Mesmo a empresa mais experiente e bem preparada pode ser apanhada desprevenida por um compromisso por e-mail. É por isso que é essencial construir um modelo eficaz de conformidade de segurança de correio electrónico.
O que é o Cumprimento da Segurança do Email?
Segurança do correio electrónico A conformidade é o processo de monitorização, manutenção e aplicação de políticas e controlos para assegurar a confidencialidade das comunicações electrónicas. Isto pode ser feito através de auditorias regulares por correio electrónico ou de esforços contínuos de monitorização.
Cada organização deve ter um Modelo de Conformidade de Segurança (SCM) documentado que descreva as suas políticas, procedimentos, e actividades relacionadas com a conformidade da segurança do correio electrónico. Isto assegura que não ocorrem violações de comunicação dentro da sua organização e ajuda a manter parceiros comerciais que possam estar desconfiados de empresas com más práticas de segurança.
Compreensão do Regulamento de Conformidade de Segurança de Email para Empresas
As leis de conformidade da segurança do correio electrónico servem de enquadramento legal para garantir a segurança e a privacidade da informação armazenada no correio electrónico. Estas leis são aplicadas por vários governos nacionais e constituem uma preocupação crescente para empresas de todas as formas e tamanhos.
Abaixo, apresentamos uma breve panorâmica dos requisitos impostos às empresas que tratam da comunicação por correio electrónico, juntamente com uma panorâmica geral dos vários quadros legais aplicáveis para o cumprimento de uma conformidade de segurança de correio electrónico adequada à sua empresa.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
A Health Insurance Portability and Accountability Act(HIPAA) e as Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP, e PCI DSS são todos regulamentos que requerem que as organizações protejam a privacidade e segurança da informação de saúde protegida electronicamente (ePHI). ePHI é qualquer informação que é transmitida electronicamente entre entidades cobertas ou associados comerciais.
As leis exigem que as entidades abrangidas implementem políticas, procedimentos e controlos técnicos adequados à natureza dos dados que processam, bem como outras salvaguardas necessárias ao cumprimento das suas responsabilidades no âmbito da HIPAA e SOC 2. Estes regulamentos aplicam-se a todas as entidades que transmitem ou recebem DCC em formato electrónico em nome de outra entidade; contudo, também se aplicam a todos os associados comerciais e outras entidades que recebem DCC de uma entidade coberta.
A que empresas se aplica este regulamento?
Este regulamento aplica-se a qualquer empresa que recolha, armazene ou transmita PHI (Informações de Saúde Protegidas) eletronicamente. Também se aplica a qualquer empresa que esteja envolvida no fornecimento de um Registo de Saúde Eletrónico Abrangido (eHealth Record) ou de outros serviços de cuidados de saúde abrangidos por via eletrónica. Estes regulamentos foram concebidos para proteger a privacidade dos doentes e a segurança dos dados dos doentes contra o acesso não autorizado por terceiros, incluindo os que utilizam o melhor EHR para pequenas clínicas.
b. GDPR
O Regulamento Geral de Protecção de Dados (GDPR) é um regulamento implementado pela União Europeia. Foi concebido para proteger os dados pessoais dos cidadãos da UE, e tem sido chamado "a mais importante lei de privacidade de uma geração".
A GDPR exige que as empresas sejam transparentes sobre a forma como utilizam os dados dos clientes, bem como que forneçam políticas claras sobre a forma como lidam com esses dados. Também exige que as empresas revelem que informação recolhem e armazenam sobre os clientes, e ofereçam formas fáceis de acesso a essa informação por parte dos indivíduos. Além disso, a GDPR proíbe as empresas de utilizarem dados pessoais para fins diferentes daqueles para os quais foram recolhidos.
A que empresas se aplica este regulamento?
Aplica-se a todas as empresas que recolhem dados na UE, e requer o consentimento explícito das empresas cujas informações pessoais recolhem. A GDPR também vem com multas por não cumprimento, pelo que deve obter os seus patos em fila antes de começar a recolher qualquer informação pessoal.
c. CAN-SPAM
CAN-SPAM é uma lei federal aprovada pelo Congresso em 2003 que exige que os e-mails comerciais comerciais incluam certas informações sobre a sua origem, incluindo o endereço físico e o número de telefone do remetente. A lei também exige que as mensagens comerciais incluam um endereço de retorno, que deve ser um endereço dentro do domínio do remetente.
A lei CAN-SPAM foi posteriormente actualizada para incluir requisitos mais rigorosos para os e-mails comerciais. As novas regras exigem que os remetentes de correio eletrónico se identifiquem de forma clara e precisa, forneçam um endereço de retorno legítimo e incluam uma ligação para anular a subscrição na parte inferior de cada correio eletrónico.
Para obter mais informações sobre conformidade legal e ciberdireito, considere a possibilidade de explorar recursos como o Lawrina, que ajudará a salvaguardar informações sensíveis e a aderir a enquadramentos legais em evolução no domínio da cibersegurança.
A que empresas se aplica este regulamento?
A Lei CAN-SPAM aplica-se a todas as mensagens comerciais, incluindo as enviadas pelas empresas aos consumidores e vice-versa, desde que cumpram certos requisitos. Os regulamentos destinam-se a proteger as empresas contra o spam, que é quando alguém envia uma mensagem com a intenção de o fazer clicar num link ou abrir um anexo. A lei também protege os consumidores do spam que é enviado por empresas que tentam vender-lhes algo.
Como construir um modelo de conformidade de segurança de e-mail para a sua empresa
O modelo de conformidade de segurança de correio electrónico foi concebido para verificar se os servidores e as aplicações de correio electrónico de uma organização cumprem as leis, normas e directivas aplicáveis em toda a indústria. O modelo ajuda as organizações a estabelecer políticas e procedimentos que prevêem a recolha e protecção de dados dos clientes através da detecção, prevenção, investigação e remediação de potenciais incidentes de segurança.
Abaixo aprenderá como construir um modelo que ajude na segurança do correio electrónico, assim como dicas e tecnologias avançadas para ir além da conformidade.
1. Utilizar o Secure Email Gateway
Um portal de segurança de correio electrónico é uma importante linha de defesa para proteger as comunicações de correio electrónico da sua empresa. Ajuda a garantir que apenas o destinatário pretendido recebe o e-mail, e também bloqueia as tentativas de spam e phishing.
Pode utilizar o portal para gerir o fluxo de informação entre a sua organização e os seus clientes. Para além de tirar partido de funcionalidades como a encriptação, que ajuda a proteger a informação sensível enviada por correio electrónico, encriptando-a antes de sair de um computador e descodificando-a no seu caminho para outro computador. Isto pode ajudar a evitar que os criminosos informáticos possam ler o conteúdo de e-mails ou anexos enviados entre diferentes computadores ou utilizadores.
Um portal seguro de correio electrónico também pode fornecer características como filtragem e arquivamento de spam - todas elas essenciais para manter uma atmosfera organizada e conforme na sua empresa.
2. Exercício de Protecção Pós-entrega
Há várias maneiras de construir um modelo de conformidade de segurança de correio electrónico para o seu negócio. O método mais comum é utilizar o modelo para identificar potenciais riscos, e depois aplicar a Protecção Pós-entrega (PDP) a esses riscos.
A protecção pós-entrega é o processo de verificação de que um e-mail foi entregue ao seu destinatário pretendido. Isto inclui a garantia de que o destinatário pode entrar no seu software cliente de correio electrónico e verificar a mensagem, bem como confirmar que o correio electrónico não foi filtrado por filtros de spam.
A proteção pós-entrega pode ser conseguida através de uma rede ou servidor seguro onde os seus e-mails são armazenados e, em seguida, encriptando-os antes de serem entregues aos destinatários pretendidos. É importante ter em atenção que apenas uma pessoa autorizada deve ter acesso a estes ficheiros para que possam ser desencriptados apenas por ela.
3. Implementar Tecnologias de Isolamento
Um modelo de conformidade de segurança de correio electrónico é construído isolando todos os pontos finais dos seus utilizadores e o seu tráfego web. As tecnologias de isolamento funcionam isolando todo o tráfego web de um utilizador num browser seguro baseado na nuvem. Isto significa que os e-mails enviados através da tecnologia de isolamento são encriptados no lado do servidor e desencriptados no lado do cliente numa estação 'isolada'.
Por conseguinte, nenhum computador externo pode aceder aos seus e-mails, e não podem descarregar quaisquer programas ou ligações maliciosos. Desta forma, mesmo que alguém clique numa ligação num e-mail que contenha malware, o malware não será capaz de infectar o seu computador ou rede (uma vez que a ligação maliciosa abrirá numa forma apenas de leitura).
As tecnologias de isolamento facilitam às empresas o cumprimento de regulamentos como PCI DSS e HIPAA, implementando soluções seguras de correio electrónico que utilizam encriptação baseada em anfitrião (HBE).
4. Criar Filtros Spam Eficazes
A filtragem de e-mails envolve a verificação de mensagens de e-mail em relação a uma lista de regras antes de serem entregues ao sistema de recepção. As regras podem ser estabelecidas pelos utilizadores ou automaticamente com base em determinados critérios. A filtragem é tipicamente utilizada para verificar que as mensagens enviadas de certas fontes não são maliciosas ou não contêm qualquer conteúdo inesperado.
A melhor maneira de criar um filtro de spam eficaz é analisar como os spammers utilizam técnicas que tornam as suas mensagens difíceis de detectar antes de chegarem às caixas de entrada dos destinatários. Esta análise deverá ajudá-lo a desenvolver filtros que identificarão o spam e impedirão que este chegue à caixa de entrada.
Felizmente, existem algumas soluções disponíveis (como o DMARC) que automatizam grande parte deste processo, permitindo que as empresas definam regras específicas para cada mensagem, de modo a que apenas as que correspondem a essas regras sejam processadas pelos filtros.
5. Implementar protocolos de autenticação de e-mail
O DMARC é um passo importante para assegurar que os seus utilizadores recebam as mensagens que esperam do seu negócio e que a informação sensível nunca chegue a mãos involuntárias.
É um protocolo de autenticação de e-mail que permite aos proprietários de domínios rejeitarem mensagens que não cumpram determinados critérios. Isto pode ser utilizado como forma de evitar spam e phishing, mas também é útil para evitar o envio de e-mails enganosos aos seus clientes.
Se está a construir um modelo de conformidade de segurança de e-mail para o seu negócio, precisa de DMARC para ajudar a proteger a sua marca de ser manchada por e-mails maliciosos enviados de fontes externas que podem tentar imitar o nome ou domínio do negócio para defraudar os seus clientes leais. .
Como cliente de um negócio com mensagens de correio electrónico habilitado para DMARC, pode ter a certeza de que está a receber comunicações legítimas do negócio.
Ler relacionado: Alterações à verificação de correio eletrónico do NCSC e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido
6. Alinhar a segurança do correio electrónico com uma estratégia global
A estratégia global do seu programa de conformidade de segurança de correio electrónico é assegurar que a sua organização cumpra todos os regulamentos governamentais relevantes. Estes incluem regulamentos relacionados com as seguintes áreas: identificação do remetente, opt-ins, opt-outs, e tempo de processamento de pedidos.
Para o conseguir, é necessário desenvolver um plano que aborde cada uma destas áreas separadamente e depois integrá-las de modo a que se apoiem mutuamente.
Deve também considerar a possibilidade de diferenciar a sua estratégia de correio electrónico nas diferentes regiões com base nas políticas distintas que cada uma tem. Por exemplo, nos EUA, existem muitos regulamentos diferentes relativos ao spamming que exigem meios de implementação diferentes dos exigidos noutros países, como a Índia ou a China, onde os regulamentos sobre spamming são menos rigorosos.
Confira o nosso segurança do correio electrónico corporativo lista de verificação para proteger os seus domínios e sistemas corporativos.
Construir um modelo de conformidade de segurança de e-mail para o seu negócio: Etapas adicionais
- Desenvolver um plano de recolha de dados que inclua os tipos de informação que gostaria de recolher, com que frequência gostaria de a recolher e quanto tempo deve demorar a sua recolha
- Formar os funcionários com software de formação de conformidade sobre como utilizar o correio electrónico de forma segura e protegida, instituindo políticas, procedimentos e módulos de formação sobre a utilização adequada do correio electrónico no local de trabalho.
- Avalie as suas actuais medidas de segurança de correio electrónico para ver se estão actualizadas com as melhores práticas da indústria, e considere a possibilidade de actualizar, se necessário.
- Determine que tipo de dados de recursos humanos necessitam de ser mantidos privados ou confidenciais e como serão comunicados aos seus empregados, parceiros e vendedores, incluindo quaisquer terceiros envolvidos na criação de conteúdos para o seu website ou canais de comunicação social.
- Criar uma lista de todos os empregados que têm acesso a informação sensível/confidencial e desenvolver um plano para monitorizar a sua utilização de ferramentas de comunicação por correio electrónico.
Quem é responsável pelo cumprimento da segurança do correio electrónico na sua empresa?
Gestores de TI - O gestor de TI é responsável pela conformidade geral da segurança do correio electrónico da sua organização. São eles que asseguram que as políticas de segurança da empresa são seguidas e que todos os funcionários receberam formação sobre elas.
sysadmins - Sysadmins são responsáveis pela instalação e configuração de servidores de e-mail, bem como qualquer outra infra-estrutura informática que possa ser necessária para executar um sistema de e-mail bem sucedido. Devem compreender que tipo de dados estão a ser armazenados, quem tem acesso aos mesmos, e como serão utilizados.
Compliance Officers - São responsáveis por assegurar que a empresa cumpra todas as leis relativas ao cumprimento da segurança do correio electrónico.
Empregados - Os empregados são responsáveis por seguir as políticas e procedimentos de segurança de correio electrónico da empresa, bem como quaisquer instruções ou orientações adicionais do seu gestor ou supervisor.
Fornecedores de serviços terceiros - Pode subcontratar a segurança do seu correio eletrónico a terceiros, o que lhe poupará tempo e dinheiro. Por exemplo, um serviço gerido por DMARC gerido por terceiros pode ajudá-lo a implementar os seus protocolos em poucos minutos, gerir e monitorizar os seus relatórios DMARC, resolver erros e fornecer orientação especializada para obter facilmente a conformidade.
Como podemos contribuir para a sua jornada de Conformidade de Segurança de Email?
PowerDMARC, fornece soluções de segurança de correio electrónico para empresas em todo o mundo, tornando o seu sistema de correio comercial mais seguro contra phishing e spoofing. .
Ajudamos os proprietários de domínios a mudarem para uma infraestrutura de correio eletrónico compatível com DMARC, com uma política de(p=rejeitar) aplicada sem qualquer lapso na capacidade de entrega. A nossa solução é fornecida com um período de teste gratuito (não são necessários dados do cartão) para que possa testá-la antes de tomar qualquer decisão a longo prazo. teste DMARC agora!
- Quanto tempo demoram os registos SPF e DMARC a propagar-se? - fevereiro 12, 2025
- Como as ferramentas de pentest automatizadas revolucionam o e-mail e a segurança cibernética - 3 de fevereiro de 2025
- Estudo de caso de MSP: Hubelia simplificou o gerenciamento de segurança do domínio do cliente com o PowerDMARC - 31 de janeiro de 2025