Även det mest erfarna och väl förberedda företag kan överraskas av en e-postkompromiss. Det är därför det är så viktigt att bygga upp en effektiv efterlevnadsmodell för e-postsäkerhet.
Vad är efterlevnad av e-postsäkerhet?
E-postsäkerhet efterlevnad är en process för att övervaka, upprätthålla och tillämpa policyer och kontroller för att säkerställa sekretessen för elektronisk kommunikation. Detta kan göras genom regelbundna e-postrevisioner eller genom löpande övervakningsinsatser.
Varje organisation bör ha en dokumenterad modell för säkerhetsöverensstämmelse (SCM) som beskriver policyer, förfaranden och aktiviteter som rör efterlevnad av e-postsäkerhet. Detta säkerställer att inga överträdelser av kommunikationen sker inom organisationen och bidrar till att behålla affärspartners som kan vara försiktiga med företag med dåliga säkerhetsrutiner.
Förståelse för regler om efterlevnad av e-postsäkerhet för företag
Lagstiftningen om efterlevnad av e-postsäkerhet tjänar som en rättslig ram för att garantera säkerheten och integriteten för den information som lagras i e-post. Dessa lagar tillämpas av olika nationella regeringar och är ett växande problem för företag i alla former och storlekar.
Nedan har vi gett en kort översikt över de krav som ställs på företag som hanterar e-postkommunikation, tillsammans med en allmän översikt över de olika rättsliga ramar som är tillämpliga för att bygga upp en ordentlig efterlevnad av e-postsäkerheten för ditt företag.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
Health Insurance Portability and Accountability Act(HIPAA) och Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP och PCI DSS är alla förordningar som kräver att organisationer skyddar sekretessen och säkerheten för elektroniskt skyddad hälsoinformation (ePHI). ePHI är all information som överförs elektroniskt mellan berörda enheter eller affärspartner.
Lagarna kräver att de berörda enheterna ska införa riktlinjer, förfaranden och tekniska kontroller som är anpassade till arten av de uppgifter som de behandlar, samt andra skyddsåtgärder som är nödvändiga för att de ska kunna fullgöra sitt ansvar enligt HIPAA och SOC 2. Dessa bestämmelser gäller för alla enheter som överför eller tar emot PHI i elektronisk form för en annan enhets räkning, men de gäller också för alla affärspartner och andra enheter som tar emot PHI från en täckt enhet.
På vilket företag tillämpas denna förordning?
Denna förordning gäller alla företag som samlar in, lagrar eller överför PHI (Protected Health Information) elektroniskt. Den gäller också alla företag som deltar i tillhandahållandet av en täckt elektronisk patientjournal (eHealth Record) eller andra täckta hälso- och sjukvårdstjänster på elektronisk väg. Dessa bestämmelser är utformade för att skydda både patienternas integritet och säkerheten för patientuppgifter från obehörig åtkomst av tredje part.
b. GDPR
Den allmänna dataskyddsförordningen (GDPR) är en förordning som har genomförts av Europeiska unionen. Den är utformad för att skydda EU-medborgarnas personuppgifter och har kallats "den viktigaste integritetslagen på en generation".
GDPR kräver att företag ska vara öppna för hur de använder kunddata och tillhandahålla tydliga riktlinjer för hur de hanterar dessa data. Den kräver också att företagen ska avslöja vilken information de samlar in och lagrar om kunderna och erbjuda enkla sätt för individer att få tillgång till denna information. Dessutom förbjuder GDPR företag att använda personuppgifter för andra ändamål än de som de samlades in för.
På vilket företag tillämpas denna förordning?
Den gäller alla företag som samlar in uppgifter i EU och kräver att företagen ska ha ett uttryckligt samtycke från de personer vars personuppgifter de samlar in. GDPR medför också böter vid bristande efterlevnad, så du måste ha ordning på dina ankor innan du börjar samla in personuppgifter.
c. CAN-SPAM
CAN-SPAM är en federal lag som antogs av kongressen 2003 och som kräver att kommersiell e-post från företag ska innehålla viss information om ursprunget, inklusive avsändarens fysiska adress och telefonnummer. Lagen kräver också att kommersiella meddelanden ska innehålla en returadress, som måste vara en adress inom avsändarens domän.
CAN-SPAM-lagen uppdaterades senare för att inkludera strängare krav för kommersiell e-post. De nya reglerna kräver att avsändare av e-post ska identifiera sig tydligt och korrekt, ange en legitim returadress och inkludera en länk för avregistrering längst ner i varje e-postmeddelande.
På vilket företag tillämpas denna förordning?
CAN-SPAM-lagen är tillämplig på alla kommersiella meddelanden, även de som skickas av företag till konsumenter och vice versa, så länge de uppfyller vissa krav. Bestämmelserna är avsedda att skydda företag från spamming, dvs. när någon skickar ett meddelande i syfte att få dig att klicka på en länk eller öppna en bilaga. Lagen skyddar också konsumenter från skräppost som skickas av företag som försöker sälja något till dem.
Hur du bygger upp en modell för efterlevnad av e-postsäkerhet för ditt företag
Modellen för efterlevnad av e-postsäkerheten är utformad för att kontrollera att en organisations servrar och e-postprogram följer tillämpliga lagar, branschgemensamma standarder och direktiv. Modellen hjälper organisationer att upprätta riktlinjer och förfaranden som möjliggör insamling och skydd av kunddata genom att upptäcka, förebygga, utreda och åtgärda potentiella säkerhetsincidenter.
Nedan får du veta hur du bygger en modell som hjälper till med e-postsäkerheten samt tips och avancerad teknik för att gå längre än efterlevnad.
1. Använd Secure Email Gateway
En e-postsäkerhetsgateway är en viktig försvarslinje för att skydda företagets e-postkommunikation. Den hjälper till att se till att endast den avsedda mottagaren får e-postmeddelandet, och den blockerar också skräppost och nätfiskeförsök.
Du kan använda gatewayen för att hantera informationsflödet mellan din organisation och dess kunder. Du kan också dra nytta av funktioner som kryptering, som hjälper till att skydda känslig information som skickas via e-post genom att kryptera den innan den lämnar en dator och dekryptera den på vägen till en annan dator. Detta kan bidra till att förhindra att cyberbrottslingar kan läsa innehållet i e-postmeddelanden eller bilagor som skickas mellan olika datorer eller användare.
En säker e-postgateway kan också erbjuda funktioner som skräppostfiltrering och arkivering - allt detta är viktigt för att upprätthålla en organiserad och kompatibel atmosfär i ditt företag.
2. Utöva skydd efter leverans
Det finns flera sätt att bygga upp en modell för efterlevnad av e-postsäkerhet för ditt företag. Den vanligaste metoden är att använda modellen för att identifiera potentiella risker och sedan tillämpa Post-Delivery Protection (PDP) för dessa risker.
Skydd efter leverans är processen för att kontrollera att ett e-postmeddelande har levererats till den avsedda mottagaren. Detta innebär att mottagaren kan logga in i sin e-postklientprogramvara och kontrollera om meddelandet har kommit fram, samt att det bekräftas att meddelandet inte har filtrerats av skräppostfilter.
Skydd efter leverans kan uppnås genom att ha ett säkert nätverk eller en säker server där din e-post lagras och sedan kryptera den innan den levereras till de avsedda mottagarna. Det är viktigt att notera att endast en auktoriserad person bör ha tillgång till dessa filer så att de endast kan dekrypteras av dem.
3. Implementera isoleringsteknik
En modell för efterlevnad av e-postsäkerheten byggs upp genom att isolera alla slutpunkter för dina användare och deras webbtrafik. Isoleringsteknik fungerar genom att isolera användarens hela webbtrafik i en säker webbläsare i molnet. Detta innebär att e-post som skickas via isoleringsteknik krypteras på serversidan och dekrypteras på klientsidan i en "isolerad" station.
Därför kan inga externa datorer komma åt deras e-post och de kan inte ladda ner några skadliga program eller länkar. Även om någon klickar på en länk i ett e-postmeddelande som innehåller skadlig kod, kan den skadliga koden inte infektera datorn eller nätverket (eftersom den skadliga länken öppnas i skrivskyddad form).
Isoleringsteknik gör det enkelt för företag att följa bestämmelser som PCI DSS och HIPAA genom att implementera säkra e-postlösningar som använder värdbaserad kryptering (HBE).
4. Skapa effektiva skräppostfilter
E-postfiltrering innebär att e-postmeddelanden kontrolleras mot en lista med regler innan de levereras till det mottagande systemet. Reglerna kan ställas in av användare eller automatiskt utifrån vissa kriterier. Filtrering används vanligtvis för att kontrollera att meddelanden som skickas från vissa källor inte är skadliga eller innehåller oväntat innehåll.
Det bästa sättet att skapa ett effektivt skräppostfilter är att analysera hur spammare använder tekniker som gör det svårt att upptäcka deras meddelanden innan de når mottagarnas inboxar. Denna analys bör hjälpa dig att utveckla filter som identifierar skräppost och förhindrar att den når inkorgen.
Lyckligtvis finns det lösningar (som DMARC) som automatiserar en stor del av den här processen genom att företag kan definiera specifika regler för varje meddelande så att endast de meddelanden som matchar dessa regler behandlas av filtren.
5. Implementera protokoll för autentisering av e-post
DMARC är ett viktigt steg för att se till att dina användare får de meddelanden de förväntar sig från ditt företag och att känslig information aldrig hamnar i obehöriga händer.
Det är ett protokoll för autentisering av e-post som gör det möjligt för domänägare att avvisa meddelanden som inte uppfyller vissa kriterier. Detta kan användas som ett sätt att förhindra skräppost och nätfiske, men det är också användbart för att förhindra att vilseledande e-postmeddelanden skickas till dina kunder.
Om du bygger upp en modell för efterlevnad av e-postsäkerhet för ditt företag behöver du DMARC för att skydda ditt varumärke från att bli skadat av skadlig e-post som skickas från externa källor och som kan försöka utge sig för att vara företagets namn eller domän för att lura dina lojala kunder. .
Som kund hos ett företag med DMARC-aktiverade e-postmeddelanden kan du vara säker på att du får legitima meddelanden från företaget.
6. Anpassa e-postsäkerheten till en övergripande strategi
Den övergripande strategin för ditt program för efterlevnad av e-postsäkerhet är att se till att din organisation följer alla relevanta myndighetsföreskrifter. Dessa omfattar bestämmelser som rör följande områden: avsändar-ID, opt-in, opt-out och handläggningstid för begäran.
För att uppnå detta måste du utveckla en plan som tar upp vart och ett av dessa områden separat och sedan integrera dem på ett sådant sätt att de stöder varandra.
Du bör också överväga att differentiera din e-poststrategi mellan olika regioner utifrån de olika policyer som finns i varje region. I USA finns det till exempel många olika bestämmelser om spamming som kräver andra metoder för att genomföra dem än i andra länder, till exempel Indien eller Kina, där bestämmelserna om spamming är mindre stränga.
Kolla in vår e-postsäkerhet för företag checklista för att säkra företagets domäner och system.
Uppbyggnad av en modell för efterlevnad av e-postsäkerhet för ditt företag: Ytterligare steg
- Utarbeta en plan för datainsamling som inkluderar vilka typer av information du vill samla in, hur ofta du vill samla in den och hur lång tid det ska ta att samla in den.
- Utbilda de anställda med hjälp av programvara för utbildning i efterlevnad om hur man använder e-post på ett säkert sätt genom att införa riktlinjer, förfaranden och utbildningsmoduler om korrekt användning av e-post på arbetsplatsen.
- Utvärdera dina nuvarande åtgärder för e-postsäkerhet för att se om de är uppdaterade med branschens bästa praxis, och överväg att uppgradera om det behövs.
- Bestäm vilken typ av personaluppgifter som behöver hållas privata eller konfidentiella och hur de ska kommuniceras till dina anställda, partners och leverantörer, inklusive tredje parter som är involverade i att skapa innehåll för din webbplats eller sociala medier.
- Skapa en lista över alla anställda som har tillgång till känslig/konfidentiell information och ta fram en plan för att övervaka deras användning av verktyg för e-postkommunikation.
Vem är ansvarig för efterlevnaden av e-postsäkerheten i ditt företag?
IT-chefer - IT-chefen är ansvarig för den övergripande efterlevnaden av e-postsäkerheten i organisationen. Det är de som ser till att företagets säkerhetspolicy följs och att alla anställda har fått utbildning om den.
Sysadmins - Sysadmins ansvarar för att installera och konfigurera e-postservrar och annan IT-infrastruktur som kan vara nödvändig för att driva ett framgångsrikt e-postsystem. De måste förstå vilken typ av data som lagras, vem som har tillgång till den och hur den kommer att användas.
Compliance Officers - De är ansvariga för att se till att företaget följer alla lagar om efterlevnad av e-postsäkerhet.
Anställda - Anställda är ansvariga för att följa företagets policyer och förfaranden för e-postsäkerhet samt eventuella ytterligare instruktioner eller vägledning från sin chef eller handledare.
Tredjepartsleverantörer - Du kan lägga ut säkerheten för din e-post på tredje part, vilket sparar både tid och pengar. Till exempel kan en tredje part DMARC-hanterad tjänst tjänsteleverantör hjälpa dig att implementera dina protokoll inom några minuter, hantera och övervaka dina DMARC-rapporter, felsöka fel och ge expertvägledning för att enkelt uppnå efterlevnad.
Hur kan vi bidra till din resa för efterlevnad av e-postsäkerhet?
PowerDMARC tillhandahåller e-postsäkerhetslösningar för företag över hela världen och gör ditt företags e-postsystem säkrare mot phishing och spoofing. .
Vi hjälper domänägare att övergå till en DMARC-kompatibel e-postinfrastruktur med en policy för att avvisa (p=reject) utan att leveransförmågan försämras. Vår lösning levereras med en gratis provperiod (inga kortuppgifter behövs) så att du kan testa den innan du fattar några långsiktiga beslut. DMARC-testversion nu!