Zelfs de meest ervaren en goed voorbereide onderneming kan overvallen worden door een e-mailcompromis. Daarom is het van essentieel belang om een effectief model voor de naleving van e-mailbeveiliging op te zetten.
Wat is e-mailbeveiligingsnaleving?
Beveiliging van e-mail Naleving is het proces van bewaking, handhaving en handhaving van beleidslijnen en controles om de vertrouwelijkheid van elektronische communicatie te waarborgen. Dit kan gebeuren via regelmatige e-mailaudits of voortdurende controle-inspanningen.
Elke organisatie zou een gedocumenteerd Security Compliance Model (SCM) moeten hebben waarin het beleid, de procedures en de activiteiten met betrekking tot de naleving van e-mailbeveiliging zijn vastgelegd. Dit zorgt ervoor dat er binnen uw organisatie geen schendingen van de communicatie plaatsvinden en helpt bij het behouden van zakenpartners die op hun hoede kunnen zijn voor bedrijven met slechte beveiligingspraktijken.
Inzicht in de regelgeving voor de naleving van e-mailbeveiliging voor bedrijven
Wetten inzake de beveiliging van e-mail dienen als juridisch kader om de veiligheid en privacy van de in e-mail opgeslagen informatie te waarborgen. Deze wetten worden afgedwongen door verschillende nationale overheden en zijn een groeiende bron van zorg voor bedrijven van alle soorten en maten.
Hieronder hebben wij een kort overzicht gegeven van de eisen die worden gesteld aan bedrijven die e-mailcommunicatie verzorgen, samen met een algemeen overzicht van de verschillende wettelijke kaders waaraan moet worden voldaan om een goede e-mailbeveiligingsnaleving voor uw bedrijf op te bouwen.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
De Health Insurance Portability and Accountability Act(HIPAA) en de Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP en PCI DSS zijn alle voorschriften die organisaties verplichten de privacy en veiligheid van elektronisch beschermde gezondheidsinformatie (ePHI) te beschermen. ePHI is alle informatie die elektronisch wordt verzonden tussen de betrokken entiteiten of zakenpartners.
De wetgeving schrijft voor dat de betrokken entiteiten beleidslijnen, procedures en technische controles toepassen die zijn afgestemd op de aard van de gegevens die zij verwerken, alsmede andere waarborgen die nodig zijn om hun verantwoordelijkheden uit hoofde van de HIPAA en SOC 2 na te komen. Deze voorschriften zijn van toepassing op alle entiteiten die namens een andere entiteit PHI in elektronische vorm verzenden of ontvangen; zij zijn echter ook van toepassing op alle business associates en andere entiteiten die PHI van een gedekte entiteit ontvangen.
Op welke bedrijven is deze verordening van toepassing?
Deze verordening is van toepassing op elk bedrijf dat PHI (Protected Health Information) elektronisch verzamelt, opslaat of overdraagt. Zij is ook van toepassing op alle bedrijven die betrokken zijn bij de elektronische verstrekking van een gedekt elektronisch patiëntendossier (eHealth Record) of andere gedekte diensten op het gebied van de gezondheidszorg. Deze voorschriften zijn bedoeld om zowel de privacy van patiënten als de beveiliging van patiëntengegevens tegen ongeoorloofde toegang door derden te beschermen.
b. GDPR
De Algemene Verordening Gegevensbescherming (GDPR) is een verordening die door de Europese Unie ten uitvoer is gelegd. De verordening is bedoeld om de persoonsgegevens van EU-burgers te beschermen, en wordt "de belangrijkste privacywet in een generatie" genoemd.
GDPR verplicht bedrijven transparant te zijn over hoe zij klantgegevens gebruiken en een duidelijk beleid te voeren over hoe zij met die gegevens omgaan. Ook moeten bedrijven bekendmaken welke informatie zij over klanten verzamelen en opslaan, en moeten zij personen eenvoudige manieren bieden om toegang tot die informatie te krijgen. Bovendien verbiedt GDPR bedrijven persoonsgegevens te gebruiken voor andere doeleinden dan die waarvoor ze zijn verzameld.
Op welke bedrijven is deze verordening van toepassing?
Het is van toepassing op alle bedrijven die gegevens verzamelen in de EU, en het vereist dat bedrijven expliciete toestemming hebben van degenen van wie ze persoonlijke informatie verzamelen. GDPR brengt ook boetes met zich mee voor niet-naleving, dus u moet uw eendjes op een rij zetten voordat u begint met het verzamelen van persoonlijke informatie.
c. CAN-SPAM
CAN-SPAM is een federale wet die in 2003 door het Congres is aangenomen en die voorschrijft dat commerciële zakelijke e-mailberichten bepaalde informatie over de herkomst ervan moeten bevatten, waaronder het fysieke adres en het telefoonnummer van de afzender. De wet schrijft ook voor dat commerciële berichten een retouradres moeten bevatten, dat een adres moet zijn binnen het domein van de afzender.
De CAN-SPAM Act werd later bijgewerkt en bevat nu strengere voorschriften voor commerciële e-mails. De nieuwe regels schrijven voor dat e-mailverzenders zich duidelijk en nauwkeurig moeten identificeren, een legitiem retouradres moeten vermelden en onderaan elke e-mail een link moeten opnemen om zich uit te schrijven.
Voor meer informatie over naleving van de wet en cyberwetgeving kun je bronnen zoals Lawrina raadplegen, die je helpen gevoelige informatie te beschermen en te voldoen aan de veranderende wettelijke kaders op het gebied van cyberbeveiliging.
Op welke bedrijven is deze verordening van toepassing?
De CAN-SPAM Act is van toepassing op alle commerciële berichten, ook die welke door bedrijven aan consumenten worden gestuurd en vice versa, zolang zij aan bepaalde eisen voldoen. De voorschriften zijn bedoeld om bedrijven te beschermen tegen spamming, wat betekent dat iemand een bericht verstuurt met de bedoeling u op een link te laten klikken of een bijlage te laten openen. De wet beschermt consumenten ook tegen spam die wordt verstuurd door bedrijven die hun iets proberen te verkopen.
Hoe u een model voor de naleving van e-mailbeveiliging voor uw bedrijf kunt opstellen
Het e-mailbeveiligingscompliancemodel is ontworpen om te controleren of de servers en e-mailtoepassingen van een organisatie voldoen aan de toepasselijke wetten, industrienormen en richtlijnen. Het model helpt organisaties beleidslijnen en procedures vast te stellen die voorzien in het verzamelen en beschermen van klantgegevens door middel van het opsporen, voorkomen, onderzoeken en verhelpen van potentiële beveiligingsincidenten.
Hieronder leest u hoe u een model kunt bouwen dat helpt bij e-mailbeveiliging, en krijgt u tips en geavanceerde technologieën om verder te gaan dan compliance.
1. Gebruik beveiligde e-mail gateway
Een e-mailbeveiligingsgateway is een belangrijke verdedigingslinie voor de bescherming van de e-mailcommunicatie van uw bedrijf. Het helpt ervoor te zorgen dat alleen de beoogde ontvanger de e-mail ontvangt, en het blokkeert ook spam en phishing-pogingen.
U kunt de gateway gebruiken om de informatiestroom tussen uw organisatie en haar klanten te beheren. Ook kunt u gebruikmaken van functies als versleuteling, waarmee gevoelige informatie die via e-mail wordt verzonden, wordt beschermd door deze te versleutelen voordat deze de ene computer verlaat en te ontsleutelen op weg naar een andere computer. Dit kan helpen voorkomen dat cybercriminelen de inhoud van e-mails of bijlagen kunnen lezen die tussen verschillende computers of gebruikers worden verzonden.
Een beveiligde e-mail gateway kan ook functies bieden als spamfiltering en archivering - allemaal zaken die essentieel zijn voor het handhaven van een georganiseerde en compliant sfeer in uw bedrijf.
2. Bescherming uitoefenen na de levering
Er zijn verschillende manieren om een e-mailbeveiligingscompliance-model voor uw bedrijf op te stellen. De meest gebruikelijke methode is om het model te gebruiken om potentiële risico's te identificeren, en vervolgens Post-Delivery Protection (PDP) op die risico's toe te passen.
Post-delivery protection is het proces waarbij wordt geverifieerd of een e-mail is afgeleverd bij de beoogde ontvanger. Dit houdt in dat ervoor wordt gezorgd dat de ontvanger zich kan aanmelden bij zijn e-mailclientsoftware en het bericht kan controleren, en dat wordt bevestigd dat de e-mail niet door spamfilters is gefilterd.
Bescherming na aflevering kan worden bereikt door een beveiligd netwerk of beveiligde server te hebben waar uw e-mails worden opgeslagen en ze vervolgens te versleutelen voordat ze bij de beoogde ontvangers worden afgeleverd. Het is belangrijk op te merken dat alleen een geautoriseerd persoon toegang tot deze bestanden mag hebben, zodat ze alleen door hem kunnen worden gedecodeerd.
3. Isolatietechnologieën toepassen
Een e-mailbeveiligingscompliancemodel wordt opgebouwd door alle eindpunten van uw gebruikers en hun webverkeer te isoleren. Isolatietechnologieën werken door al het webverkeer van een gebruiker te isoleren in een beveiligde browser in de cloud. Dit betekent dat e-mails die via isolatietechnologie worden verzonden, aan de serverzijde worden versleuteld en aan de clientzijde worden gedecodeerd in een 'geïsoleerd' station.
Daarom hebben externe computers geen toegang tot hun e-mails, en kunnen ze geen schadelijke programma's of koppelingen downloaden. Zelfs als iemand op een link in een e-mail klikt die malware bevat, kan de malware zijn computer of netwerk niet besmetten (omdat de schadelijke link alleen-lezen wordt geopend).
Isolatietechnologieën maken het voor bedrijven gemakkelijk om te voldoen aan voorschriften als PCI DSS en HIPAA door veilige e-mailoplossingen te implementeren die gebruikmaken van hostgebaseerde versleuteling (HBE).
4. Maak effectieve spamfilters
E-mailfiltering houdt in dat e-mailberichten aan de hand van een lijst van regels worden gecontroleerd voordat zij bij het ontvangende systeem worden afgeleverd. De regels kunnen worden ingesteld door gebruikers of automatisch op basis van bepaalde criteria. Filtering wordt meestal gebruikt om na te gaan of berichten die van bepaalde bronnen afkomstig zijn niet kwaadaardig zijn of een onverwachte inhoud bevatten.
De beste manier om een effectief spamfilter te maken is door te analyseren hoe spammers technieken gebruiken die het moeilijk maken hun berichten te detecteren voordat ze de inbox van de ontvangers bereiken. Deze analyse moet u helpen filters te ontwikkelen die spam identificeren en voorkomen dat deze de inbox bereikt.
Gelukkig zijn er oplossingen beschikbaar (zoals DMARC) die een groot deel van dit proces automatiseren door bedrijven in staat te stellen specifieke regels te definiëren voor elk bericht, zodat alleen de berichten die aan deze regels voldoen door de filters worden verwerkt.
5. Implementeren van e-mailauthenticatieprotocollen
De DMARC standaard is een belangrijke stap om ervoor te zorgen dat uw gebruikers de berichten krijgen die zij van uw bedrijf verwachten en dat gevoelige informatie nooit in onbedoelde handen terechtkomt.
Het is een e-mailverificatieprotocol waarmee domeineigenaren berichten kunnen weigeren die niet aan bepaalde criteria voldoen. Dit kan worden gebruikt als een manier om spam en phishing te voorkomen, maar het is ook nuttig om te voorkomen dat misleidende e-mails naar uw klanten worden gestuurd.
Als u een e-mailbeveiligingscompliance-model voor uw bedrijf opzet, hebt u DMARC nodig om uw merk te beschermen tegen beschadiging door schadelijke e-mails van buitenaf die zich kunnen voordoen als uw bedrijfsnaam of domein om uw trouwe klanten te bedriegen. .
Als klant van een bedrijf met DMARC-enabled e-mailberichten, kunt u er zeker van zijn dat u legitieme communicatie van het bedrijf ontvangt.
6. Stem e-mailbeveiliging af op een overkoepelende strategie
De overkoepelende strategie van uw e-mailbeveiligingscomplianceprogramma is ervoor te zorgen dat uw organisatie voldoet aan alle relevante overheidsvoorschriften. Deze omvatten voorschriften met betrekking tot de volgende gebieden: afzender-ID's, opt-ins, opt-outs, en de verwerkingstijd van verzoeken.
Om dit te bereiken, moet u een plan ontwikkelen dat elk van deze gebieden afzonderlijk aanpakt en ze vervolgens zo integreert dat ze elkaar ondersteunen.
U moet ook overwegen uw e-mailstrategie in verschillende regio's te differentiëren op basis van het verschillende beleid dat elke regio voert. In de VS zijn er bijvoorbeeld veel verschillende regels met betrekking tot spamming, die andere manieren van implementatie vereisen dan in andere landen zoals India of China, waar de regels voor spamming minder streng zijn.
Bekijk onze e-mailbeveiliging voor bedrijven checklist voor de beveiliging van uw bedrijfsdomeinen en -systemen.
Een conformiteitsmodel voor e-mailbeveiliging bouwen voor uw bedrijf: Extra stappen
- Ontwikkel een plan voor het verzamelen van gegevens, met daarin de soorten informatie die u wilt verzamelen, hoe vaak u die wilt verzamelen en hoe lang het verzamelen ervan zou moeten duren
- Train werknemers met compliance training software over het veilig gebruik van e-mail door beleid, procedures en trainingsmodules in te stellen over het juiste gebruik van e-mail op hun werkplek.
- Evalueer uw huidige e-mailbeveiligingsmaatregelen om te zien of ze up-to-date zijn met de beste praktijken in de sector, en overweeg zo nodig een upgrade.
- Bepaal welke personeelsgegevens privé of vertrouwelijk moeten blijven en hoe ze zullen worden meegedeeld aan uw werknemers, partners en leveranciers, met inbegrip van derden die betrokken zijn bij het creëren van inhoud voor uw website of sociale-mediakanalen.
- Stel een lijst op van alle werknemers die toegang hebben tot gevoelige/vertrouwelijke informatie en ontwikkel een plan voor het toezicht op hun gebruik van e-mail communicatiemiddelen.
Wie is verantwoordelijk voor de naleving van de beveiliging van e-mail in uw bedrijf?
IT-managers - De IT-manager is verantwoordelijk voor de algehele e-mailbeveiligingsnaleving van hun organisatie. Zij zijn degenen die ervoor zorgen dat het beveiligingsbeleid van het bedrijf wordt nageleefd en dat alle werknemers daarin zijn opgeleid.
Sysadmins - Sysadmins zijn verantwoordelijk voor het installeren en configureren van e-mailservers en alle andere IT-infrastructuur die nodig kan zijn om een succesvol e-mailsysteem te draaien. Zij moeten begrijpen welk soort gegevens wordt opgeslagen, wie er toegang toe heeft, en hoe ze zullen worden gebruikt.
Compliance Officers - Zij zijn er verantwoordelijk voor dat het bedrijf voldoet aan alle wetten met betrekking tot de naleving van e-mailbeveiliging.
Werknemers - Werknemers zijn verantwoordelijk voor het volgen van het e-mailbeveiligingsbeleid en de e-mailbeveiligingsprocedures van het bedrijf, evenals eventuele aanvullende instructies of richtlijnen van hun manager of supervisor.
Externe serviceproviders - U kunt de beveiliging van uw e-mail uitbesteden aan externe partijen die u zowel tijd als geld besparen. Een externe DMARC beheerde service provider kan u helpen uw protocollen binnen een paar minuten te implementeren, uw DMARC-rapporten te beheren en te bewaken, fouten op te lossen en deskundige begeleiding te bieden om eenvoudig compliance te bereiken.
Hoe kunnen wij bijdragen aan uw Email Security Compliance reis?
PowerDMARC, biedt e-mailbeveiligingsoplossingen voor bedrijven over de hele wereld, waardoor uw zakelijke mailsysteem beter beveiligd is tegen phishing en spoofing. .
Wij helpen domeineigenaren om over te schakelen op een DMARC-compliant e-mailinfrastructuur met een afgedwongen (p=reject) beleid zonder enige vertraging in deliverability. Onze oplossing wordt geleverd met een gratis proefperiode (geen kaartgegevens nodig), zodat u het kunt uitproberen voordat u beslissingen op lange termijn neemt.Neem de DMARC proef nu!
