Innlegg

Selv det mest erfarne og godt forberedte selskapet kan bli overrumplet av et e-postkompromiss. Det er derfor det er viktig å bygge en effektiv modell for e-postsikkerhet.

Hva er e-postsikkerhetsoverholdelse?

Overholdelse av e-postsikkerhet er prosessen med å overvåke, vedlikeholde og håndheve retningslinjer og kontroller for å sikre konfidensialiteten til elektronisk kommunikasjon. Dette kan gjøres via vanlige e-postrevisjoner eller løpende overvåkingsinnsats.

Hver organisasjon bør ha en dokumentert modell for sikkerhetsoverholdelse (SCM) som skisserer dens retningslinjer, prosedyrer og aktiviteter knyttet til overholdelse av e-postsikkerhet. Dette sikrer at det ikke oppstår kommunikasjonsbrudd i organisasjonen din, og hjelper til med å beholde forretningspartnere som kan være på vakt mot selskaper med dårlig sikkerhetspraksis.

Forstå e-postsikkerhetsregelverket for bedrifter

Lov om overholdelse av e-postsikkerhet fungerer som et juridisk rammeverk for å sikre sikkerheten og personvernet til informasjonen som er lagret i e-post. Disse lovene håndheves av ulike nasjonale myndigheter og er en økende bekymring for virksomheter i alle former og størrelser.

Nedenfor har vi gitt en kort oversikt over kravene som stilles til virksomheter som håndterer e-postkommunikasjon, sammen med en generell oversikt over de ulike juridiske rammeverkene som gjelder å overholde for å bygge en skikkelig e-postsikkerhetssamsvar for virksomheten din.

en. HIPAA/SOC 2/FedRAMP/PCI DSS

Health Insurance Portability and Accountability Act ( HIPAA ) og sikkerhetsstandardene for føderale informasjonssystemer, 2nd Edition (SOC 2), FedRAMP og PCI DSS er alle forskrifter som krever at organisasjoner beskytter personvernet og sikkerheten til elektronisk beskyttet helseinformasjon (ePHI) ). ePHI er all informasjon som overføres elektronisk mellom dekkede enheter eller forretningsforbindelser.

Lovene krever at dekkede enhetene implementerer retningslinjer, prosedyrer og tekniske kontroller som er tilpasset arten av dataene de behandler, samt andre sikkerhetstiltak som er nødvendige for å utføre deres ansvar i henhold til HIPAA og SOC 2. Disse forskriftene gjelder for alle enheter som overfører eller motta PHI i elektronisk form på vegne av en annen enhet; de gjelder imidlertid også for alle forretningsforbindelser og andre enheter som mottar PHI fra en dekket enhet.

Hvilken virksomhet gjelder denne forskriften?

Denne forskriften gjelder for enhver virksomhet som samler inn, lagrer eller overfører PHI (Protected Health Information) elektronisk. Det gjelder også for enhver virksomhet som er involvert i levering av en dekket elektronisk helsejournal (e-helsejournal) eller andre dekkede helsetjenester elektronisk. Disse forskriftene er utformet for å beskytte både pasientens personvern og sikkerheten til pasientdata mot uautorisert tilgang fra tredjeparter.

b. GDPR

General Data Protection Regulation (GDPR) er en forordning implementert av EU. Den er designet for å beskytte personopplysningene til EU-borgere, og den har blitt kalt «den viktigste personvernloven på en generasjon».

GDPR krever at virksomheter er transparente om hvordan de bruker kundedata, samt gir klare retningslinjer for hvordan de håndterer disse dataene. Det krever også at virksomheter avslører hvilken informasjon de samler inn og lagrer om kunder, og tilbyr enkle måter for enkeltpersoner å få tilgang til denne informasjonen. I tillegg forbyr GDPR virksomheter å bruke personopplysninger til andre formål enn de de ble samlet inn for.

Hvilken virksomhet gjelder denne forskriften?

Den gjelder for alle selskaper som samler inn data i EU, og den krever at selskaper har uttrykkelig samtykke fra de hvis personopplysninger de samler inn. GDPR kommer også med bøter for manglende overholdelse, så du må få ender på rekke og rad før du begynner å samle inn personlig informasjon.

c. KAN-SPAM

CAN-SPAM er en føderal lov vedtatt av kongressen i 2003 som krever at kommersielle forretningse-poster skal inneholde viss informasjon om deres opprinnelse, inkludert avsenderens fysiske adresse og telefonnummer. Loven krever også at kommersielle meldinger inkluderer en returadresse, som må være en adresse innenfor avsenderens domene.

CAN-SPAM-loven ble senere oppdatert for å inkludere strengere krav til kommersielle e-poster. De nye reglene krever at e-postavsendere identifiserer seg tydelig og nøyaktig, oppgir en legitim returadresse og inkluderer en avmeldingslenke nederst i hver e-post.

Hvilken virksomhet gjelder denne forskriften?

CAN-SPAM-loven gjelder for alle kommersielle meldinger, inkludert de som sendes av bedrifter til forbrukere og omvendt, så lenge de oppfyller visse krav. Regelverket er ment å beskytte virksomheter mot spamming, som er når noen sender en melding med den hensikt å få deg til å klikke på en lenke eller åpne et vedlegg. Loven beskytter også forbrukere mot spam som sendes av selskaper som prøver å selge dem noe.

Hvordan bygge en modell for overholdelse av e-postsikkerhet for bedriften din

E-postsikkerhetsoverholdelsesmodellen er utviklet for å bekrefte at en organisasjons servere og e-postapplikasjoner overholder gjeldende lover, bransjestandarder og direktiver. Modellen hjelper organisasjoner med å etablere retningslinjer og prosedyrer som sørger for innsamling og beskyttelse av kundedata gjennom oppdagelse, forebygging, etterforskning og utbedring av potensielle sikkerhetshendelser.

Nedenfor vil du lære hvordan du bygger en modell som hjelper med e-postsikkerhet samt tips og avanserte teknologier for å gå utover samsvar.

1. Bruk sikker e-postgateway

En e-postsikkerhetsport er en viktig forsvarslinje for å beskytte bedriftens e-postkommunikasjon. Det bidrar til å sikre at bare den tiltenkte mottakeren mottar e-posten, og det blokkerer også spam og phishing-forsøk.

Du kan bruke gatewayen til å administrere informasjonsflyten mellom organisasjonen og dens kunder. I tillegg til å dra nytte av funksjoner som kryptering, som bidrar til å beskytte sensitiv informasjon sendt over e-post ved å kryptere den før den forlater en datamaskin og dekryptere den på vei til en annen datamaskin. Dette kan bidra til å forhindre at nettkriminelle kan lese innholdet i e-poster eller vedlegg som sendes mellom forskjellige datamaskiner eller brukere.

En sikker e-postgateway kan også tilby funksjoner som spamfiltrering og arkivering – som alle er avgjørende for å opprettholde en organisert og kompatibel atmosfære i bedriften din.

2. Tren beskyttelse etter levering

Det er flere måter å bygge en modell for overholdelse av e-postsikkerhet for bedriften din. Den vanligste metoden er å bruke modellen til å identifisere potensielle risikoer, og deretter bruke Post-Delivery Protection (PDP) på disse risikoene.

Beskyttelse etter levering er prosessen med å bekrefte at en e-post har blitt levert til den tiltenkte mottakeren. Dette inkluderer å sikre at mottakeren kan logge på sin e-postklientprogramvare og se etter meldingen, samt bekrefte at e-posten ikke er filtrert av spamfiltre.

Beskyttelse etter levering kan oppnås ved å ha et sikkert nettverk eller server der e-postene dine lagres og deretter kryptere dem før de leveres til de tiltenkte mottakerne. Det er viktig å merke seg at bare en autorisert person skal ha tilgang til disse filene, slik at de kun kan dekrypteres av dem.

3. Implementer isolasjonsteknologier

En modell for overholdelse av e-postsikkerhet bygges ved å isolere alle endepunktene til brukerne dine og nettrafikken deres. Isolasjonsteknologier fungerer ved å isolere all en brukers nettrafikk i en skybasert sikker nettleser. Dette betyr at e-poster som sendes gjennom isolasjonsteknologi er kryptert på serversiden og dekryptert på klientsiden i en "isolert" stasjon.

Derfor har ingen eksterne datamaskiner tilgang til e-postene deres, og de kan ikke laste ned skadelige programmer eller lenker. På denne måten, selv om noen klikker på en kobling i en e-post som inneholder skadelig programvare, vil ikke skadelig programvare kunne infisere datamaskinen eller nettverket deres (da den skadelige koblingen åpnes i skrivebeskyttet form).

Isolasjonsteknologier gjør det enkelt for selskaper å overholde forskrifter som PCI DSS og HIPAA ved å implementere sikre e-postløsninger som bruker vertsbasert kryptering (HBE).

4. Lag effektive spamfiltre

E-postfiltrering innebærer å sjekke e-postmeldinger mot en liste med regler før de leveres til mottakersystemet. Reglene kan settes opp av brukere eller automatisk basert på visse kriterier. Filtrering brukes vanligvis for å bekrefte at meldinger som sendes fra visse kilder ikke er skadelige eller inneholder noe uventet innhold.

Den beste måten å lage et effektivt spamfilter på er ved å analysere hvordan spammere bruker teknikker som gjør meldingene deres vanskelige å oppdage før de når mottakernes innbokser. Denne analysen skal hjelpe deg med å utvikle filtre som vil identifisere spam og forhindre at den når innboksen.

Heldigvis er det noen løsninger tilgjengelig (som DMARC) som automatiserer mye av denne prosessen ved å la virksomheter definere spesifikke regler for hver melding slik at bare de som samsvarer med disse reglene blir behandlet av filtrene.

5. Implementer e-postautentiseringsprotokoller

DMARC - standarden er et viktig skritt mot å sikre at brukerne dine får meldingene de forventer fra virksomheten din og at sensitiv informasjon aldri når utilsiktede hender.

Det er en e-postautentiseringsprotokoll som gjør at domeneeiere kan avvise meldinger som ikke oppfyller visse kriterier. Dette kan brukes som en måte å forhindre spam og phishing på, men det er også nyttig for å forhindre at villedende e-poster sendes til kundene dine.

Hvis du bygger en modell for overholdelse av e-postsikkerhet for bedriften din, trenger du DMARC for å beskytte merkevaren din mot å bli skjemmet av ondsinnede e-poster sendt fra eksterne kilder som kan forsøke å etterligne bedriftsnavnet eller domenet for å svindle dine lojale kunder. .

Som kunde hos en bedrift med DMARC-aktiverte e-postmeldinger kan du være trygg på at du mottar legitim kommunikasjon fra bedriften.

6. Juster e-postsikkerhet med en overordnet strategi

Den overordnede strategien til programmet for overholdelse av e-postsikkerhet er å sikre at organisasjonen din overholder alle relevante offentlige forskrifter. Disse inkluderer forskrifter knyttet til følgende områder: avsender-IDer, opt-ins, opt-outs og forespørselsbehandlingstid.

For å oppnå dette må du utvikle en plan som tar for seg hvert av disse områdene separat og deretter integrere dem på en slik måte at de støtter hverandre.

Du bør også vurdere å differensiere e-poststrategien din på tvers av forskjellige regioner basert på de forskjellige retningslinjene hver har. For eksempel, i USA, er det mange forskjellige forskrifter angående spamming som krever andre måter å implementere på enn de som kreves i andre land som India eller Kina hvor regelverket for spamming er mindre strenge.

Sjekk ut vår sjekkliste for bedriftens e-postsikkerhet for å sikre bedriftens domener og systemer.

Bygge en modell for overholdelse av e-postsikkerhet for bedriften din: flere trinn

  • Utvikle en datainnsamlingsplan som inkluderer typen informasjon du ønsker å samle inn, hvor ofte du ønsker å samle den og hvor lang tid det bør ta å samle den inn
  • Lær ansatte i hvordan de bruker e-post trygt og sikkert ved å innføre retningslinjer, prosedyrer og opplæringsmoduler om riktig bruk av e-post på arbeidsplassen deres.
  • Evaluer gjeldende sikkerhetstiltak for e-post for å se om de er oppdatert med bransjens beste praksis, og vurder å oppgradere om nødvendig.
  • Bestem hva slags personaldata som må holdes private eller konfidensielle og hvordan de vil bli kommunisert til dine ansatte, partnere og leverandører, inkludert eventuelle tredjeparter som er involvert i å lage innhold for nettstedet ditt eller sosiale mediekanaler.
  • Lag en liste over alle ansatte som har tilgang til sensitiv/konfidensiell informasjon og lag en plan for overvåking av bruken av e-postkommunikasjonsverktøy.

Hvem er ansvarlig for overholdelse av e-postsikkerhet i bedriften din?

IT-ledere – IT-lederen er ansvarlig for den generelle e-postsikkerhetsoverholdelsen til organisasjonen deres. Det er de som sørger for at selskapets sikkerhetspolicyer følges og at alle ansatte har fått opplæring i dem.

sysadmins – Sysadmins er ansvarlige for å installere og konfigurere e-postservere så vel som annen IT-infrastruktur som kan være nødvendig for å kjøre et vellykket e-postsystem. De må forstå hvilken type data som lagres, hvem som har tilgang til dem og hvordan de skal brukes.

Overholdelsesansvarlige – De er ansvarlige for å sikre at selskapet overholder alle lover angående overholdelse av e-postsikkerhet.

Ansatte – Ansatte er ansvarlige for å følge selskapets retningslinjer og prosedyrer for e-postsikkerhet, samt eventuelle tilleggsinstruksjoner eller veiledninger fra deres leder eller overordnet.

Tredjeparts tjenesteleverandører – Du kan sette ut e-postens sikkerhet til tredjeparter som vil spare deg for både tid og penger. For eksempel kan en tredjeparts DMARC-administrert tjenesteleverandør hjelpe deg med å implementere protokollene dine i løpet av få minutter, administrere og overvåke DMARC-rapportene dine, feilsøke feil og gi ekspertveiledning for å oppnå overholdelse enkelt.

Hvordan kan vi bidra til reisen din med samsvar med e-postsikkerhet?

PowerDMARC tilbyr e-postsikkerhetsløsninger for bedrifter over hele verden, noe som gjør bedriftens postsystem sikrere mot phishing og spoofing. .

Vi hjelper domeneeiere med å skifte mot en DMARC-kompatibel e-postinfrastruktur med en håndhevet (p=reject) policy uten at leveringsevnen forfaller. Løsningen vår kommer med en gratis prøveperiode (ingen kortdetaljer nødvendig) slik at du kan prøvekjøre den før du tar noen langsiktige beslutninger. Ta DMARC-prøveversjonen nå!