Correios

Mesmo a empresa mais experiente e bem preparada pode ser apanhada desprevenida por um compromisso por e-mail. É por isso que é essencial construir um modelo eficaz de conformidade de segurança de correio electrónico.

O que é o Cumprimento da Segurança do Email?

Segurança do correio electrónico A conformidade é o processo de monitorização, manutenção e aplicação de políticas e controlos para assegurar a confidencialidade das comunicações electrónicas. Isto pode ser feito através de auditorias regulares por correio electrónico ou de esforços contínuos de monitorização.

Cada organização deve ter um Modelo de Conformidade de Segurança (SCM) documentado que descreva as suas políticas, procedimentos, e actividades relacionadas com a conformidade da segurança do correio electrónico. Isto assegura que não ocorrem violações de comunicação dentro da sua organização e ajuda a manter parceiros comerciais que possam estar desconfiados de empresas com más práticas de segurança.

Compreensão do Regulamento de Conformidade de Segurança de Email para Empresas

As leis de conformidade da segurança do correio electrónico servem de enquadramento legal para garantir a segurança e a privacidade da informação armazenada no correio electrónico. Estas leis são aplicadas por vários governos nacionais e constituem uma preocupação crescente para empresas de todas as formas e tamanhos.

Abaixo, apresentamos uma breve panorâmica dos requisitos impostos às empresas que tratam da comunicação por correio electrónico, juntamente com uma panorâmica geral dos vários quadros legais aplicáveis para o cumprimento de uma conformidade de segurança de correio electrónico adequada à sua empresa.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

A Health Insurance Portability and Accountability Act(HIPAA) e as Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP, e PCI DSS são todos regulamentos que requerem que as organizações protejam a privacidade e segurança da informação de saúde protegida electronicamente (ePHI). ePHI é qualquer informação que é transmitida electronicamente entre entidades cobertas ou associados comerciais.

As leis exigem que as entidades abrangidas implementem políticas, procedimentos e controlos técnicos adequados à natureza dos dados que processam, bem como outras salvaguardas necessárias ao cumprimento das suas responsabilidades no âmbito da HIPAA e SOC 2. Estes regulamentos aplicam-se a todas as entidades que transmitem ou recebem DCC em formato electrónico em nome de outra entidade; contudo, também se aplicam a todos os associados comerciais e outras entidades que recebem DCC de uma entidade coberta.

A que empresas se aplica este regulamento?

Este regulamento aplica-se a qualquer empresa que recolhe, armazena, ou transmite electronicamente PHI (Informação Sanitária Protegida). Aplica-se também a qualquer empresa que esteja envolvida no fornecimento de um Registo de Saúde Electrónico Coberto (eHealth Record) ou outros serviços de saúde cobertos electronicamente. Estes regulamentos foram concebidos para proteger tanto a privacidade dos pacientes como a segurança dos dados dos pacientes contra o acesso não autorizado por terceiros.

b. GDPR

O Regulamento Geral de Protecção de Dados (GDPR) é um regulamento implementado pela União Europeia. Foi concebido para proteger os dados pessoais dos cidadãos da UE, e tem sido chamado "a mais importante lei de privacidade de uma geração".

A GDPR exige que as empresas sejam transparentes sobre a forma como utilizam os dados dos clientes, bem como que forneçam políticas claras sobre a forma como lidam com esses dados. Também exige que as empresas revelem que informação recolhem e armazenam sobre os clientes, e ofereçam formas fáceis de acesso a essa informação por parte dos indivíduos. Além disso, a GDPR proíbe as empresas de utilizarem dados pessoais para fins diferentes daqueles para os quais foram recolhidos.

A que empresas se aplica este regulamento?

Aplica-se a todas as empresas que recolhem dados na UE, e requer o consentimento explícito das empresas cujas informações pessoais recolhem. A GDPR também vem com multas por não cumprimento, pelo que deve obter os seus patos em fila antes de começar a recolher qualquer informação pessoal.

c. CAN-SPAM

CAN-SPAM é uma lei federal aprovada pelo Congresso em 2003 que exige que os e-mails comerciais comerciais incluam certas informações sobre a sua origem, incluindo o endereço físico e o número de telefone do remetente. A lei também exige que as mensagens comerciais incluam um endereço de retorno, que deve ser um endereço dentro do domínio do remetente.

A lei CAN-SPAM foi posteriormente actualizada para incluir requisitos mais rigorosos para o correio electrónico comercial. As novas regras exigem que os remetentes de correio electrónico se identifiquem de forma clara e precisa, forneçam um endereço de retorno legítimo, e incluam uma ligação de cancelamento de subscrição na parte inferior de cada correio electrónico.

A que empresas se aplica este regulamento?

A Lei CAN-SPAM aplica-se a todas as mensagens comerciais, incluindo as enviadas pelas empresas aos consumidores e vice-versa, desde que cumpram certos requisitos. Os regulamentos destinam-se a proteger as empresas contra o spam, que é quando alguém envia uma mensagem com a intenção de o fazer clicar num link ou abrir um anexo. A lei também protege os consumidores do spam que é enviado por empresas que tentam vender-lhes algo.

Como construir um modelo de conformidade de segurança de e-mail para a sua empresa

O modelo de conformidade de segurança de correio electrónico foi concebido para verificar se os servidores e as aplicações de correio electrónico de uma organização cumprem as leis, normas e directivas aplicáveis em toda a indústria. O modelo ajuda as organizações a estabelecer políticas e procedimentos que prevêem a recolha e protecção de dados dos clientes através da detecção, prevenção, investigação e remediação de potenciais incidentes de segurança.

Abaixo aprenderá como construir um modelo que ajude na segurança do correio electrónico, assim como dicas e tecnologias avançadas para ir além da conformidade.

1. Utilizar o Secure Email Gateway

Um portal de segurança de correio electrónico é uma importante linha de defesa para proteger as comunicações de correio electrónico da sua empresa. Ajuda a garantir que apenas o destinatário pretendido recebe o e-mail, e também bloqueia as tentativas de spam e phishing.

Pode utilizar o portal para gerir o fluxo de informação entre a sua organização e os seus clientes. Para além de tirar partido de funcionalidades como a encriptação, que ajuda a proteger a informação sensível enviada por correio electrónico, encriptando-a antes de sair de um computador e descodificando-a no seu caminho para outro computador. Isto pode ajudar a evitar que os criminosos informáticos possam ler o conteúdo de e-mails ou anexos enviados entre diferentes computadores ou utilizadores.

Um portal seguro de correio electrónico também pode fornecer características como filtragem e arquivamento de spam - todas elas essenciais para manter uma atmosfera organizada e conforme na sua empresa.

2. Exercício de Protecção Pós-entrega

Há várias maneiras de construir um modelo de conformidade de segurança de correio electrónico para o seu negócio. O método mais comum é utilizar o modelo para identificar potenciais riscos, e depois aplicar a Protecção Pós-entrega (PDP) a esses riscos.

A protecção pós-entrega é o processo de verificação de que um e-mail foi entregue ao seu destinatário pretendido. Isto inclui a garantia de que o destinatário pode entrar no seu software cliente de correio electrónico e verificar a mensagem, bem como confirmar que o correio electrónico não foi filtrado por filtros de spam.

A protecção pós-entrega pode ser conseguida através de uma rede ou servidor seguro onde os seus e-mails são armazenados e depois encriptados antes de serem entregues aos destinatários pretendidos. É importante notar que apenas uma pessoa autorizada deve ter acesso a estes ficheiros para que possam ser descriptografados apenas por eles.

3. Implementar Tecnologias de Isolamento

Um modelo de conformidade de segurança de correio electrónico é construído isolando todos os pontos finais dos seus utilizadores e o seu tráfego web. As tecnologias de isolamento funcionam isolando todo o tráfego web de um utilizador num browser seguro baseado na nuvem. Isto significa que os e-mails enviados através da tecnologia de isolamento são encriptados no lado do servidor e desencriptados no lado do cliente numa estação 'isolada'.

Por conseguinte, nenhum computador externo pode aceder aos seus e-mails, e não podem descarregar quaisquer programas ou ligações maliciosos. Desta forma, mesmo que alguém clique numa ligação num e-mail que contenha malware, o malware não será capaz de infectar o seu computador ou rede (uma vez que a ligação maliciosa abrirá numa forma apenas de leitura).

As tecnologias de isolamento facilitam às empresas o cumprimento de regulamentos como PCI DSS e HIPAA, implementando soluções seguras de correio electrónico que utilizam encriptação baseada em anfitrião (HBE).

4. Criar Filtros Spam Eficazes

A filtragem de e-mails envolve a verificação de mensagens de e-mail em relação a uma lista de regras antes de serem entregues ao sistema de recepção. As regras podem ser estabelecidas pelos utilizadores ou automaticamente com base em determinados critérios. A filtragem é tipicamente utilizada para verificar que as mensagens enviadas de certas fontes não são maliciosas ou não contêm qualquer conteúdo inesperado.

A melhor maneira de criar um filtro de spam eficaz é analisar como os spammers utilizam técnicas que tornam as suas mensagens difíceis de detectar antes de chegarem às caixas de entrada dos destinatários. Esta análise deverá ajudá-lo a desenvolver filtros que identificarão o spam e impedirão que este chegue à caixa de entrada.

Felizmente, existem algumas soluções disponíveis (como o DMARC) que automatizam grande parte deste processo, permitindo às empresas definir regras específicas para cada mensagem de modo a que apenas as que correspondem a essas regras sejam processadas pelos filtros.

5. Implementar protocolos de autenticação de e-mail

O DMARC é um passo importante para assegurar que os seus utilizadores recebam as mensagens que esperam do seu negócio e que a informação sensível nunca chegue a mãos involuntárias.

É um protocolo de autenticação de e-mail que permite aos proprietários de domínios rejeitarem mensagens que não cumpram determinados critérios. Isto pode ser utilizado como forma de evitar spam e phishing, mas também é útil para evitar o envio de e-mails enganosos aos seus clientes.

Se está a construir um modelo de conformidade de segurança de e-mail para o seu negócio, precisa de DMARC para ajudar a proteger a sua marca de ser manchada por e-mails maliciosos enviados de fontes externas que podem tentar imitar o nome ou domínio do negócio para defraudar os seus clientes leais. .

Como cliente de um negócio com mensagens de correio electrónico habilitado para DMARC, pode ter a certeza de que está a receber comunicações legítimas do negócio.

6. Alinhar a segurança do correio electrónico com uma estratégia global

A estratégia global do seu programa de conformidade de segurança de correio electrónico é assegurar que a sua organização cumpra todos os regulamentos governamentais relevantes. Estes incluem regulamentos relacionados com as seguintes áreas: identificação do remetente, opt-ins, opt-outs, e tempo de processamento de pedidos.

Para o conseguir, é necessário desenvolver um plano que aborde cada uma destas áreas separadamente e depois integrá-las de modo a que se apoiem mutuamente.

Deve também considerar a possibilidade de diferenciar a sua estratégia de correio electrónico nas diferentes regiões com base nas políticas distintas que cada uma tem. Por exemplo, nos EUA, existem muitos regulamentos diferentes relativos ao spamming que exigem meios de implementação diferentes dos exigidos noutros países, como a Índia ou a China, onde os regulamentos sobre spamming são menos rigorosos.

Confira o nosso segurança do correio electrónico corporativo lista de verificação para proteger os seus domínios e sistemas corporativos.

Construir um modelo de conformidade de segurança de e-mail para o seu negócio: Etapas adicionais

  • Desenvolver um plano de recolha de dados que inclua os tipos de informação que gostaria de recolher, com que frequência gostaria de a recolher e quanto tempo deve demorar a sua recolha
  • Formar os funcionários sobre como utilizar o correio electrónico de forma segura e protegida, instituindo políticas, procedimentos e módulos de formação sobre a utilização adequada do correio electrónico no seu local de trabalho.
  • Avalie as suas actuais medidas de segurança de correio electrónico para ver se estão actualizadas com as melhores práticas da indústria, e considere a possibilidade de actualizar, se necessário.
  • Determine que tipo de dados de recursos humanos necessitam de ser mantidos privados ou confidenciais e como serão comunicados aos seus empregados, parceiros e vendedores, incluindo quaisquer terceiros envolvidos na criação de conteúdos para o seu website ou canais de comunicação social.
  • Criar uma lista de todos os empregados que têm acesso a informação sensível/confidencial e desenvolver um plano para monitorizar a sua utilização de ferramentas de comunicação por correio electrónico.

Quem é responsável pelo cumprimento da segurança do correio electrónico na sua empresa?

Gestores de TI - O gestor de TI é responsável pela conformidade geral da segurança do correio electrónico da sua organização. São eles que asseguram que as políticas de segurança da empresa são seguidas e que todos os funcionários receberam formação sobre elas.

sysadmins - Sysadmins são responsáveis pela instalação e configuração de servidores de e-mail, bem como qualquer outra infra-estrutura informática que possa ser necessária para executar um sistema de e-mail bem sucedido. Devem compreender que tipo de dados estão a ser armazenados, quem tem acesso aos mesmos, e como serão utilizados.

Compliance Officers - São responsáveis por assegurar que a empresa cumpra todas as leis relativas ao cumprimento da segurança do correio electrónico.

Empregados - Os empregados são responsáveis por seguir as políticas e procedimentos de segurança de correio electrónico da empresa, bem como quaisquer instruções ou orientações adicionais do seu gestor ou supervisor.

Fornecedores de serviços de terceiros - Pode subcontratar a segurança do seu correio electrónico a terceiros, o que lhe poupará tempo e dinheiro. Por exemplo, uma terceira parte Serviço gerido por DMARC O fornecedor pode ajudá-lo a implementar os seus protocolos dentro de poucos minutos, gerir e monitorizar os seus relatórios DMARC, solucionar erros e fornecer orientação especializada para obter facilmente a conformidade.

Como podemos contribuir para a sua jornada de Conformidade de Segurança de Email?

PowerDMARC, fornece soluções de segurança de correio electrónico para empresas em todo o mundo, tornando o seu sistema de correio comercial mais seguro contra phishing e spoofing. .

Ajudamos os proprietários de domínios a mudar para uma infra-estrutura de correio electrónico compatível com DMARC com uma política aplicada (p=rejeitar) sem qualquer lapso na entregabilidade. A nossa solução vem com um período experimental gratuito (não são necessários detalhes do cartão) para que possa testá-lo antes de tomar qualquer decisão a longo prazo. Ensaio DMARC agora!

O cumprimento da cibersegurança é uma área de preocupação crescente para muitas empresas. É importante que a sua empresa esteja ciente dos requisitos e tenha um plano em vigor para alcançar a conformidade.

O cumprimento da ciber-segurança envolve o seguinte

  1. Conduzir avaliações de risco no seu negócio, incluindo os riscos colocados por ameaças externas, tais como vírus e malware, e ameaças internas, tais como o uso indevido de informação confidencial por parte de quem está por dentro.
  2. Criação de uma equipa de resposta a incidentes que possa responder rapidamente a qualquer incidente. Devem também ser treinados em como responder a ciberataques.
  3. Implementar um sistema de detecção de intrusão que monitoriza a rede e o tráfego de correio electrónico para actividades não autorizadas como um Analisador DMARC.
  4. Desenvolver uma forte estratégia de ciber-segurança que inclua as melhores práticas para o desenvolvimento de controlos de segurança e a formação dos funcionários sobre como utilizá-los correctamente.

O que é o Cybersecurity Compliance?

O cumprimento da cibersegurança é um conjunto de normas que as empresas e organizações devem seguir para serem consideradas "conformes". Estas normas podem variar dependendo do tipo de entidade ou organização, mas geralmente incluem políticas, procedimentos e controlos que asseguram que uma empresa se protege contra ciberataques.

Por exemplo, se a sua organização utiliza o correio electrónico como modo de comunicação, precisa de implementar protocolos de segurança e autenticação de correio electrónico como o DMARC para proteger as suas transacções de correio electrónico e verificar as fontes de envio. A sua falta pode tornar o seu domínio vulnerável a ataques de spoofing, phishing e ransomware. 

Uma das coisas mais importantes que pode fazer para proteger a sua empresa é certificar-se de que as suas práticas de cibersegurança estão à altura do "snuff". Não se pode dar ao luxo de ignorar violações da segurança cibernética - são a forma mais fácil para os hackers entrarem na sua rede e causarem-lhe graves danos.

Mas o que é exactamente o cumprimento da ciber-segurança?

O cumprimento da cibersegurança é um conjunto de melhores práticas que as empresas utilizam nas suas operações diárias para se protegerem de ataques cibernéticos. Estas melhores práticas incluem:

  • Manutenção de uma rede segura
  • Manter os sistemas remendados e actualizados com patches de segurança
  • Salvaguardar a informação e os dados dos clientes
  • Salvaguardar os seus próprios dados e comunicações por e-mail 

Por onde começar com o seu Cybersecurity Compliance?

O primeiro passo para alcançar o cumprimento da ciber-segurança é compreender o que se está a tentar alcançar.

Quais são os seus objectivos? Quais são as expectativas específicas da organização ou indivíduo que está a gerir a sua conformidade com a ciber-segurança? É para o próprio negócio, ou é para uma entidade externa que poderia ser uma agência governamental, uma organização como a NSA, ou mesmo um fornecedor de terceiros?

Se é para o próprio negócio, então terá de compreender como a sua organização funciona e como interage com outras entidades. Também vai querer saber que tipo de dados estão a recolher e onde os estão a armazenar. E se estiverem a utilizar serviços em nuvem como Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, ou Oracle Cloud Platform (OCP), então terá de descobrir se existem alguns controlos de segurança em torno desses serviços.

Se estiver a trabalhar com uma entidade externa como uma agência governamental ou um fornecedor de terceiros, então vai querer certificar-se de que eles têm uma boa compreensão tanto da sua organização e das suas necessidades como também do seu próprio processo de monitorização e resposta a ameaças. Também vai querer que eles estejam familiarizados com os tipos de ataques que podem acontecer contra os sistemas da sua empresa e como. 

Estratégia de Ciber-segurança e Conformidade: Um Plano em Acção

Segurança de Email

Comecemos com o básico: É necessário manter o seu sistema de correio electrónico seguro. Isso significa proteger o seu correio electrónico, mesmo que seja apenas uma única palavra-passe para todo o seu sistema. E precisa de se certificar de que quaisquer serviços externos que enviem ou recebam e-mails da sua organização são também seguros - e têm os mesmos requisitos de palavra-passe que os seus sistemas internos.

O sistema de correio electrónico da sua empresa é uma parte crítica do seu negócio. É a forma como se liga a potenciais clientes, clientes e empregados - e como envia actualizações e anúncios importantes.

Mas é também uma das partes mais vulneráveis da sua empresa.

Assim, se quiser ter a certeza de que os seus e-mails se mantêm privados e a salvo de hackers, o cumprimento da segurança cibernética é uma obrigação. Aqui estão algumas dicas para se certificar de que as suas mensagens de correio electrónico estão actualizadas sobre o cumprimento da segurança cibernética:

  1. Certifique-se de que está a utilizar encriptação(SSL) ao enviar informação sensível através de correio electrónico. Isto ajuda a garantir que ninguém possa interceptar ou ler o que está a ser enviado entre o seu computador e o dispositivo do destinatário pretendido.
  2. Definir políticas de senhas para que todos os utilizadores tenham senhas únicas que são alteradas regularmente, e nunca utilizadas em qualquer outro serviço ou aplicação na mesma conta ou dispositivo que o fornecedor do serviço de correio electrónico (ESP).
  3. Permitir a autenticação de dois factores (2FA) sempre que possível para que apenas pessoas autorizadas possam aceder às contas com 2FA activado - e mesmo assim apenas se já lhes tiver sido concedido acesso anteriormente por outra pessoa com 2FA já activado
  4. Proteja o seu domínio de e-mail contra spoofing, phishing, ransomware, e muito mais, implementando protocolos de autenticação de e-mail como DMARC, SPFe DKIM
  5. Proteja os seus e-mails em trânsito dos olhos curiosos de um agressor de homem no meio, aplicando uma transacção de e-mail encriptado em TLS com a ajuda de MTA-STS

A importância do Ciber-Conformidade de Segurança

Há muitas maneiras de uma empresa poder não cumprir com a ciber-segurança. Por exemplo, se a sua empresa tiver uma firewall desactualizada, é possível que os hackers possam usar o seu sistema como um ponto de passagem para os seus ataques de malware. Ou se a sua rede não estiver protegida por autenticação de dois factores, poderá correr o risco de ter o seu website hackeado. Ou se os seus emails não forem autenticados, pode abrir o caminho para ataques de falsificação e phishing. 

É importante notar que o cumprimento não protege contra todos os tipos de vectores de ameaça. As soluções de cibersegurança podem ajudar as organizações a impedir o acesso de hackers às suas redes, impedindo o roubo de propriedade intelectual, protegendo bens físicos como computadores e servidores, prevenindo infecções por malware que possam restringir o acesso a sistemas ou informações críticas, detectando fraudes nas transacções de pagamento em linha e impedindo outros ciberataques antes que estes aconteçam.