5 обязательных политик безопасности электронной почты для вашего бизнеса

Хотя среднестатистический человек может не сталкиваться со значительным количеством электронных писем, компании и люди, работающие в этих компаниях, пользуются электронной почтой каждый день. К сожалению, киберпреступники часто используют этот распространенный инструмент обмена сообщениями в качестве вектора атаки. В отчете «Стоимость утечки данных» за этот год фишинг является самым дорогостоящим первоначальным вектором атаки со средней стоимостью 4,91 миллиона долларов США. Второй по величине является страшная атака Business Email Compromise (BEC) на 4,89 миллиона долларов США. Если это еще не произошло, оба вектора атаки включают электронную почту. Итак, очевидно, что вам необходимо внедрить политики безопасности электронной почты!

В этой статье я поделюсь 5 политиками безопасности электронной почты, которые помогут вам в ваших методах обеспечения безопасности электронной почты. Я начну с определения политик безопасности электронной почты. Далее я расскажу, почему у вас должен быть документ с политикой безопасности электронной почты и что в него нужно включить. Наконец, я углублюсь в эти 5 политик, упомянутых ранее, и поделюсь некоторыми советами по созданию документа политики безопасности электронной почты. Звучит отлично? Давайте начнем.

Что такое политики безопасности электронной почты?

Политики безопасности электронной почты — это правила или планы действий в организации для безопасного использования электронной почты. Вот несколько примеров политик безопасности электронной почты:

• Запрет пользователям пересылать электронные письма компании на сторонний почтовый сервис
• Запрет пользователям использовать сторонние службы электронной почты для отправки или получения сообщений, связанных с компанией.
• Обеспечение соответствия паролей учетных записей электронной почты требованиям, указанным в документе политики компании в отношении паролей.

В обычной практике термин «политика безопасности электронной почты» также относится к документу, содержащему набор этих политик. Чтобы избежать путаницы в этой статье, я буду использовать «документ политики безопасности электронной почты» или просто «документ политики» для ссылки на документ. С другой стороны, я буду использовать «политику безопасности электронной почты» или просто «политику» для обозначения отдельной политики или правила.

Итак, зачем вообще нужен набор политик безопасности электронной почты?

Почему у вас должны быть политики безопасности электронной почты

В 2021 году количество отправленных и полученных электронных писем в день составило 319,6 миллиарда, что на 4,3% больше, чем в 2020 году. Ожидается, что к 2025 году это число увеличится до 376,4 миллиарда. Действительно, электронная почта является эффективной и удобной формой распространения информации. Но большинство пользователей электронной почты не осознают угрозы безопасности, связанные с небезопасным и беззаботным использованием электронной почты.

Во-первых, электронная почта сама по себе не шифруется. Этот недостаток безопасности позволяет киберпреступникам легко открывать и читать содержимое вашей электронной почты, когда она проходит через Интернет. Злоумышленники также могут использовать ваши электронные письма с помощью различных атак, таких как спуфинг, фишинг и т. д.

Чтобы смягчить эти угрозы, организации должны уделить время тщательной разработке документа политики безопасности электронной почты. Набор политик безопасности электронной почты может служить руководством для ваших конечных пользователей. Это руководство может помочь вам и вашим пользователям избежать возможных последствий атаки по электронной почте, таких как репутационный и финансовый ущерб, а также потеря данных.

Кроме того, у вашего бизнеса должен быть документ политики безопасности электронной почты, который согласуется со стратегией кибербезопасности бизнеса. Например, если ваша стратегия направлена на защиту данных кредитных карт, ваши политики безопасности электронной почты должны это отражать. Далее в этой статье вы найдете более конкретные примеры.

А пока давайте обсудим некоторые элементы, которые необходимо включить в политику безопасности электронной почты.

Что включить в документ политики безопасности электронной почты

В этом разделе я расскажу о ключевых разделах, которые вы захотите включить в свой документ политики безопасности электронной почты. Я не включаю раздел для самих политик. Мы займемся этим позже.

Цель Политического документа

Во-первых, определите цель вашего документа политики. Этот раздел обычно включает основные и подцели политики, если таковые имеются. Дайте читателю понять, почему существует этот документ. Кроме того, дайте краткий обзор того, что читатель может ожидать увидеть в политическом документе.

Сфера действия Политического документа

В этом разделе укажите группу людей в вашем бизнесе, к которым применяется документ политики. Например, распространяется ли это только на сотрудников? Включает ли он сторонних консультантов, поставщиков и агентов, представляющих ваш бизнес? Чтобы избежать путаницы, проводите четкое различие между людьми, к которым применяется политический документ, и теми, на кого он не распространяется.

Определения терминов, используемых в документе

Некоторые конечные пользователи, читающие документ с политикой, могут быть не знакомы с некоторыми из упомянутых терминов. Чтобы убедиться, что они понимают остальную часть документа, перечислите технические термины и дайте им определения. Например, вы можете определить такие термины, как шифрование, фишинг, BEC и т. д.

Риски и ответственность, связанные с использованием электронной почты

Один из способов заручиться поддержкой пользователей — информировать их о рисках, связанных с электронной почтой, и о роли пользователя в снижении этих рисков. Поэтому объясните, что может произойти, например, если пользователь попадется на фишинговое письмо. Кроме того, вы можете записать последствия, которых они могли бы избежать. В общем, убедитесь, что ваши пользователи понимают возможные финансовые, юридические и репутационные последствия в случае успеха атаки.

Советы и предложения по обеспечению безопасности

Атаки на основе электронной почты, такие как фишинг и BEC, успешны, когда получатели электронной почты не могут распознать что-либо подозрительное во вредоносном электронном письме. Чтобы противостоять этим атакам, важно повышать осведомленность сотрудников о безопасности. Да, антифишинговый инструмент, такой как GFI MailEssentials, может автоматически обнаруживать и блокировать вредоносные электронные письма, но не у всех есть эти инструменты в арсенале. Поэтому вам следует использовать этот раздел, чтобы обсудить, как ваши пользователи могут обнаруживать и избегать угроз безопасности электронной почты. В частности, объясните, что пользователи должны проверить, чтобы идентифицировать потенциальную фишинговую рассылку или электронную почту BEC.

Как реагировать на угрозы безопасности

Нарушения безопасности и утечки данных могут иметь место, если в вашей организации отсутствуют соответствующие протоколы для реагирования на потенциальную угрозу. Используйте этот раздел, чтобы указать, что должны делать сотрудники и менеджеры после того, как они обнаружат потенциальную угрозу в своей электронной почте. Например, предположим, что сотрудник находит подозрительное вложение в своем электронном письме. Правильным протоколом для них было бы немедленно связаться с ИТ-отделом, чтобы обученный ИТ-персонал мог провести дальнейшие оценки.

Штрафы за несоблюдение

Некоторые люди не воспринимают политику всерьез, если только эта политика не имеет четких и серьезных последствий. Держите сотрудников под контролем, указав соответствующие дисциплинарные меры для тех, кто не придерживается вашего документа политики. Например, вы можете отстранить от работы тех, кто разжигает ненависть. Вы также можете применить прекращение действия к тем, кто преднамеренно поделился конфиденциальной информацией без разрешения.

Теперь, когда мы рассмотрели основные разделы документа политики безопасности электронной почты, пришло время поговорить о 5 важнейших политиках безопасности электронной почты.

5 обязательных политик безопасности электронной почты

В вашем политическом документе, скорее всего, будет много политик, но вам следует рассмотреть возможность включения этих 5, если вы еще этого не сделали. На мой взгляд, эти 5 политик в совокупности устраняют самые большие угрозы для использования электронной почты и охватывают много возможностей для снижения рисков. Я не упорядочил этот список в каком-то определенном порядке.

1. Прочтите раздел «Информация о безопасности»

Я не могу не подчеркнуть этого, но ваши пользователи должны прочитать раздел вашего документа, посвященный вопросам безопасности. Образование — это защита номер один от кибератак. Поскольку большинство атак на основе электронной почты имеют форму фишинговых атак, вашим пользователям необходимо знать, как их идентифицировать. Поэтому подчеркните важность прочтения раздела «Информация о безопасности», напомнив им сделать это в политике.

2. Если вы сомневаетесь, обратитесь в отдел кибербезопасности или в ИТ-отдел.

Если вы заметили что-то подозрительное, но не видите ни одного из индикаторов, указанных в разделе «Информация о безопасности», обратитесь в службу кибербезопасности или в отдел ИТ. Возможно, у них уже есть этот конкретный формат электронной почты, помеченный в результате недавних действий по разведке киберугроз.

3. Пользователи могут обсуждать информацию о компании только через учетные записи электронной почты компании.

Эта политика имеет решающее значение, поскольку пользователи обычно менее осторожны при использовании своих личных учетных записей электронной почты. Ограничение связи, связанной с компанией, учетными записями электронной почты компании обеспечивает соблюдение политики компании. По крайней мере, вы можете отслеживать учетные записи электронной почты компании на предмет любой подозрительной активности.

4. Пользователи не должны ожидать какой-либо конфиденциальности при использовании электронной почты компании

Поскольку корпоративная электронная почта является корпоративной собственностью, вполне разумно, чтобы у вас был полный доступ к ней. Этот доступ позволяет вашей команде по кибербезопасности лучше проводить мониторинг и предотвращать утечки и взломы данных. Тем не менее, важно четко донести эту политику до пользователей, чтобы избежать путаницы и конфликтов.

5. Использование электронной почты компании в личных целях строго запрещено.

Мотивация этой политики относится к пункту 3. Когда пользователи используют корпоративную электронную почту для личных сообщений, они, как правило, теряют бдительность. Эта ошибка может привести к непреднамеренной утечке данных. Таким образом, одним из вариантов этой политики может быть требование, чтобы пользователи ограничивали электронную почту компании только корпоративными устройствами. Таким образом, вы сможете избежать случайных промахов.

Хорошо, теперь пришло время наметить шаги для составления эффективного документа политики безопасности электронной почты.

Как создать эффективную политику безопасности электронной почты

Недостаточно просто составить набор политик безопасности электронной почты и закончить работу. Политический документ требует надлежащего планирования и взращивания, чтобы он работал. Вот некоторые вещи, которые вы можете сделать в этом отношении.

1. Согласуйте политики безопасности электронной почты с потребностями вашей компании

Хотя безопасность важна, она не должна быть чрезмерно ограничивающей. В противном случае это снижает вашу продуктивность. Поэтому, когда вы создаете свой политический документ, важно расставить приоритеты в областях с наибольшим риском. Определите свои самые важные уязвимости и самые большие угрозы, а затем основывайте на этом свои усилия по обеспечению безопасности. № 3 ниже может помочь вам в достижении выравнивания.

2. Используйте существующие шаблоны политик безопасности электронной почты

В Интернете можно найти несколько шаблонов документов политики безопасности электронной почты. Просто найдите «шаблон политики безопасности электронной почты». Если вы еще не пробовали создать документ политики безопасности, просто следуйте шаблону из надежного источника. Институт SANS, например, является хорошим источником. Конечно, вам придется настроить этот шаблон в соответствии с потребностями вашего бизнеса. Кроме того, убедитесь, что ваши политики безопасности электронной почты соответствуют политике и миссии вашей компании.

3. Запрашивайте мнения различных заинтересованных сторон

Пригласите заинтересованных лиц из разных отделов, чтобы ваши политики безопасности электронной почты учитывали различные аспекты вашего бизнеса. По сути, наличие представителей ИТ-, юридического, кадрового и других отделов поможет вам выработать целостный подход. В свою очередь, этот подход повысит эффективность вашего политического документа, поскольку он будет учитывать все проблемы и потребности.

4. Проверьте эффективность ваших политик безопасности электронной почты

Хотя тестирование не является частью создания документа политики, оно, безусловно, помогает убедиться, что ваши политики безопасности электронной почты работают так, как предполагалось. Вот один пример. Вы можете отправить пользователям поддельное фишинговое электронное письмо, чтобы проверить, правильно ли они отреагируют. Если пользователь нарушает политику, например, загружает вложение из неизвестного источника, вы можете привлечь внимание этого пользователя. Затем вы можете повторно обучить этого пользователя, чтобы убедиться, что он не совершит ту же ошибку в реальной атаке.

Хорошо. Время закругляться.

Заключительные слова

В заключение, внедрение политик безопасности электронной почты имеет огромное значение, когда речь идет о защите от угроз, связанных с электронной почтой. Однако у вас не может быть политик без надлежащего документа, подтверждающего их.

В этой статье я перечислил 5 основных политик безопасности электронной почты. Эти политики напоминали пользователям о необходимости прочесть раздел документа о политике безопасности; связаться со своей ИТ-командой, если вы не уверены, представляет ли электронная почта угрозу; ограничить использование информации о компании сообщениями электронной почты, передаваемыми через учетные записи электронной почты компании; ожидать, что учетные записи электронной почты их компании будут контролироваться в целях безопасности и; строго избегать использования учетных записей электронной почты компании для личных сообщений.

Это очень простой процесс. Создайте документ, адаптированный к нуждам и требованиям вашей компании, и добавьте необходимые политики. Я надеюсь, что эта статья дала вам некоторое представление о политиках безопасности электронной почты в целом. Не забудьте сохранить его в качестве ориентира, если он понадобится вам в будущем.

У вас есть дополнительные вопросы о политиках безопасности электронной почты? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!

Часто задаваемые вопросы

Почему безопасность электронной почты важна?

Безопасность электронной почты важна по нескольким причинам. Во-первых, электронная почта по-прежнему остается средством номер один для делового общения. Во-вторых, он может быть формальным и личным, предоставляя киберпреступникам подходящую среду для атак социальной инженерии. В-третьих, продвинутые атаки на основе электронной почты все еще находятся на подъеме.

Помимо обучения по вопросам безопасности, какие другие методы я могу использовать для защиты своих сотрудников от фишинговых писем?

Вы можете использовать инструменты, которые автоматически обнаруживают и блокируют фишинговые письма. Некоторые фишинговые письма настолько обманчивы, что их трудно распознать даже пользователям, прошедшим обучение. В этом подробном обзоре GFI MailEssentials представлен хороший внутренний взгляд на функции этих инструментов.

Какие законы и правила регулируют использование электронной почты, если таковые имеются?

Законы и положения о безопасности данных и конфиденциальности, такие как PCI DSS, HIPAA и CAN-SPAM, содержат определенные положения об электронной почте. В этом руководстве по безопасности и соответствию электронной почты обсуждаются различные законы и нормативные акты, содержащие эти положения. Он также говорит о том, как вы можете оставаться послушным.

Как я узнаю, что кто-то взломал мою электронную почту?

Одним из явных признаков является то, что вы получаете уведомления о сбросе пароля по электронной почте, даже если вы не запрашивали сброс пароля. Еще один признак — когда контакты начинают спрашивать, отправили ли вы им определенное электронное письмо, а вы никогда этого не делали. Эта статья предлагает подробное обсуждение способов предотвращения и выявления взлома электронной почты.

Что такое китобойная атака?

Китобойная атака — это тип фишинговой атаки, нацеленной на высокопоставленных лиц, таких как генеральные директора и другие руководители высшего звена. Поскольку высшее руководство имеет доступ к драгоценностям компании, например к банковским счетам, ROI китобойного нападения обычно высок. В этой статье более подробно объясняются элементы китобойного нападения и способы его предотвращения.