Innlegg

Selv det mest erfarne og godt forberedte selskapet kan bli overrumplet av et e-postkompromiss. Det er derfor det er viktig å bygge en effektiv modell for e-postsikkerhet.

Hva er e-postsikkerhetsoverholdelse?

Overholdelse av e-postsikkerhet er prosessen med å overvåke, vedlikeholde og håndheve retningslinjer og kontroller for å sikre konfidensialiteten til elektronisk kommunikasjon. Dette kan gjøres via vanlige e-postrevisjoner eller løpende overvåkingsinnsats.

Hver organisasjon bør ha en dokumentert modell for sikkerhetsoverholdelse (SCM) som skisserer dens retningslinjer, prosedyrer og aktiviteter knyttet til overholdelse av e-postsikkerhet. Dette sikrer at det ikke oppstår kommunikasjonsbrudd i organisasjonen din, og hjelper til med å beholde forretningspartnere som kan være på vakt mot selskaper med dårlig sikkerhetspraksis.

Forstå e-postsikkerhetsregelverket for bedrifter

Lov om overholdelse av e-postsikkerhet fungerer som et juridisk rammeverk for å sikre sikkerheten og personvernet til informasjonen som er lagret i e-post. Disse lovene håndheves av ulike nasjonale myndigheter og er en økende bekymring for virksomheter i alle former og størrelser.

Nedenfor har vi gitt en kort oversikt over kravene som stilles til virksomheter som håndterer e-postkommunikasjon, sammen med en generell oversikt over de ulike juridiske rammeverkene som gjelder å overholde for å bygge en skikkelig e-postsikkerhetssamsvar for virksomheten din.

en. HIPAA/SOC 2/FedRAMP/PCI DSS

Health Insurance Portability and Accountability Act ( HIPAA ) og sikkerhetsstandardene for føderale informasjonssystemer, 2nd Edition (SOC 2), FedRAMP og PCI DSS er alle forskrifter som krever at organisasjoner beskytter personvernet og sikkerheten til elektronisk beskyttet helseinformasjon (ePHI) ). ePHI er all informasjon som overføres elektronisk mellom dekkede enheter eller forretningsforbindelser.

Lovene krever at dekkede enhetene implementerer retningslinjer, prosedyrer og tekniske kontroller som er tilpasset arten av dataene de behandler, samt andre sikkerhetstiltak som er nødvendige for å utføre deres ansvar i henhold til HIPAA og SOC 2. Disse forskriftene gjelder for alle enheter som overfører eller motta PHI i elektronisk form på vegne av en annen enhet; de gjelder imidlertid også for alle forretningsforbindelser og andre enheter som mottar PHI fra en dekket enhet.

Hvilken virksomhet gjelder denne forskriften?

Denne forskriften gjelder for enhver virksomhet som samler inn, lagrer eller overfører PHI (Protected Health Information) elektronisk. Det gjelder også for enhver virksomhet som er involvert i levering av en dekket elektronisk helsejournal (e-helsejournal) eller andre dekkede helsetjenester elektronisk. Disse forskriftene er utformet for å beskytte både pasientens personvern og sikkerheten til pasientdata mot uautorisert tilgang fra tredjeparter.

b. GDPR

General Data Protection Regulation (GDPR) er en forordning implementert av EU. Den er designet for å beskytte personopplysningene til EU-borgere, og den har blitt kalt «den viktigste personvernloven på en generasjon».

GDPR krever at virksomheter er transparente om hvordan de bruker kundedata, samt gir klare retningslinjer for hvordan de håndterer disse dataene. Det krever også at virksomheter avslører hvilken informasjon de samler inn og lagrer om kunder, og tilbyr enkle måter for enkeltpersoner å få tilgang til denne informasjonen. I tillegg forbyr GDPR virksomheter å bruke personopplysninger til andre formål enn de de ble samlet inn for.

Hvilken virksomhet gjelder denne forskriften?

Den gjelder for alle selskaper som samler inn data i EU, og den krever at selskaper har uttrykkelig samtykke fra de hvis personopplysninger de samler inn. GDPR kommer også med bøter for manglende overholdelse, så du må få ender på rekke og rad før du begynner å samle inn personlig informasjon.

c. KAN-SPAM

CAN-SPAM er en føderal lov vedtatt av kongressen i 2003 som krever at kommersielle forretningse-poster skal inneholde viss informasjon om deres opprinnelse, inkludert avsenderens fysiske adresse og telefonnummer. Loven krever også at kommersielle meldinger inkluderer en returadresse, som må være en adresse innenfor avsenderens domene.

CAN-SPAM-loven ble senere oppdatert for å inkludere strengere krav til kommersielle e-poster. De nye reglene krever at e-postavsendere identifiserer seg tydelig og nøyaktig, oppgir en legitim returadresse og inkluderer en avmeldingslenke nederst i hver e-post.

Hvilken virksomhet gjelder denne forskriften?

CAN-SPAM-loven gjelder for alle kommersielle meldinger, inkludert de som sendes av bedrifter til forbrukere og omvendt, så lenge de oppfyller visse krav. Regelverket er ment å beskytte virksomheter mot spamming, som er når noen sender en melding med den hensikt å få deg til å klikke på en lenke eller åpne et vedlegg. Loven beskytter også forbrukere mot spam som sendes av selskaper som prøver å selge dem noe.

Hvordan bygge en modell for overholdelse av e-postsikkerhet for bedriften din

E-postsikkerhetsoverholdelsesmodellen er utviklet for å bekrefte at en organisasjons servere og e-postapplikasjoner overholder gjeldende lover, bransjestandarder og direktiver. Modellen hjelper organisasjoner med å etablere retningslinjer og prosedyrer som sørger for innsamling og beskyttelse av kundedata gjennom oppdagelse, forebygging, etterforskning og utbedring av potensielle sikkerhetshendelser.

Nedenfor vil du lære hvordan du bygger en modell som hjelper med e-postsikkerhet samt tips og avanserte teknologier for å gå utover samsvar.

1. Bruk sikker e-postgateway

En e-postsikkerhetsport er en viktig forsvarslinje for å beskytte bedriftens e-postkommunikasjon. Det bidrar til å sikre at bare den tiltenkte mottakeren mottar e-posten, og det blokkerer også spam og phishing-forsøk.

Du kan bruke gatewayen til å administrere informasjonsflyten mellom organisasjonen og dens kunder. I tillegg til å dra nytte av funksjoner som kryptering, som bidrar til å beskytte sensitiv informasjon sendt over e-post ved å kryptere den før den forlater en datamaskin og dekryptere den på vei til en annen datamaskin. Dette kan bidra til å forhindre at nettkriminelle kan lese innholdet i e-poster eller vedlegg som sendes mellom forskjellige datamaskiner eller brukere.

En sikker e-postgateway kan også tilby funksjoner som spamfiltrering og arkivering – som alle er avgjørende for å opprettholde en organisert og kompatibel atmosfære i bedriften din.

2. Tren beskyttelse etter levering

Det er flere måter å bygge en modell for overholdelse av e-postsikkerhet for bedriften din. Den vanligste metoden er å bruke modellen til å identifisere potensielle risikoer, og deretter bruke Post-Delivery Protection (PDP) på disse risikoene.

Beskyttelse etter levering er prosessen med å bekrefte at en e-post har blitt levert til den tiltenkte mottakeren. Dette inkluderer å sikre at mottakeren kan logge på sin e-postklientprogramvare og se etter meldingen, samt bekrefte at e-posten ikke er filtrert av spamfiltre.

Beskyttelse etter levering kan oppnås ved å ha et sikkert nettverk eller server der e-postene dine lagres og deretter kryptere dem før de leveres til de tiltenkte mottakerne. Det er viktig å merke seg at bare en autorisert person skal ha tilgang til disse filene, slik at de kun kan dekrypteres av dem.

3. Implementer isolasjonsteknologier

En modell for overholdelse av e-postsikkerhet bygges ved å isolere alle endepunktene til brukerne dine og nettrafikken deres. Isolasjonsteknologier fungerer ved å isolere all en brukers nettrafikk i en skybasert sikker nettleser. Dette betyr at e-poster som sendes gjennom isolasjonsteknologi er kryptert på serversiden og dekryptert på klientsiden i en "isolert" stasjon.

Derfor har ingen eksterne datamaskiner tilgang til e-postene deres, og de kan ikke laste ned skadelige programmer eller lenker. På denne måten, selv om noen klikker på en kobling i en e-post som inneholder skadelig programvare, vil ikke skadelig programvare kunne infisere datamaskinen eller nettverket deres (da den skadelige koblingen åpnes i skrivebeskyttet form).

Isolasjonsteknologier gjør det enkelt for selskaper å overholde forskrifter som PCI DSS og HIPAA ved å implementere sikre e-postløsninger som bruker vertsbasert kryptering (HBE).

4. Lag effektive spamfiltre

E-postfiltrering innebærer å sjekke e-postmeldinger mot en liste med regler før de leveres til mottakersystemet. Reglene kan settes opp av brukere eller automatisk basert på visse kriterier. Filtrering brukes vanligvis for å bekrefte at meldinger som sendes fra visse kilder ikke er skadelige eller inneholder noe uventet innhold.

Den beste måten å lage et effektivt spamfilter på er ved å analysere hvordan spammere bruker teknikker som gjør meldingene deres vanskelige å oppdage før de når mottakernes innbokser. Denne analysen skal hjelpe deg med å utvikle filtre som vil identifisere spam og forhindre at den når innboksen.

Heldigvis er det noen løsninger tilgjengelig (som DMARC) som automatiserer mye av denne prosessen ved å la virksomheter definere spesifikke regler for hver melding slik at bare de som samsvarer med disse reglene blir behandlet av filtrene.

5. Implementer e-postautentiseringsprotokoller

DMARC - standarden er et viktig skritt mot å sikre at brukerne dine får meldingene de forventer fra virksomheten din og at sensitiv informasjon aldri når utilsiktede hender.

Det er en e-postautentiseringsprotokoll som gjør at domeneeiere kan avvise meldinger som ikke oppfyller visse kriterier. Dette kan brukes som en måte å forhindre spam og phishing på, men det er også nyttig for å forhindre at villedende e-poster sendes til kundene dine.

Hvis du bygger en modell for overholdelse av e-postsikkerhet for bedriften din, trenger du DMARC for å beskytte merkevaren din mot å bli skjemmet av ondsinnede e-poster sendt fra eksterne kilder som kan forsøke å etterligne bedriftsnavnet eller domenet for å svindle dine lojale kunder. .

Som kunde hos en bedrift med DMARC-aktiverte e-postmeldinger kan du være trygg på at du mottar legitim kommunikasjon fra bedriften.

6. Juster e-postsikkerhet med en overordnet strategi

Den overordnede strategien til programmet for overholdelse av e-postsikkerhet er å sikre at organisasjonen din overholder alle relevante offentlige forskrifter. Disse inkluderer forskrifter knyttet til følgende områder: avsender-IDer, opt-ins, opt-outs og forespørselsbehandlingstid.

For å oppnå dette må du utvikle en plan som tar for seg hvert av disse områdene separat og deretter integrere dem på en slik måte at de støtter hverandre.

Du bør også vurdere å differensiere e-poststrategien din på tvers av forskjellige regioner basert på de forskjellige retningslinjene hver har. For eksempel, i USA, er det mange forskjellige forskrifter angående spamming som krever andre måter å implementere på enn de som kreves i andre land som India eller Kina hvor regelverket for spamming er mindre strenge.

Sjekk ut vår sjekkliste for bedriftens e-postsikkerhet for å sikre bedriftens domener og systemer.

Bygge en modell for overholdelse av e-postsikkerhet for bedriften din: flere trinn

  • Utvikle en datainnsamlingsplan som inkluderer typen informasjon du ønsker å samle inn, hvor ofte du ønsker å samle den og hvor lang tid det bør ta å samle den inn
  • Lær ansatte i hvordan de bruker e-post trygt og sikkert ved å innføre retningslinjer, prosedyrer og opplæringsmoduler om riktig bruk av e-post på arbeidsplassen deres.
  • Evaluer gjeldende sikkerhetstiltak for e-post for å se om de er oppdatert med bransjens beste praksis, og vurder å oppgradere om nødvendig.
  • Bestem hva slags personaldata som må holdes private eller konfidensielle og hvordan de vil bli kommunisert til dine ansatte, partnere og leverandører, inkludert eventuelle tredjeparter som er involvert i å lage innhold for nettstedet ditt eller sosiale mediekanaler.
  • Lag en liste over alle ansatte som har tilgang til sensitiv/konfidensiell informasjon og lag en plan for overvåking av bruken av e-postkommunikasjonsverktøy.

Hvem er ansvarlig for overholdelse av e-postsikkerhet i bedriften din?

IT-ledere – IT-lederen er ansvarlig for den generelle e-postsikkerhetsoverholdelsen til organisasjonen deres. Det er de som sørger for at selskapets sikkerhetspolicyer følges og at alle ansatte har fått opplæring i dem.

sysadmins – Sysadmins er ansvarlige for å installere og konfigurere e-postservere så vel som annen IT-infrastruktur som kan være nødvendig for å kjøre et vellykket e-postsystem. De må forstå hvilken type data som lagres, hvem som har tilgang til dem og hvordan de skal brukes.

Overholdelsesansvarlige – De er ansvarlige for å sikre at selskapet overholder alle lover angående overholdelse av e-postsikkerhet.

Ansatte – Ansatte er ansvarlige for å følge selskapets retningslinjer og prosedyrer for e-postsikkerhet, samt eventuelle tilleggsinstruksjoner eller veiledninger fra deres leder eller overordnet.

Tredjeparts tjenesteleverandører – Du kan sette ut e-postens sikkerhet til tredjeparter som vil spare deg for både tid og penger. For eksempel kan en tredjeparts DMARC-administrert tjenesteleverandør hjelpe deg med å implementere protokollene dine i løpet av få minutter, administrere og overvåke DMARC-rapportene dine, feilsøke feil og gi ekspertveiledning for å oppnå overholdelse enkelt.

Hvordan kan vi bidra til reisen din med samsvar med e-postsikkerhet?

PowerDMARC tilbyr e-postsikkerhetsløsninger for bedrifter over hele verden, noe som gjør bedriftens postsystem sikrere mot phishing og spoofing. .

Vi hjelper domeneeiere med å skifte mot en DMARC-kompatibel e-postinfrastruktur med en håndhevet (p=reject) policy uten at leveringsevnen forfaller. Løsningen vår kommer med en gratis prøveperiode (ingen kortdetaljer nødvendig) slik at du kan prøvekjøre den før du tar noen langsiktige beslutninger. Ta DMARC-prøveversjonen nå!

Overholdelse av cybersikkerhet er et økende bekymringsområde for mange virksomheter. Det er viktig at virksomheten din er klar over kravene og har en plan på plass for å oppnå samsvar.

Overholdelse av nettsikkerhet innebærer følgende:

  1. Gjennomføre risikovurderinger av virksomheten din, inkludert risikoen som utgjøres av eksterne trusler, som virus og skadelig programvare, og interne trusler som innsidemisbruk av konfidensiell informasjon.
  2. Opprette et hendelsesresponsteam som kan reagere raskt på enhver hendelse. De bør også få opplæring i hvordan de skal reagere på nettangrep.
  3. Implementering av et inntrengningsdeteksjonssystem som overvåker nettverket og e-posttrafikken for uautorisert aktivitet som en DMARC-analysator .
  4. Utvikle en sterk nettsikkerhetsstrategi som inkluderer beste praksis for utvikling av sikkerhetskontroller og opplæring av ansatte i hvordan de skal brukes riktig.

Hva er Cybersecurity Compliance?

Overholdelse av nettsikkerhet er et sett med standarder som selskaper og organisasjoner må følge for å bli ansett som "kompatible". Disse standardene kan variere avhengig av typen enhet eller organisasjon, men de inkluderer generelt retningslinjer, prosedyrer og kontroller som sikrer at et selskap beskytter seg mot nettangrep.

For eksempel, hvis organisasjonen din bruker e-post som kommunikasjonsmåte, må du implementere e-postsikkerhet og autentiseringsprotokoller som DMARC for å sikre e-posttransaksjonene dine og bekrefte sendekilder. Mangel på dette kan gjøre domenet ditt sårbart for domeneforfalskning, phishing-angrep og løsepengeprogramvare. 

En av de viktigste tingene du kan gjøre for å beskytte bedriften din, er å sørge for at nettsikkerhetspraksisen din er i orden. Du har ikke råd til å ignorere brudd på nettsikkerhet – de er den enkleste måten for hackere å komme inn i nettverket ditt og påføre deg alvorlig skade.

Men hva er overholdelse av nettsikkerhet, egentlig?

Overholdelse av cybersikkerhet er et sett med beste praksis som bedrifter bruker i sin daglige drift for å sikre at de beskytter seg mot cyberangrep. Disse beste fremgangsmåtene inkluderer:

  • Opprettholde et sikkert nettverk
  • Holde systemer oppdatert og oppdatert med sikkerhetsoppdateringer
  • Sikring av kundeinformasjon og data
  • Sikring av dine egne data og e-postkommunikasjon 

Hvor skal du begynne med Cybersecurity Compliance?

Det første trinnet for å oppnå samsvar med nettsikkerhet er å forstå hva du prøver å oppnå.

Hva er dine mål? Hva er de spesifikke forventningene til organisasjonen eller individet som administrerer din overholdelse av nettsikkerhet? Er det for virksomheten selv, eller er det for en ekstern enhet som kan være et offentlig organ, en organisasjon som NSA, eller til og med en tredjepartsleverandør?

Hvis det er for selve virksomheten, må du forstå hvordan organisasjonen din opererer og hvordan den samhandler med andre enheter. Du vil også vite hva slags data de samler inn og hvor de lagrer dem. Og hvis de bruker skytjenester som Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure eller Oracle Cloud Platform (OCP), må du finne ut om det er noen sikkerhetskontroller på plass rundt disse tjenestene.

Hvis du jobber med en ekstern enhet som et offentlig byrå eller tredjepartsleverandør, vil du sørge for at de har en god forståelse av både organisasjonen din og dens behov, samt deres egen prosess for overvåking og respons. til trusler. Du vil også at de skal være kjent med hvilke typer angrep som kan skje mot bedriftens systemer og hvordan. 

Samsvarsstrategi for cybersikkerhet: En plan i aksjon

E-postsikkerhet

La oss starte med det grunnleggende: Du må holde e-postsystemet ditt sikkert. Det betyr å passordbeskytte e-posten din, selv om det bare er ett enkelt passord for hele systemet. Og du må sørge for at alle eksterne tjenester som sender eller mottar e-post fra organisasjonen din også er sikre – og har de samme passordkravene som dine interne systemer.

Firmaets e-postsystem er en kritisk del av virksomheten din. Det er hvordan du får kontakt med potensielle kunder, kunder og ansatte – og hvordan du sender ut viktige oppdateringer og kunngjøringer.

Men det er også en av de mest sårbare delene av bedriften din.

Så hvis du vil sørge for at e-postene dine forblir private og trygge mot hackere, er overholdelse av nettsikkerhet et must. Her er noen tips for å sikre at e-postene dine er oppdaterte om overholdelse av nettsikkerhet:

  1. Sørg for at du bruker kryptering ( SSL ) når du sender sensitiv informasjon via e-post. Dette bidrar til å sikre at ingen kan fange opp eller lese det som sendes mellom datamaskinen og den tiltenkte mottakerens enhet.
  2. Sett opp passordpolicyer slik at alle brukere har unike passord som endres regelmessig, og aldri brukes i noen annen tjeneste eller applikasjon på samme konto eller enhet som e-postleverandøren (ESP).
  3. Aktiver tofaktorautentisering (2FA) når det er mulig, slik at bare autoriserte personer kan få tilgang til kontoer med 2FA aktivert – og selv da bare hvis de har fått tilgang tidligere av noen andre med 2FA allerede aktivert
  4. Sikre e-postdomenet ditt mot spoofing, phishing, løsepengeprogramvare og mer ved å implementere e-postautentiseringsprotokoller som DMARC , SPF og DKIM
  5. Sikre e-postene dine under overføring fra nysgjerrige øyne til en mann-i-midten-angriper ved å håndheve en TLS-kryptert e-posttransaksjon ved hjelp av MTA-STS

Viktigheten av overholdelse av nettsikkerhet

Det er mange måter et selskap kan være ikke-kompatibel med cybersikkerhet. For eksempel, hvis bedriften din har en utdatert brannmur, er det mulig at hackere kan bruke systemet ditt som et veipunkt for sine malware-angrep. Eller hvis nettverket ditt ikke er beskyttet av tofaktorautentisering, kan du risikere å få nettstedet ditt hacket. Eller hvis e-postene dine ikke er autentisert, kan det bane vei for falske angrep og phishing. 

Det er viktig å merke seg at overholdelse ikke beskytter mot alle typer trusselvektorer. Cybersikkerhetsløsninger kan hjelpe organisasjoner med å forhindre hackere i å få tilgang til nettverkene deres, forhindre tyveri av åndsverk, beskytte fysiske eiendeler som datamaskiner og servere, forhindre infeksjoner med skadelig programvare som kan begrense tilgangen til kritiske systemer eller informasjon, oppdage svindel på nettbaserte betalingstransaksjoner og stoppe andre cyberangrep før de skjer.