Inlägg

Uppbyggnad av en modell för efterlevnad av e-postsäkerhet för ditt företag [Detaljerad guide]

Även det mest erfarna och väl förberedda företaget kan bli överrumplat av en e-postkompromiss. Därför är det viktigt att bygga upp en effektiv modell för efterlevnad av e-postsäkerheten.

Vad är efterlevnad av e-postsäkerhet?

E-postsäkerhet efterlevnad är en process för att övervaka, upprätthålla och tillämpa policyer och kontroller för att säkerställa sekretessen för elektronisk kommunikation. Detta kan göras genom regelbundna e-postrevisioner eller genom löpande övervakningsinsatser.

Varje organisation bör ha en dokumenterad modell för säkerhetsöverensstämmelse (SCM) som beskriver policyer, förfaranden och aktiviteter som rör efterlevnad av e-postsäkerhet. Detta säkerställer att inga överträdelser av kommunikationen sker inom organisationen och bidrar till att behålla affärspartners som kan vara försiktiga med företag med dåliga säkerhetsrutiner.

Förståelse för regler om efterlevnad av e-postsäkerhet för företag

Lagstiftningen om efterlevnad av e-postsäkerhet tjänar som en rättslig ram för att garantera säkerheten och integriteten för den information som lagras i e-post. Dessa lagar tillämpas av olika nationella regeringar och är ett växande problem för företag i alla former och storlekar.

Nedan har vi gett en kort översikt över de krav som ställs på företag som hanterar e-postkommunikation, tillsammans med en allmän översikt över de olika rättsliga ramar som är tillämpliga för att bygga upp en ordentlig efterlevnad av e-postsäkerheten för ditt företag.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

Health Insurance Portability and Accountability Act(HIPAA) och Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP och PCI DSS är alla förordningar som kräver att organisationer skyddar sekretessen och säkerheten för elektroniskt skyddad hälsoinformation (ePHI). ePHI är all information som överförs elektroniskt mellan berörda enheter eller affärspartner.

Lagarna kräver att de berörda enheterna ska införa riktlinjer, förfaranden och tekniska kontroller som är anpassade till arten av de uppgifter som de behandlar, samt andra skyddsåtgärder som är nödvändiga för att de ska kunna fullgöra sitt ansvar enligt HIPAA och SOC 2. Dessa bestämmelser gäller för alla enheter som överför eller tar emot PHI i elektronisk form för en annan enhets räkning, men de gäller också för alla affärspartner och andra enheter som tar emot PHI från en täckt enhet.

På vilket företag tillämpas denna förordning?

Denna förordning gäller alla företag som samlar in, lagrar eller överför PHI (Protected Health Information) elektroniskt. Den gäller också alla företag som deltar i tillhandahållandet av en täckt elektronisk patientjournal (eHealth Record) eller andra täckta hälso- och sjukvårdstjänster på elektronisk väg. Dessa bestämmelser är utformade för att skydda både patienternas integritet och säkerheten för patientuppgifter från obehörig åtkomst av tredje part.

b. GDPR

Den allmänna dataskyddsförordningen (GDPR) är en förordning som har genomförts av Europeiska unionen. Den är utformad för att skydda EU-medborgarnas personuppgifter och har kallats "den viktigaste integritetslagen på en generation".

GDPR kräver att företag ska vara öppna för hur de använder kunddata och tillhandahålla tydliga riktlinjer för hur de hanterar dessa data. Den kräver också att företagen ska avslöja vilken information de samlar in och lagrar om kunderna och erbjuda enkla sätt för individer att få tillgång till denna information. Dessutom förbjuder GDPR företag att använda personuppgifter för andra ändamål än de som de samlades in för.

På vilket företag tillämpas denna förordning?

Den gäller alla företag som samlar in uppgifter i EU och kräver att företagen ska ha ett uttryckligt samtycke från de personer vars personuppgifter de samlar in. GDPR medför också böter vid bristande efterlevnad, så du måste ha ordning på dina ankor innan du börjar samla in personuppgifter.

c. CAN-SPAM

CAN-SPAM är en federal lag som antogs av kongressen 2003 och som kräver att kommersiell e-post från företag ska innehålla viss information om ursprunget, inklusive avsändarens fysiska adress och telefonnummer. Lagen kräver också att kommersiella meddelanden ska innehålla en returadress, som måste vara en adress inom avsändarens domän.

CAN-SPAM-lagen uppdaterades senare för att inkludera strängare krav för kommersiell e-post. De nya reglerna kräver att avsändare av e-post ska identifiera sig tydligt och korrekt, ange en legitim returadress och inkludera en länk för avregistrering längst ner i varje e-postmeddelande.

På vilket företag tillämpas denna förordning?

CAN-SPAM-lagen är tillämplig på alla kommersiella meddelanden, även de som skickas av företag till konsumenter och vice versa, så länge de uppfyller vissa krav. Bestämmelserna är avsedda att skydda företag från spamming, dvs. när någon skickar ett meddelande i syfte att få dig att klicka på en länk eller öppna en bilaga. Lagen skyddar också konsumenter från skräppost som skickas av företag som försöker sälja något till dem.

Hur du bygger upp en modell för efterlevnad av e-postsäkerhet för ditt företag

Modellen för efterlevnad av e-postsäkerheten är utformad för att kontrollera att en organisations servrar och e-postprogram följer tillämpliga lagar, branschgemensamma standarder och direktiv. Modellen hjälper organisationer att upprätta riktlinjer och förfaranden som möjliggör insamling och skydd av kunddata genom att upptäcka, förebygga, utreda och åtgärda potentiella säkerhetsincidenter.

Nedan får du veta hur du bygger en modell som hjälper till med e-postsäkerheten samt tips och avancerad teknik för att gå längre än efterlevnad.

1. Använd Secure Email Gateway

En e-postsäkerhetsgateway är en viktig försvarslinje för att skydda företagets e-postkommunikation. Den hjälper till att se till att endast den avsedda mottagaren får e-postmeddelandet, och den blockerar också skräppost och nätfiskeförsök.

Du kan använda gatewayen för att hantera informationsflödet mellan din organisation och dess kunder. Du kan också dra nytta av funktioner som kryptering, som hjälper till att skydda känslig information som skickas via e-post genom att kryptera den innan den lämnar en dator och dekryptera den på vägen till en annan dator. Detta kan bidra till att förhindra att cyberbrottslingar kan läsa innehållet i e-postmeddelanden eller bilagor som skickas mellan olika datorer eller användare.

En säker e-postgateway kan också erbjuda funktioner som skräppostfiltrering och arkivering - allt detta är viktigt för att upprätthålla en organiserad och kompatibel atmosfär i ditt företag.

2. Utöva skydd efter leverans

Det finns flera sätt att bygga upp en modell för efterlevnad av e-postsäkerhet för ditt företag. Den vanligaste metoden är att använda modellen för att identifiera potentiella risker och sedan tillämpa Post-Delivery Protection (PDP) för dessa risker.

Skydd efter leverans är processen för att kontrollera att ett e-postmeddelande har levererats till den avsedda mottagaren. Detta innebär att mottagaren kan logga in i sin e-postklientprogramvara och kontrollera om meddelandet har kommit fram, samt att det bekräftas att meddelandet inte har filtrerats av skräppostfilter.

Skydd efter leverans kan uppnås genom att ha ett säkert nätverk eller en säker server där din e-post lagras och sedan kryptera den innan den levereras till de avsedda mottagarna. Det är viktigt att notera att endast en auktoriserad person bör ha tillgång till dessa filer så att de endast kan dekrypteras av dem.

3. Implementera isoleringsteknik

En modell för efterlevnad av e-postsäkerheten byggs upp genom att isolera alla slutpunkter för dina användare och deras webbtrafik. Isoleringsteknik fungerar genom att isolera användarens hela webbtrafik i en säker webbläsare i molnet. Detta innebär att e-post som skickas via isoleringsteknik krypteras på serversidan och dekrypteras på klientsidan i en "isolerad" station.

Därför kan inga externa datorer komma åt deras e-post och de kan inte ladda ner några skadliga program eller länkar. Även om någon klickar på en länk i ett e-postmeddelande som innehåller skadlig kod, kan den skadliga koden inte infektera datorn eller nätverket (eftersom den skadliga länken öppnas i skrivskyddad form).

Isoleringsteknik gör det enkelt för företag att följa bestämmelser som PCI DSS och HIPAA genom att implementera säkra e-postlösningar som använder värdbaserad kryptering (HBE).

4. Skapa effektiva skräppostfilter

E-postfiltrering innebär att e-postmeddelanden kontrolleras mot en lista med regler innan de levereras till det mottagande systemet. Reglerna kan ställas in av användare eller automatiskt utifrån vissa kriterier. Filtrering används vanligtvis för att kontrollera att meddelanden som skickas från vissa källor inte är skadliga eller innehåller oväntat innehåll.

Det bästa sättet att skapa ett effektivt skräppostfilter är att analysera hur spammare använder tekniker som gör det svårt att upptäcka deras meddelanden innan de når mottagarnas inboxar. Denna analys bör hjälpa dig att utveckla filter som identifierar skräppost och förhindrar att den når inkorgen.

Lyckligtvis finns det lösningar (som DMARC) som automatiserar en stor del av den här processen genom att företag kan definiera specifika regler för varje meddelande så att endast de meddelanden som matchar dessa regler behandlas av filtren.

5. Implementera protokoll för autentisering av e-post

DMARC är ett viktigt steg för att se till att dina användare får de meddelanden de förväntar sig från ditt företag och att känslig information aldrig hamnar i obehöriga händer.

Det är ett protokoll för autentisering av e-post som gör det möjligt för domänägare att avvisa meddelanden som inte uppfyller vissa kriterier. Detta kan användas som ett sätt att förhindra skräppost och nätfiske, men det är också användbart för att förhindra att vilseledande e-postmeddelanden skickas till dina kunder.

Om du bygger upp en modell för efterlevnad av e-postsäkerhet för ditt företag behöver du DMARC för att skydda ditt varumärke från att bli skadat av skadlig e-post som skickas från externa källor och som kan försöka utge sig för att vara företagets namn eller domän för att lura dina lojala kunder. .

Som kund hos ett företag med DMARC-aktiverade e-postmeddelanden kan du vara säker på att du får legitima meddelanden från företaget.

6. Anpassa e-postsäkerheten till en övergripande strategi

Den övergripande strategin för ditt program för efterlevnad av e-postsäkerhet är att se till att din organisation följer alla relevanta myndighetsföreskrifter. Dessa omfattar bestämmelser som rör följande områden: avsändar-ID, opt-in, opt-out och handläggningstid för begäran.

För att uppnå detta måste du utveckla en plan som tar upp vart och ett av dessa områden separat och sedan integrera dem på ett sådant sätt att de stöder varandra.

Du bör också överväga att differentiera din e-poststrategi mellan olika regioner utifrån de olika policyer som finns i varje region. I USA finns det till exempel många olika bestämmelser om spamming som kräver andra metoder för att genomföra dem än i andra länder, till exempel Indien eller Kina, där bestämmelserna om spamming är mindre stränga.

Kolla in vår e-postsäkerhet för företag checklista för att säkra företagets domäner och system.

Uppbyggnad av en modell för efterlevnad av e-postsäkerhet för ditt företag: Ytterligare steg

  • Utarbeta en plan för datainsamling som inkluderar vilka typer av information du vill samla in, hur ofta du vill samla in den och hur lång tid det ska ta att samla in den.
  • Utbilda de anställda i hur man använder e-post på ett säkert sätt genom att införa riktlinjer, förfaranden och utbildningsmoduler om korrekt användning av e-post på arbetsplatsen.
  • Utvärdera dina nuvarande åtgärder för e-postsäkerhet för att se om de är uppdaterade med branschens bästa praxis, och överväg att uppgradera om det behövs.
  • Bestäm vilken typ av personaluppgifter som behöver hållas privata eller konfidentiella och hur de ska kommuniceras till dina anställda, partners och leverantörer, inklusive tredje parter som är involverade i att skapa innehåll för din webbplats eller sociala medier.
  • Skapa en lista över alla anställda som har tillgång till känslig/konfidentiell information och ta fram en plan för att övervaka deras användning av verktyg för e-postkommunikation.

Vem är ansvarig för efterlevnaden av e-postsäkerheten i ditt företag?

IT-chefer - IT-chefen är ansvarig för den övergripande efterlevnaden av e-postsäkerheten i organisationen. Det är de som ser till att företagets säkerhetspolicy följs och att alla anställda har fått utbildning om den.

Sysadmins - Sysadmins ansvarar för att installera och konfigurera e-postservrar och annan IT-infrastruktur som kan vara nödvändig för att driva ett framgångsrikt e-postsystem. De måste förstå vilken typ av data som lagras, vem som har tillgång till den och hur den kommer att användas.

Compliance Officers - De är ansvariga för att se till att företaget följer alla lagar om efterlevnad av e-postsäkerhet.

Anställda - Anställda är ansvariga för att följa företagets policyer och förfaranden för e-postsäkerhet samt eventuella ytterligare instruktioner eller vägledning från sin chef eller handledare.

Tredjepartsleverantörer - Du kan lägga ut säkerheten för din e-post på tredje part, vilket sparar både tid och pengar. Till exempel kan en tredje part DMARC-styrd tjänst kan hjälpa dig att implementera dina protokoll på några minuter, hantera och övervaka dina DMARC-rapporter, felsöka fel och ge expertrådgivning för att du enkelt ska kunna uppfylla kraven.

Hur kan vi bidra till din resa för efterlevnad av e-postsäkerhet?

PowerDMARC tillhandahåller e-postsäkerhetslösningar för företag över hela världen och gör ditt företags e-postsystem säkrare mot phishing och spoofing. .

Vi hjälper domänägare att övergå till en DMARC-kompatibel e-postinfrastruktur med en policy för att avvisa (p=reject) utan att leveransförmågan försämras. Vår lösning levereras med en gratis provperiod (inga kortuppgifter behövs) så att du kan testa den innan du fattar några långsiktiga beslut. DMARC-testversion nu!

/av

Överensstämmelse av cybersäkerhet 101

Efterlevnad av cybersäkerhet är ett växande problem för många företag. Det är viktigt att ditt företag är medvetet om kraven och har en plan för att uppfylla kraven.

Överensstämmelse med cybersäkerhet innebär följande:

  1. Genomföra riskbedömningar av din verksamhet, inklusive risker som orsakas av externa hot, t.ex. virus och skadlig kod, och interna hot, t.ex. missbruk av konfidentiell information från insiders sida.
  2. Skapa ett team för incidenthantering som snabbt kan reagera på alla incidenter. De bör också utbildas i hur man reagerar på cyberattacker.
  3. Implementera ett intrångsdetekteringssystem som övervakar nätverket och e-posttrafiken för att upptäcka obehörig aktivitet, till exempel en DMARC-analysator.
  4. Utveckla en stark strategi för cybersäkerhet som omfattar bästa praxis för att utveckla säkerhetskontroller och utbilda anställda i hur de ska använda dem korrekt och hur man stoppar bedrägerier på nätet.

Vad är efterlevnad av cybersäkerhet?

Överensstämmelse av cybersäkerhet är en uppsättning standarder som företag och organisationer måste följa för att anses vara "överensstämmande". Dessa standarder kan variera beroende på vilken typ av enhet eller organisation det rör sig om, men de omfattar i allmänhet policyer, förfaranden och kontroller som säkerställer att ett företag skyddar sig mot cyberattacker.

Om din organisation till exempel använder e-post som kommunikationssätt måste du implementera e-postsäkerhets- och autentiseringsprotokoll som DMARC för att säkra dina e-posttransaktioner och verifiera avsändarkällor. Om detta saknas kan din domän bli sårbar för domänförfalskning, nätfiskeattacker och utpressningstrojaner. 

En av de viktigaste sakerna du kan göra för att skydda ditt företag är att se till att dina metoder för cybersäkerhet är i topp. Du har inte råd att ignorera brott mot cybersäkerheten - de är det enklaste sättet för hackare att ta sig in i ditt nätverk och orsaka dig allvarlig skada.

Men vad är egentligen efterlevnad av cybersäkerhet?

Överensstämmelse med cybersäkerhet är en uppsättning bästa praxis som företag använder i sin dagliga verksamhet för att se till att de skyddar sig mot cyberattacker. Dessa bästa metoder omfattar bland annat följande:

  • Underhålla ett säkert nätverk
  • Håller systemen patchade och uppdaterade med säkerhetspatchar.
  • Skydd av kundinformation och data
  • Skydda dina egna uppgifter och din e-postkommunikation 

Var ska du börja med din efterlevnad av cybersäkerhet?

Det första steget för att uppnå efterlevnad av cybersäkerhet är att förstå vad du försöker uppnå.

Vilka är dina mål? Vilka är de specifika förväntningarna på den organisation eller person som hanterar efterlevnaden av cybersäkerheten? Är det för företaget självt, eller är det för en extern enhet som kan vara ett statligt organ, en organisation som NSA eller till och med en tredjepartsleverantör?

Om det är för själva företaget måste du förstå hur organisationen fungerar och hur den samverkar med andra enheter. Du vill också veta vilken typ av data de samlar in och var de lagrar den. Och om de använder molntjänster som Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure eller Oracle Cloud Platform (OCP) måste du ta reda på om det finns några säkerhetskontroller kring dessa tjänster.

Om du samarbetar med en extern enhet, t.ex. en myndighet eller en tredjepartsleverantör, vill du försäkra dig om att de har en god förståelse för både din organisation och dess behov samt för sin egen process för att övervaka och reagera på hot. Du vill också att de ska vara bekanta med de typer av attacker som kan ske mot ditt företags system och hur. 

Strategi för efterlevnad av cybersäkerhet: En plan i praktiken

E-postsäkerhet

Låt oss börja med grunderna: Du måste se till att ditt e-postsystem är säkert. Det innebär att du måste skydda din e-post med lösenord, även om det bara är ett enda lösenord för hela systemet. Och du måste se till att alla externa tjänster som skickar eller tar emot e-post från din organisation också är säkra - och att de har samma lösenordskrav som dina interna system.

Företagets e-postsystem är en viktig del av din verksamhet. Det är så du får kontakt med potentiella kunder, kunder och anställda - och så du skickar ut viktiga uppdateringar och meddelanden.

Men det är också en av de mest sårbara delarna av ditt företag.

Så om du vill se till att din e-post förblir privat och säker från hackare är det ett måste att följa reglerna för cybersäkerhet. Här är några tips för att se till att din e-post är uppdaterad i fråga om cybersäkerhet:

  1. Se till att du använder kryptering(SSL) när du skickar känslig information via e-post. På så sätt kan du se till att ingen kan avlyssna eller läsa det som skickas mellan din dator och den avsedda mottagarens enhet.
  2. Skapa lösenordspolicyer så att alla användare har unika lösenord som byts ut regelbundet och aldrig används i någon annan tjänst eller applikation på samma konto eller enhet som e-postleverantören (ESP).
  3. Aktivera tvåfaktorsautentisering (2FA) när det är möjligt så att endast auktoriserade personer kan få tillgång till konton med 2FA aktiverat - och även då endast om de har fått tillgång till kontot tidigare av någon annan med 2FA aktiverat.
  4. Säkerställ din e-postdomän mot förfalskning, nätfiske, utpressningstrojaner med mera genom att implementera protokoll för autentisering av e-postmeddelanden, t.ex. DMARC, SPFoch DKIM
  5. Säkerställ din e-post i transit från en man-in-the-middle-attackörs nyfikna ögon genom att tvinga fram en TLS-krypterad e-posttransaktion med hjälp av MTA-STS

Vikten av efterlevnad av cybersäkerhet

Det finns många sätt för ett företag att inte uppfylla kraven på cybersäkerhet. Om ditt företag till exempel har en föråldrad brandvägg är det möjligt att hackare kan använda ditt system som en vägvisare för sina attacker med skadlig kod. Eller om ditt nätverk inte skyddas av tvåfaktorsautentisering kan du riskera att få din webbplats hackad. Eller om din e-post inte är autentiserad kan det bana väg för spoofing-attacker och phishing. 

Det är viktigt att notera att efterlevnad inte skyddar mot alla typer av hotvektorer. Cybersäkerhetslösningar kan hjälpa organisationer att förhindra att hackare får tillgång till deras nätverk, förhindra stöld av immateriella rättigheter, skydda fysiska tillgångar som datorer och servrar, förhindra infektioner av skadlig kod som kan begränsa tillgången till kritiska system eller information, upptäcka bedrägerier vid betalningstransaktioner online och stoppa andra cyberattacker innan de inträffar.

/av