello di conformità alla sicurezza delle e-mail per la vostra azienda. Il metodo più comune consiste nell'utilizzare il modello per identificare i rischi potenziali e quindi applicare la protezione post-consegna (PDP) a tali rischi.
La protezione post-consegna è il processo di verifica che un'e-mail sia stata consegnata al destinatario. Ciò include la garanzia che il destinatario possa accedere al proprio client di posta elettronica e verificare la presenza del messaggio, nonché la conferma che l'e-mail non sia stata filtrata dai filtri antispam.
La protezione post-consegna può essere ottenuta disponendo di una rete o di un server sicuro in cui vengono archiviate le e-mail e quindi criptandole prima che vengano consegnate ai destinatari. È importante notare che solo le persone autorizzate devono avere accesso a questi file, in modo che possano essere decifrati solo da loro.
3. Implementare le tecnologie di isolamento
Un modello di conformità per la sicurezza delle e-mail si basa sull'isolamento di tutti gli endpoint degli utenti e del loro traffico web. Le tecnologie di isolamento funzionano isolando tutto il traffico web di un utente in un browser sicuro basato su cloud. Ciò significa che le e-mail inviate attraverso la tecnologia di isolamento vengono crittografate sul lato server e decrittografate sul lato client in una stazione "isolata".
Pertanto, nessun computer esterno può accedere alle loro e-mail e non possono scaricare programmi o link dannosi. In questo modo, anche se qualcuno fa clic su un link contenuto in un'e-mail che contiene malware, il malware non sarà in grado di infettare il suo computer o la sua rete (poiché il link dannoso si aprirà in sola lettura).
Le tecnologie di isolamento consentono alle aziende di conformarsi facilmente a normative come PCI DSS e HIPAA, implementando soluzioni di posta elettronica sicure che utilizzano la crittografia basata su host (HBE).
4. Creare filtri antispam efficaci
Il filtraggio delle e-mail comporta la verifica dei messaggi di posta elettronica in base a un elenco di regole prima che vengano consegnati al sistema di ricezione. Le regole possono essere impostate dagli utenti o automaticamente in base a determinati criteri. Il filtraggio viene solitamente utilizzato per verificare che i messaggi inviati da determinate fonti non siano dannosi o contengano contenuti inaspettati.
Il modo migliore per creare un filtro antispam efficace è analizzare il modo in cui gli spammer utilizzano tecniche che rendono i loro messaggi difficili da individuare prima che raggiungano la posta in arrivo dei destinatari. Questa analisi dovrebbe aiutarvi a sviluppare filtri che identifichino lo spam e ne impediscano l'arrivo nella casella di posta.
Fortunatamente, sono disponibili alcune soluzioni (come il DMARC) che automatizzano gran parte di questo processo, consentendo alle aziende di definire regole specifiche per ogni messaggio, in modo che solo quelli che corrispondono a tali regole vengano elaborati dai filtri.
5. Implementare i protocolli di autenticazione delle e-mail
Il DMARC è un passo importante per garantire che i vostri utenti ricevano i messaggi che si aspettano dalla vostra azienda e che le informazioni sensibili non arrivino mai in mani indesiderate.
È un protocollo di autenticazione delle e-mail che consente ai proprietari di domini di rifiutare i messaggi che non soddisfano determinati criteri. Può essere utilizzato per prevenire lo spam e il phishing, ma è anche utile per impedire l'invio di e-mail ingannevoli ai vostri clienti.
Se state costruendo un modello di conformità per la sicurezza delle e-mail per la vostra azienda, avete bisogno di DMARC per proteggere il vostro marchio dall'essere macchiato da e-mail dannose inviate da fonti esterne che potrebbero tentare di impersonare il nome o il dominio dell'azienda per frodare i vostri clienti fedeli. .
I clienti di un'azienda con messaggi e-mail abilitati al DMARC possono essere certi di ricevere comunicazioni legittime dall'azienda.
6. Allineare la sicurezza delle e-mail a una strategia globale
La strategia generale del programma di conformità per la sicurezza delle e-mail consiste nel garantire che l'organizzazione sia conforme a tutte le normative governative pertinenti. Queste includono le normative relative alle seguenti aree: ID del mittente, opt-in, opt-out e tempi di elaborazione delle richieste.
Per raggiungere questo obiettivo, è necessario sviluppare un piano che affronti ciascuna di queste aree separatamente e poi le integri in modo che si sostengano a vicenda.
Dovreste anche prendere in considerazione la possibilità di differenziare la vostra strategia di posta elettronica tra le diverse regioni, in base alle politiche distinte di ciascuna di esse. Ad esempio, negli Stati Uniti esistono molte normative diverse in materia di spamming, che richiedono mezzi di implementazione diversi da quelli richiesti in altri Paesi, come l'India o la Cina, dove le normative sullo spamming sono meno severe.
Scoprite la nostra sicurezza delle e-mail aziendali per proteggere i domini e i sistemi aziendali.
Creare un modello di conformità alla sicurezza e-mail per la vostra azienda: Ulteriori passi
- Sviluppare un piano di raccolta dei dati che includa i tipi di informazioni che si desidera raccogliere, la frequenza con cui si desidera raccoglierle e il tempo necessario per farlo.
- Formare i dipendenti con un software di formazione sulla conformità su come utilizzare la posta elettronica in modo sicuro e protetto, istituendo politiche, procedure e moduli di formazione sull'uso corretto della posta elettronica sul posto di lavoro.
- Valutate le vostre attuali misure di sicurezza delle e-mail per verificare se sono aggiornate con le best practice del settore e, se necessario, valutate la possibilità di aggiornarle.
- Stabilite quali dati sulle risorse umane devono essere mantenuti privati o riservati e come saranno comunicati ai vostri dipendenti, partner e fornitori, comprese le terze parti coinvolte nella creazione di contenuti per il vostro sito web o i canali di social media.
- Creare un elenco di tutti i dipendenti che hanno accesso a informazioni sensibili/confidenziali e sviluppare un piano per monitorare il loro utilizzo degli strumenti di comunicazione via e-mail.
Chi è responsabile della conformità della sicurezza e-mail nella vostra azienda?
Responsabili IT - Il responsabile IT è responsabile della conformità generale della sicurezza delle e-mail della propria organizzazione. Sono loro che si assicurano che le politiche di sicurezza dell'azienda siano seguite e che tutti i dipendenti siano stati formati in merito.
sysadmin - I sysadmin sono responsabili dell'installazione e della configurazione dei server di posta elettronica e di qualsiasi altra infrastruttura IT necessaria per gestire un sistema di posta elettronica di successo. Devono capire che tipo di dati vengono archiviati, chi vi ha accesso e come vengono utilizzati.
Responsabili della conformità - Hanno la responsabilità di garantire che l'azienda sia conforme a tutte le leggi in materia di conformità della sicurezza delle e-mail.
Dipendenti - I dipendenti sono tenuti a seguire le politiche e le procedure di sicurezza della posta elettronica dell'azienda, nonché le istruzioni o le indicazioni aggiuntive del proprio manager o supervisore.
Fornitori di servizi terzi - Potete affidare la sicurezza della vostra e-mail a terzi che vi faranno risparmiare tempo e denaro. Ad esempio, un servizio di terze parti servizio gestito DMARC può aiutarvi a implementare i vostri protocolli in pochi minuti, a gestire e monitorare i rapporti DMARC, a risolvere gli errori e a fornire una guida esperta per ottenere facilmente la conformità.
Come possiamo contribuire al vostro percorso di conformità alla sicurezza delle e-mail?
PowerDMARC fornisce soluzioni per la sicurezza della posta elettronica alle aziende di tutto il mondo, rendendo il vostro sistema di mailing aziendale più sicuro contro il phishing e lo spoofing. .
Aiutiamo i proprietari di domini a passare a un'infrastruttura di posta elettronica conforme al DMARC, con una politica di rifiuto (p=reject) applicata senza alcuna perdita di deliverability. La nostra soluzione viene fornita con un periodo di prova gratuito (non sono necessari i dati della carta), in modo che possiate testarla prima di prendere qualsiasi decisione a lungo termine. prova DMARC ora!
