Berichten

Zelfs de meest ervaren en goed voorbereide onderneming kan overvallen worden door een e-mailcompromis. Daarom is het van essentieel belang om een effectief model voor de naleving van e-mailbeveiliging op te zetten.

Wat is e-mailbeveiligingsnaleving?

Beveiliging van e-mail Naleving is het proces van bewaking, handhaving en handhaving van beleidslijnen en controles om de vertrouwelijkheid van elektronische communicatie te waarborgen. Dit kan gebeuren via regelmatige e-mailaudits of voortdurende controle-inspanningen.

Elke organisatie zou een gedocumenteerd Security Compliance Model (SCM) moeten hebben waarin het beleid, de procedures en de activiteiten met betrekking tot de naleving van e-mailbeveiliging zijn vastgelegd. Dit zorgt ervoor dat er binnen uw organisatie geen schendingen van de communicatie plaatsvinden en helpt bij het behouden van zakenpartners die op hun hoede kunnen zijn voor bedrijven met slechte beveiligingspraktijken.

Inzicht in de regelgeving voor de naleving van e-mailbeveiliging voor bedrijven

Wetten inzake de beveiliging van e-mail dienen als juridisch kader om de veiligheid en privacy van de in e-mail opgeslagen informatie te waarborgen. Deze wetten worden afgedwongen door verschillende nationale overheden en zijn een groeiende bron van zorg voor bedrijven van alle soorten en maten.

Hieronder hebben wij een kort overzicht gegeven van de eisen die worden gesteld aan bedrijven die e-mailcommunicatie verzorgen, samen met een algemeen overzicht van de verschillende wettelijke kaders waaraan moet worden voldaan om een goede e-mailbeveiligingsnaleving voor uw bedrijf op te bouwen.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

De Health Insurance Portability and Accountability Act(HIPAA) en de Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP en PCI DSS zijn alle voorschriften die organisaties verplichten de privacy en veiligheid van elektronisch beschermde gezondheidsinformatie (ePHI) te beschermen. ePHI is alle informatie die elektronisch wordt verzonden tussen de betrokken entiteiten of zakenpartners.

De wetgeving schrijft voor dat de betrokken entiteiten beleidslijnen, procedures en technische controles toepassen die zijn afgestemd op de aard van de gegevens die zij verwerken, alsmede andere waarborgen die nodig zijn om hun verantwoordelijkheden uit hoofde van de HIPAA en SOC 2 na te komen. Deze voorschriften zijn van toepassing op alle entiteiten die namens een andere entiteit PHI in elektronische vorm verzenden of ontvangen; zij zijn echter ook van toepassing op alle business associates en andere entiteiten die PHI van een gedekte entiteit ontvangen.

Op welke bedrijven is deze verordening van toepassing?

Deze verordening is van toepassing op elk bedrijf dat PHI (Protected Health Information) elektronisch verzamelt, opslaat of overdraagt. Zij is ook van toepassing op alle bedrijven die betrokken zijn bij de elektronische verstrekking van een gedekt elektronisch patiëntendossier (eHealth Record) of andere gedekte diensten op het gebied van de gezondheidszorg. Deze voorschriften zijn bedoeld om zowel de privacy van patiënten als de beveiliging van patiëntengegevens tegen ongeoorloofde toegang door derden te beschermen.

b. GDPR

De Algemene Verordening Gegevensbescherming (GDPR) is een verordening die door de Europese Unie ten uitvoer is gelegd. De verordening is bedoeld om de persoonsgegevens van EU-burgers te beschermen, en wordt "de belangrijkste privacywet in een generatie" genoemd.

GDPR verplicht bedrijven transparant te zijn over hoe zij klantgegevens gebruiken en een duidelijk beleid te voeren over hoe zij met die gegevens omgaan. Ook moeten bedrijven bekendmaken welke informatie zij over klanten verzamelen en opslaan, en moeten zij personen eenvoudige manieren bieden om toegang tot die informatie te krijgen. Bovendien verbiedt GDPR bedrijven persoonsgegevens te gebruiken voor andere doeleinden dan die waarvoor ze zijn verzameld.

Op welke bedrijven is deze verordening van toepassing?

Het is van toepassing op alle bedrijven die gegevens verzamelen in de EU, en het vereist dat bedrijven expliciete toestemming hebben van degenen van wie ze persoonlijke informatie verzamelen. GDPR brengt ook boetes met zich mee voor niet-naleving, dus u moet uw eendjes op een rij zetten voordat u begint met het verzamelen van persoonlijke informatie.

c. CAN-SPAM

CAN-SPAM is een federale wet die in 2003 door het Congres is aangenomen en die voorschrijft dat commerciële zakelijke e-mailberichten bepaalde informatie over de herkomst ervan moeten bevatten, waaronder het fysieke adres en het telefoonnummer van de afzender. De wet schrijft ook voor dat commerciële berichten een retouradres moeten bevatten, dat een adres moet zijn binnen het domein van de afzender.

De CAN-SPAM Act werd later bijgewerkt en bevat nu strengere voorschriften voor commerciële e-mails. De nieuwe regels schrijven voor dat e-mailverzenders zich duidelijk en nauwkeurig moeten identificeren, een legitiem retouradres moeten vermelden en onderaan elke e-mail een link moeten opnemen om zich uit te schrijven.

Op welke bedrijven is deze verordening van toepassing?

De CAN-SPAM Act is van toepassing op alle commerciële berichten, ook die welke door bedrijven aan consumenten worden gestuurd en vice versa, zolang zij aan bepaalde eisen voldoen. De voorschriften zijn bedoeld om bedrijven te beschermen tegen spamming, wat betekent dat iemand een bericht verstuurt met de bedoeling u op een link te laten klikken of een bijlage te laten openen. De wet beschermt consumenten ook tegen spam die wordt verstuurd door bedrijven die hun iets proberen te verkopen.

Hoe u een model voor de naleving van e-mailbeveiliging voor uw bedrijf kunt opstellen

Het e-mailbeveiligingscompliancemodel is ontworpen om te controleren of de servers en e-mailtoepassingen van een organisatie voldoen aan de toepasselijke wetten, industrienormen en richtlijnen. Het model helpt organisaties beleidslijnen en procedures vast te stellen die voorzien in het verzamelen en beschermen van klantgegevens door middel van het opsporen, voorkomen, onderzoeken en verhelpen van potentiële beveiligingsincidenten.

Hieronder leest u hoe u een model kunt bouwen dat helpt bij e-mailbeveiliging, en krijgt u tips en geavanceerde technologieën om verder te gaan dan compliance.

1. Gebruik beveiligde e-mail gateway

Een e-mailbeveiligingsgateway is een belangrijke verdedigingslinie voor de bescherming van de e-mailcommunicatie van uw bedrijf. Het helpt ervoor te zorgen dat alleen de beoogde ontvanger de e-mail ontvangt, en het blokkeert ook spam en phishing-pogingen.

U kunt de gateway gebruiken om de informatiestroom tussen uw organisatie en haar klanten te beheren. Ook kunt u gebruikmaken van functies als versleuteling, waarmee gevoelige informatie die via e-mail wordt verzonden, wordt beschermd door deze te versleutelen voordat deze de ene computer verlaat en te ontsleutelen op weg naar een andere computer. Dit kan helpen voorkomen dat cybercriminelen de inhoud van e-mails of bijlagen kunnen lezen die tussen verschillende computers of gebruikers worden verzonden.

Een beveiligde e-mail gateway kan ook functies bieden als spamfiltering en archivering - allemaal zaken die essentieel zijn voor het handhaven van een georganiseerde en compliant sfeer in uw bedrijf.

2. Bescherming uitoefenen na de levering

Er zijn verschillende manieren om een e-mailbeveiligingscompliance-model voor uw bedrijf op te stellen. De meest gebruikelijke methode is om het model te gebruiken om potentiële risico's te identificeren, en vervolgens Post-Delivery Protection (PDP) op die risico's toe te passen.

Post-delivery protection is het proces waarbij wordt geverifieerd of een e-mail is afgeleverd bij de beoogde ontvanger. Dit houdt in dat ervoor wordt gezorgd dat de ontvanger zich kan aanmelden bij zijn e-mailclientsoftware en het bericht kan controleren, en dat wordt bevestigd dat de e-mail niet door spamfilters is gefilterd.

Bescherming na aflevering kan worden bereikt door een beveiligd netwerk of beveiligde server te hebben waar uw e-mails worden opgeslagen en ze vervolgens te versleutelen voordat ze bij de beoogde ontvangers worden afgeleverd. Het is belangrijk op te merken dat alleen een geautoriseerd persoon toegang tot deze bestanden mag hebben, zodat ze alleen door hem kunnen worden gedecodeerd.

3. Isolatietechnologieën toepassen

Een e-mailbeveiligingscompliancemodel wordt opgebouwd door alle eindpunten van uw gebruikers en hun webverkeer te isoleren. Isolatietechnologieën werken door al het webverkeer van een gebruiker te isoleren in een beveiligde browser in de cloud. Dit betekent dat e-mails die via isolatietechnologie worden verzonden, aan de serverzijde worden versleuteld en aan de clientzijde worden gedecodeerd in een 'geïsoleerd' station.

Daarom hebben externe computers geen toegang tot hun e-mails, en kunnen ze geen schadelijke programma's of koppelingen downloaden. Zelfs als iemand op een link in een e-mail klikt die malware bevat, kan de malware zijn computer of netwerk niet besmetten (omdat de schadelijke link alleen-lezen wordt geopend).

Isolatietechnologieën maken het voor bedrijven gemakkelijk om te voldoen aan voorschriften als PCI DSS en HIPAA door veilige e-mailoplossingen te implementeren die gebruikmaken van hostgebaseerde versleuteling (HBE).

4. Maak effectieve spamfilters

E-mailfiltering houdt in dat e-mailberichten aan de hand van een lijst van regels worden gecontroleerd voordat zij bij het ontvangende systeem worden afgeleverd. De regels kunnen worden ingesteld door gebruikers of automatisch op basis van bepaalde criteria. Filtering wordt meestal gebruikt om na te gaan of berichten die van bepaalde bronnen afkomstig zijn niet kwaadaardig zijn of een onverwachte inhoud bevatten.

De beste manier om een effectief spamfilter te maken is door te analyseren hoe spammers technieken gebruiken die het moeilijk maken hun berichten te detecteren voordat ze de inbox van de ontvangers bereiken. Deze analyse moet u helpen filters te ontwikkelen die spam identificeren en voorkomen dat deze de inbox bereikt.

Gelukkig zijn er oplossingen (zoals DMARC) die een groot deel van dit proces automatiseren door bedrijven in staat te stellen specifieke regels voor elk bericht te definiëren, zodat alleen de berichten die aan die regels voldoen door de filters worden verwerkt.

5. Implementeren van e-mailauthenticatieprotocollen

De DMARC standaard is een belangrijke stap om ervoor te zorgen dat uw gebruikers de berichten krijgen die zij van uw bedrijf verwachten en dat gevoelige informatie nooit in onbedoelde handen terechtkomt.

Het is een e-mailverificatieprotocol waarmee domeineigenaren berichten kunnen weigeren die niet aan bepaalde criteria voldoen. Dit kan worden gebruikt als een manier om spam en phishing te voorkomen, maar het is ook nuttig om te voorkomen dat misleidende e-mails naar uw klanten worden gestuurd.

Als u een e-mailbeveiligingscompliance-model voor uw bedrijf opzet, hebt u DMARC nodig om uw merk te beschermen tegen beschadiging door schadelijke e-mails van buitenaf die zich kunnen voordoen als uw bedrijfsnaam of domein om uw trouwe klanten te bedriegen. .

Als klant van een bedrijf met DMARC-enabled e-mailberichten, kunt u er zeker van zijn dat u legitieme communicatie van het bedrijf ontvangt.

6. Stem e-mailbeveiliging af op een overkoepelende strategie

De overkoepelende strategie van uw e-mailbeveiligingscomplianceprogramma is ervoor te zorgen dat uw organisatie voldoet aan alle relevante overheidsvoorschriften. Deze omvatten voorschriften met betrekking tot de volgende gebieden: afzender-ID's, opt-ins, opt-outs, en de verwerkingstijd van verzoeken.

Om dit te bereiken, moet u een plan ontwikkelen dat elk van deze gebieden afzonderlijk aanpakt en ze vervolgens zo integreert dat ze elkaar ondersteunen.

U moet ook overwegen uw e-mailstrategie in verschillende regio's te differentiëren op basis van het verschillende beleid dat elke regio voert. In de VS zijn er bijvoorbeeld veel verschillende regels met betrekking tot spamming, die andere manieren van implementatie vereisen dan in andere landen zoals India of China, waar de regels voor spamming minder streng zijn.

Bekijk onze e-mailbeveiliging voor bedrijven checklist voor de beveiliging van uw bedrijfsdomeinen en -systemen.

Een conformiteitsmodel voor e-mailbeveiliging bouwen voor uw bedrijf: Extra stappen

  • Ontwikkel een plan voor het verzamelen van gegevens, met daarin de soorten informatie die u wilt verzamelen, hoe vaak u die wilt verzamelen en hoe lang het verzamelen ervan zou moeten duren
  • Train werknemers in het veilig gebruik van e-mail door beleidsregels, procedures en trainingsmodules in te voeren over het juiste gebruik van e-mail op hun werkplek.
  • Evalueer uw huidige e-mailbeveiligingsmaatregelen om te zien of ze up-to-date zijn met de beste praktijken in de sector, en overweeg zo nodig een upgrade.
  • Bepaal welke personeelsgegevens privé of vertrouwelijk moeten blijven en hoe ze zullen worden meegedeeld aan uw werknemers, partners en leveranciers, met inbegrip van derden die betrokken zijn bij het creëren van inhoud voor uw website of sociale-mediakanalen.
  • Stel een lijst op van alle werknemers die toegang hebben tot gevoelige/vertrouwelijke informatie en ontwikkel een plan voor het toezicht op hun gebruik van e-mail communicatiemiddelen.

Wie is verantwoordelijk voor de naleving van de beveiliging van e-mail in uw bedrijf?

IT-managers - De IT-manager is verantwoordelijk voor de algehele e-mailbeveiligingsnaleving van hun organisatie. Zij zijn degenen die ervoor zorgen dat het beveiligingsbeleid van het bedrijf wordt nageleefd en dat alle werknemers daarin zijn opgeleid.

Sysadmins - Sysadmins zijn verantwoordelijk voor het installeren en configureren van e-mailservers en alle andere IT-infrastructuur die nodig kan zijn om een succesvol e-mailsysteem te draaien. Zij moeten begrijpen welk soort gegevens wordt opgeslagen, wie er toegang toe heeft, en hoe ze zullen worden gebruikt.

Compliance Officers - Zij zijn er verantwoordelijk voor dat het bedrijf voldoet aan alle wetten met betrekking tot de naleving van e-mailbeveiliging.

Werknemers - Werknemers zijn verantwoordelijk voor het volgen van het e-mailbeveiligingsbeleid en de e-mailbeveiligingsprocedures van het bedrijf, evenals eventuele aanvullende instructies of richtlijnen van hun manager of supervisor.

Externe dienstverleners - U kunt de beveiliging van uw e-mail uitbesteden aan derden, waardoor u zowel tijd als geld bespaart. Bijvoorbeeld, een derde partij DMARC beheerde service provider kan u helpen uw protocollen binnen enkele minuten te implementeren, uw DMARC-rapporten te beheren en te controleren, fouten op te lossen en deskundige begeleiding te bieden om gemakkelijk compliance te bereiken.

Hoe kunnen wij bijdragen aan uw Email Security Compliance reis?

PowerDMARC, biedt e-mailbeveiligingsoplossingen voor bedrijven over de hele wereld, waardoor uw zakelijke mailsysteem beter beveiligd is tegen phishing en spoofing. .

Wij helpen domeineigenaren om over te schakelen op een DMARC-compliant e-mailinfrastructuur met een afgedwongen (p=reject) beleid zonder enige vertraging in deliverability. Onze oplossing wordt geleverd met een gratis proefperiode (geen kaartgegevens nodig), zodat u het kunt uitproberen voordat u beslissingen op lange termijn neemt.Neem de DMARC proef nu!

Compliance op het gebied van cyberbeveiliging is voor veel bedrijven een groeiend punt van zorg. Het is belangrijk dat uw bedrijf op de hoogte is van de eisen en een plan heeft om aan de eisen te voldoen.

Cyberbeveiligingsnaleving houdt het volgende in:

  1. Uitvoering van risicobeoordelingen van uw bedrijf, waaronder de risico's van externe bedreigingen, zoals virussen en malware, en interne bedreigingen, zoals misbruik van vertrouwelijke informatie door insiders.
  2. Het opzetten van een incident response team dat snel kan reageren op elk incident. Zij moeten ook worden opgeleid in hoe te reageren op cyberaanvallen.
  3. Het implementeren van een inbraakdetectiesysteem dat het netwerk en e-mailverkeer controleert op ongeoorloofde activiteit, zoals een DMARC analyzer.
  4. Het ontwikkelen van een sterke cyberbeveiligingsstrategie die beste praktijken omvat voor het ontwikkelen van beveiligingscontroles en het opleiden van werknemers in het correct gebruik ervan.

Wat is cyberveiligheidsnaleving?

Cyberbeveiligingsnaleving is een reeks normen die bedrijven en organisaties moeten naleven om als "compliant" te worden beschouwd. Deze normen kunnen variëren naargelang het type entiteit of organisatie, maar omvatten doorgaans beleidslijnen, procedures en controles die ervoor zorgen dat een bedrijf zich beschermt tegen cyberaanvallen.

Als uw organisatie bijvoorbeeld e-mails gebruikt als communicatiemiddel, moet u e-mailbeveiligings- en verificatieprotocollen zoals DMARC implementeren om uw e-mailtransacties te beveiligen en verzendbronnen te verifiëren. Het ontbreken daarvan kan uw domein kwetsbaar maken voor domain spoofing, phishing-aanvallen en ransomware. 

Een van de belangrijkste dingen die u kunt doen om uw bedrijf te beschermen, is ervoor zorgen dat uw cyberbeveiligingspraktijken op orde zijn. U kunt het zich niet veroorloven om inbreuken op de cyberbeveiliging te negeren - ze zijn de gemakkelijkste manier voor hackers om uw netwerk binnen te dringen en u ernstige schade toe te brengen.

Maar wat is cyberbeveiligingsnaleving precies?

Cyberbeveiligingsnaleving is een reeks beste praktijken die bedrijven in hun dagelijkse activiteiten toepassen om ervoor te zorgen dat ze zichzelf beschermen tegen cyberaanvallen. Deze best practices omvatten:

  • Behoud van een veilig netwerk
  • Systemen voorzien van patches en beveiligingsupdates
  • Beveiliging van klanteninformatie en -gegevens
  • Beveiliging van uw eigen gegevens en e-mailcommunicatie 

Waar te beginnen met uw Cybersecurity Compliance?

De eerste stap in het bereiken van compliance op het gebied van cyberbeveiliging is te begrijpen wat u probeert te bereiken.

Wat zijn uw doelstellingen? Wat zijn de specifieke verwachtingen van de organisatie of de persoon die uw cyberbeveiligingsnaleving beheert? Is het voor het bedrijf zelf, of is het voor een externe entiteit, zoals een overheidsinstantie, een organisatie als de NSA, of zelfs een externe leverancier?

Als het voor het bedrijf zelf is, moet u begrijpen hoe uw organisatie werkt en hoe zij met andere entiteiten interageert. U zult ook willen weten wat voor soort gegevens ze verzamelen en waar ze worden opgeslagen. En als ze gebruikmaken van clouddiensten zoals Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure of Oracle Cloud Platform (OCP), dan moet u te weten komen of er beveiligingscontroles zijn ingesteld rond deze diensten.

Als u samenwerkt met een externe entiteit zoals een overheidsinstantie of externe leverancier, wilt u er zeker van zijn dat zij een goed inzicht hebben in zowel uw organisatie en haar behoeften als hun eigen proces voor het bewaken van en reageren op bedreigingen. U wilt ook dat ze bekend zijn met de soorten aanvallen die op de systemen van uw bedrijf kunnen worden uitgevoerd en met de manier waarop. 

Strategie voor de naleving van cyberbeveiliging: Een plan in actie

Email beveiliging

Laten we beginnen met de basis: Je moet je e-mailsysteem veilig houden. Dat betekent dat u uw e-mail moet beveiligen met een wachtwoord, ook al is het maar één wachtwoord voor uw hele systeem. En u moet ervoor zorgen dat alle externe services die e-mails van uw organisatie verzenden of ontvangen, ook veilig zijn en dezelfde wachtwoordvereisten hebben als uw interne systemen.

Het e-mailsysteem van uw bedrijf is een essentieel onderdeel van uw bedrijf. Het is de manier waarop u in contact staat met prospects, klanten en werknemers, en waarop u belangrijke updates en aankondigingen verstuurt.

Maar het is ook een van de meest kwetsbare onderdelen van uw bedrijf.

Dus als u ervoor wilt zorgen dat uw e-mails privé blijven en veilig zijn voor hackers, is naleving van de cyberbeveiligingseisen een must. Hier volgen enkele tips om ervoor te zorgen dat uw e-mails voldoen aan de cyberbeveiligingseisen:

  1. Zorg ervoor dat u versleuteling(SSL) gebruikt wanneer u gevoelige informatie via e-mail verstuurt. Dit helpt ervoor te zorgen dat niemand kan onderscheppen of lezen wat er wordt verzonden tussen uw computer en het apparaat van de beoogde ontvanger.
  2. Stel een wachtwoordbeleid op zodat alle gebruikers unieke wachtwoorden hebben die regelmatig worden gewijzigd en nooit worden gebruikt in een andere dienst of toepassing op dezelfde account of hetzelfde apparaat als de e-mail service provider (ESP).
  3. Schakel waar mogelijk tweefactorauthenticatie (2FA) in, zodat alleen bevoegde personen toegang kunnen krijgen tot accounts met 2FA, en zelfs dan alleen als ze eerder toegang hebben gekregen van iemand anders met 2FA al ingeschakeld
  4. Beveilig uw e-maildomein tegen spoofing, phishing, ransomware en meer door e-mailverificatieprotocollen te implementeren zoals DMARC, SPFen DKIM
  5. Beveilig uw e-mails tijdens het transport tegen de nieuwsgierige ogen van een man-in-the-middle aanvaller door een TLS-gecodeerde e-mailtransactie af te dwingen met behulp van MTA-STS

Het belang van cyberbeveiligingsnaleving

Er zijn veel manieren waarop een bedrijf niet aan de cyberbeveiliging kan voldoen. Als uw bedrijf bijvoorbeeld een verouderde firewall heeft, is het mogelijk dat hackers uw systeem gebruiken als een tussenstation voor hun malware-aanvallen. Of als uw netwerk niet wordt beschermd door twee-factor authenticatie, loopt u het risico dat uw website wordt gehackt. Of als uw e-mails niet zijn geauthenticeerd, kan dit de weg vrijmaken voor spoofingaanvallen en phishing. 

Het is belangrijk op te merken dat compliance geen bescherming biedt tegen alle soorten bedreigingsvectoren. Cyberbeveiligingsoplossingen kunnen organisaties helpen hackers de toegang tot hun netwerken te ontzeggen, diefstal van intellectueel eigendom te voorkomen, fysieke activa zoals computers en servers te beschermen, malware-infecties te voorkomen die de toegang tot kritieke systemen of informatie kunnen beperken, fraude bij online betalingstransacties te detecteren en andere cyberaanvallen te stoppen voordat ze plaatsvinden.