Nawet najbardziej doświadczona i dobrze przygotowana firma może zostać zaskoczona kompromisem w zakresie bezpieczeństwa poczty elektronicznej. Dlatego tak ważne jest zbudowanie skutecznego modelu zgodności z zasadami bezpieczeństwa poczty elektronicznej.
Co to jest Email Security Compliance?
Bezpieczeństwo poczty elektronicznej zgodność to proces monitorowania, utrzymywania i egzekwowania zasad i kontroli w celu zapewnienia poufności komunikacji elektronicznej. Można to zrobić poprzez regularne audyty poczty elektronicznej lub bieżące działania monitorujące.
Każda organizacja powinna mieć udokumentowany Model Zgodności z Bezpieczeństwem (SCM), który przedstawia jej zasady, procedury i działania związane z przestrzeganiem bezpieczeństwa poczty elektronicznej. Gwarantuje to, że w organizacji nie dojdzie do naruszenia zasad komunikacji i pomaga zatrzymać partnerów biznesowych, którzy mogą być nieufni wobec firm stosujących słabe praktyki bezpieczeństwa.
Zrozumienie przepisów dotyczących bezpieczeństwa poczty elektronicznej dla firm
Przepisy dotyczące zgodności z bezpieczeństwem poczty elektronicznej służą jako ramy prawne dla zapewnienia bezpieczeństwa i prywatności informacji przechowywanych w poczcie elektronicznej. Prawa te są egzekwowane przez różne rządy krajowe i są coraz większym problemem dla firm wszystkich kształtów i rozmiarów.
Poniżej przedstawiamy krótki przegląd wymagań nałożonych na firmy, które obsługują komunikację e-mailową, wraz z ogólnym przeglądem różnych ram prawnych mających zastosowanie do budowania właściwej zgodności bezpieczeństwa poczty elektronicznej dla Twojej firmy.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
Health Insurance Portability and Accountability Act(HIPAA) oraz Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP i PCI DSS to przepisy, które wymagają od organizacji ochrony prywatności i bezpieczeństwa elektronicznie chronionych informacji zdrowotnych (ePHI). ePHI to wszelkie informacje, które są przekazywane drogą elektroniczną pomiędzy podmiotami objętymi ochroną lub partnerami biznesowymi.
Przepisy wymagają od podmiotów objętych obowiązkiem wdrożenia polityk, procedur i kontroli technicznych odpowiednich do charakteru przetwarzanych przez nie danych, a także innych zabezpieczeń niezbędnych do realizacji obowiązków wynikających z HIPAA i SOC 2. Przepisy te dotyczą wszystkich podmiotów, które przekazują lub otrzymują PHI w formie elektronicznej w imieniu innego podmiotu; jednakże dotyczą one również wszystkich partnerów biznesowych i innych podmiotów, które otrzymują PHI od podmiotu objętego ubezpieczeniem.
Do jakiego przedsiębiorstwa odnosi się niniejsze rozporządzenie?
Rozporządzenie to dotyczy każdego przedsiębiorstwa, które gromadzi, przechowuje lub przekazuje PHI (Chronione Informacje Zdrowotne) drogą elektroniczną. Dotyczy to również każdego biznesu, który jest zaangażowany w dostarczanie Objętego Elektronicznego Rekordu Medycznego (eHealth Record) lub innych objętych usługami opieki zdrowotnej drogą elektroniczną. Przepisy te mają na celu ochronę zarówno prywatności pacjenta, jak i bezpieczeństwa danych pacjenta przed nieautoryzowanym dostępem osób trzecich.
b. GDPR
Ogólne rozporządzenie o ochronie danych (GDPR) to rozporządzenie wprowadzone przez Unię Europejską. Ma ono na celu ochronę danych osobowych obywateli UE i zostało nazwane "najważniejszym prawem dotyczącym prywatności od pokolenia".
GDPR wymaga od przedsiębiorstw przejrzystości w zakresie sposobu wykorzystywania danych klientów, a także przedstawienia jasnych zasad postępowania z tymi danymi. Wymaga również, aby przedsiębiorstwa ujawniały, jakie informacje o klientach gromadzą i przechowują oraz oferowały osobom fizycznym łatwe sposoby dostępu do tych informacji. Ponadto GDPR zakazuje przedsiębiorstwom wykorzystywania danych osobowych do celów innych niż te, dla których zostały zebrane.
Do jakiego przedsiębiorstwa odnosi się niniejsze rozporządzenie?
Dotyczy ono wszystkich firm, które gromadzą dane w UE i wymaga od nich wyraźnej zgody osób, których dane osobowe gromadzą. GDPR wiąże się również z karami za nieprzestrzeganie przepisów, więc musisz mieć swoje kaczki w rzędzie, zanim zaczniesz zbierać jakiekolwiek dane osobowe.
c. CAN-SPAM
CAN-SPAM to prawo federalne uchwalone przez Kongres w 2003 roku, które wymaga, aby komercyjne wiadomości biznesowe zawierały pewne informacje o ich pochodzeniu, w tym adres fizyczny nadawcy i numer telefonu. Prawo wymaga również, aby wiadomości komercyjne zawierały adres zwrotny, który musi być adresem w domenie nadawcy.
Ustawa CAN-SPAM została później zaktualizowana w celu włączenia bardziej rygorystycznych wymogów dotyczących komercyjnych wiadomości e-mail. Nowe przepisy wymagają, aby nadawcy wiadomości e-mail identyfikowali się w sposób jasny i dokładny, podawali uzasadniony adres zwrotny oraz umieszczali link umożliwiający rezygnację z subskrypcji na dole każdej wiadomości.
Aby uzyskać więcej informacji na temat zgodności z prawem i prawa cybernetycznego, warto zapoznać się z zasobami takimi jak Lawrina, które pomogą chronić poufne informacje i przestrzegać zmieniających się ram prawnych w zakresie cyberbezpieczeństwa.
Do jakiego przedsiębiorstwa odnosi się niniejsze rozporządzenie?
Ustawa CAN-SPAM dotyczy wszystkich wiadomości handlowych, w tym wysyłanych przez firmy do konsumentów i odwrotnie, o ile spełniają one określone wymagania. Przepisy te mają na celu ochronę firm przed spamem, czyli sytuacją, w której ktoś wysyła wiadomość z zamiarem skłonienia Cię do kliknięcia na link lub otwarcia załącznika. Prawo chroni również konsumentów przed spamem wysyłanym przez firmy, które próbują im coś sprzedać.
Jak zbudować model zgodności z bezpieczeństwem poczty elektronicznej dla Twojej firmy
Model zgodności z bezpieczeństwem poczty elektronicznej ma na celu sprawdzenie, czy serwery i aplikacje poczty elektronicznej organizacji są zgodne z obowiązującymi przepisami, normami branżowymi i dyrektywami. Model pomaga organizacjom ustanowić polityki i procedury, które zapewniają gromadzenie i ochronę danych klientów poprzez wykrywanie, zapobieganie, badanie i naprawianie potencjalnych incydentów bezpieczeństwa.
Poniżej dowiesz się, jak zbudować model, który pomoże w zabezpieczeniu poczty elektronicznej, a także poznasz wskazówki i zaawansowane technologie, które pozwolą Ci wyjść poza ramy zgodności.
1. Użyj bezpiecznej bramy e-mailowej
Bramka bezpieczeństwa poczty elektronicznej jest ważną linią obrony dla ochrony firmowej komunikacji elektronicznej. Pomaga ona zapewnić, że tylko zamierzony odbiorca otrzyma wiadomość e-mail, a także blokuje spam i próby wyłudzania informacji.
Bramę można wykorzystać do zarządzania przepływem informacji między organizacją a jej klientami. Jak również skorzystać z takich funkcji jak szyfrowanie, które pomaga chronić wrażliwe informacje przesyłane pocztą elektroniczną poprzez ich zaszyfrowanie przed opuszczeniem jednego komputera i odszyfrowanie w drodze do innego komputera. Może to pomóc w uniemożliwieniu cyberprzestępcom odczytania treści wiadomości e-mail lub załączników przesyłanych między różnymi komputerami lub użytkownikami.
Bezpieczna brama e-mail może również zapewnić funkcje takie jak filtrowanie spamu i archiwizacja - wszystkie z nich są niezbędne do utrzymania zorganizowanej i zgodnej z przepisami atmosfery w firmie.
2. Wykonywanie ochrony po dostawie
Istnieje kilka sposobów na zbudowanie modelu zgodności z zasadami bezpieczeństwa poczty elektronicznej dla Twojej firmy. Najczęstszą metodą jest wykorzystanie modelu do identyfikacji potencjalnych zagrożeń, a następnie zastosowanie ochrony po dostawie (PDP) do tych zagrożeń.
Ochrona po doręczeniu to proces weryfikacji, czy wiadomość e-mail została dostarczona do adresata. Obejmuje to zapewnienie, że odbiorca może zalogować się do swojego oprogramowania klienckiego i sprawdzić, czy wiadomość została dostarczona, a także potwierdzenie, że wiadomość nie została odfiltrowana przez filtry antyspamowe.
Ochrona po dostarczeniu może być osiągnięta przez posiadanie bezpiecznej sieci lub serwera, na którym przechowywane są wiadomości e-mail, a następnie szyfrowanie ich przed dostarczeniem do zamierzonych odbiorców. Ważne jest, aby pamiętać, że tylko upoważniona osoba powinna mieć dostęp do tych plików, więc mogą one być odszyfrowane tylko przez nią.
3. Wdrożenie technologii izolacyjnych
Model zgodności z bezpieczeństwem poczty elektronicznej jest budowany poprzez izolację wszystkich punktów końcowych użytkowników i ich ruchu internetowego. Technologie izolacyjne działają poprzez izolowanie całego ruchu internetowego użytkownika w bezpiecznej przeglądarce opartej na chmurze. Oznacza to, że wiadomości e-mail wysyłane za pośrednictwem technologii izolacji są szyfrowane po stronie serwera i odszyfrowywane po stronie klienta w "izolowanej" stacji.
W związku z tym żadne zewnętrzne komputery nie mają dostępu do ich e-maili i nie mogą pobierać żadnych złośliwych programów ani linków. W ten sposób, nawet jeśli ktoś kliknie na link w e-mailu, który zawiera złośliwe oprogramowanie, nie będzie ono w stanie zainfekować jego komputera lub sieci (ponieważ złośliwy link otworzy się w formie tylko do odczytu).
Technologie izolowania ułatwiają firmom zachowanie zgodności z przepisami takimi jak PCI DSS i HIPAA poprzez wdrożenie bezpiecznych rozwiązań poczty elektronicznej wykorzystujących szyfrowanie oparte na hoście (HBE).
4. Tworzenie skutecznych filtrów antyspamowych
Filtrowanie poczty elektronicznej polega na sprawdzaniu wiadomości e-mail pod kątem listy reguł, zanim zostaną one dostarczone do systemu odbiorczego. Reguły mogą być ustawiane przez użytkowników lub automatycznie na podstawie określonych kryteriów. Filtrowanie jest zwykle stosowane w celu sprawdzenia, czy wiadomości wysyłane z określonych źródeł nie są złośliwe lub nie zawierają nieoczekiwanych treści.
Najlepszym sposobem na stworzenie skutecznego filtra spamu jest analiza tego, w jaki sposób spamerzy wykorzystują techniki utrudniające wykrycie ich wiadomości, zanim trafią do skrzynek odbiorczych. Ta analiza powinna pomóc w opracowaniu filtrów, które będą identyfikować spam i zapobiegać jego dotarciu do skrzynki odbiorczej.
Na szczęście dostępne są pewne rozwiązania (takie jak DMARC), które automatyzują większość tego procesu, umożliwiając firmom definiowanie określonych reguł dla każdej wiadomości, dzięki czemu tylko te, które pasują do tych reguł, są przetwarzane przez filtry.
5. Wdrożenie protokołów uwierzytelniania poczty elektronicznej
Strona DMARC Standard DMARC to ważny krok w kierunku zapewnienia, że użytkownicy otrzymują wiadomości, których oczekują od firmy, a wrażliwe informacje nigdy nie trafiają w niepowołane ręce.
Jest to protokół uwierzytelniania wiadomości e-mail, który umożliwia właścicielom domen odrzucenie wiadomości, które nie spełniają określonych kryteriów. Można to wykorzystać jako sposób na zapobieganie spamowi i phishingowi, ale jest to również przydatne do zapobiegania wysyłaniu zwodniczych wiadomości e-mail do klientów.
Jeśli budujesz model zgodności z bezpieczeństwem poczty elektronicznej dla swojej firmy, potrzebujesz DMARC, aby pomóc chronić swoją markę przed szarganiem jej przez złośliwe e-maile wysyłane z zewnętrznych źródeł, które mogą próbować podszywać się pod nazwę firmy lub domenę, aby oszukać lojalnych klientów. .
Będąc klientem firmy, która posiada wiadomości e-mail z obsługą DMARC, możesz być pewien, że otrzymujesz od niej uzasadnione wiadomości.
6. Dostosuj bezpieczeństwo poczty elektronicznej do nadrzędnej strategii
Nadrzędną strategią programu zgodności z przepisami dotyczącymi bezpieczeństwa poczty elektronicznej jest zapewnienie, że Twoja organizacja przestrzega wszystkich odpowiednich regulacji rządowych. Obejmują one regulacje związane z następującymi obszarami: identyfikatory nadawców, opt-ins, opt-outs oraz czas przetwarzania żądań.
Aby to osiągnąć, należy opracować plan, który dotyczy każdego z tych obszarów osobno, a następnie zintegrować je w taki sposób, aby wzajemnie się wspierały.
Powinieneś również rozważyć zróżnicowanie swojej strategii e-mailowej w różnych regionach w oparciu o różne polityki, które każdy z nich posiada. Na przykład w USA istnieje wiele różnych regulacji dotyczących spamu, które wymagają innych środków wdrażania niż te wymagane w innych krajach, takich jak Indie czy Chiny, gdzie przepisy dotyczące spamu są mniej rygorystyczne.
Sprawdź nasze bezpieczeństwo korporacyjnej poczty elektronicznej listę kontrolną, aby zabezpieczyć domeny i systemy firmowe.
Budowanie modelu zgodności z bezpieczeństwem poczty elektronicznej dla Twojej firmy: Dodatkowe kroki
- Opracuj plan zbierania danych, który zawiera rodzaje informacji, które chciałbyś zbierać, jak często chciałbyś je zbierać i ile czasu powinno to zająć.
- Przeszkol pracowników za pomocą oprogramowania szkoleniowego w zakresie bezpiecznego korzystania z poczty e-mail, wprowadzając zasady, procedury i moduły szkoleniowe dotyczące właściwego korzystania z poczty e-mail w miejscu pracy.
- Oceń swoje obecne środki bezpieczeństwa poczty elektronicznej, aby sprawdzić, czy są one aktualne w stosunku do najlepszych praktyk branżowych, i w razie potrzeby rozważ ich modernizację.
- Określ, jakie dane dotyczące zasobów ludzkich należy zachować jako prywatne lub poufne i w jaki sposób będą one przekazywane pracownikom, partnerom i sprzedawcom, w tym wszelkim stronom trzecim zaangażowanym w tworzenie treści dla Twojej witryny internetowej lub kanałów mediów społecznościowych.
- Utwórz listę wszystkich pracowników, którzy mają dostęp do informacji wrażliwych/poufnych i opracuj plan monitorowania korzystania przez nich z narzędzi komunikacji e-mailowej.
Kto jest odpowiedzialny za przestrzeganie bezpieczeństwa poczty elektronicznej w Twojej firmie?
Kierownicy IT - Kierownicy IT są odpowiedzialni za ogólną zgodność z zasadami bezpieczeństwa poczty elektronicznej w swojej organizacji. To oni upewniają się, że polityka bezpieczeństwa firmy jest przestrzegana i że wszyscy pracownicy zostali z niej przeszkoleni.
sysadmins - Sysadmins są odpowiedzialni za instalację i konfigurację serwerów poczty elektronicznej, jak również wszelkiej innej infrastruktury IT, która może być niezbędna do uruchomienia udanego systemu poczty elektronicznej. Muszą oni rozumieć, jakiego rodzaju dane są przechowywane, kto ma do nich dostęp i jak będą one wykorzystywane.
Compliance Officers - Są odpowiedzialni za zapewnienie, że firma przestrzega wszystkich przepisów dotyczących zgodności z bezpieczeństwem poczty elektronicznej.
Pracownicy - Pracownicy są odpowiedzialni za przestrzeganie zasad i procedur bezpieczeństwa poczty elektronicznej obowiązujących w firmie, a także wszelkich dodatkowych instrukcji lub wskazówek przekazanych przez ich kierownika lub przełożonego.
Zewnętrzni dostawcy usług - bezpieczeństwo poczty e-mail można zlecić stronom trzecim, co pozwoli zaoszczędzić czas i pieniądze. Na przykład, zewnętrzna firma DMARC zarządzany dostawca usług może pomóc wdrożyć protokoły w ciągu kilku minut, zarządzać i monitorować raporty DMARC, rozwiązywać błędy i zapewniać wskazówki ekspertów w celu łatwego uzyskania zgodności.
Jak możemy przyczynić się do Twojej podróży w kierunku zapewnienia zgodności z zasadami bezpieczeństwa poczty elektronicznej?
PowerDMARC, dostarcza rozwiązania w zakresie bezpieczeństwa poczty elektronicznej dla firm na całym świecie, sprawiając, że Twój biznesowy system pocztowy jest bardziej bezpieczny przed phishingiem i spoofingiem. .
Pomagamy właścicielom domen w przejściu na infrastrukturę e-mailową zgodną z DMARC, z polityką (p=reject), bez żadnego spadku dostarczalności. Nasze rozwiązanie objęte jest bezpłatnym okresem próbnym (bez konieczności podawania danych karty), dzięki czemu można je przetestować przed podjęciem jakichkolwiek długoterminowych decyzji.Weź DMARC trial teraz!
- Wzrost liczby oszustw podatkowych i ataków podszywania się pod IRS w sezonie podatkowym - 2 maja 2024 r.
- Bezpieczeństwo poczty e-mail 101 w walce z oszustwami kryptograficznymi - 30 kwietnia 2024 r.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.