Cztery proste kroki do…
… EMAIL COMPLIANCE

Dyrektorzy ds. informatycznych i kierownicy projektów w ściśle regulowanych instytucjach finansowych oraz w dużych organizacjach notowanych w obrocie publicznym zwykle są świadomi, co jest niezbędne do zapewnienia bezpieczeństwa i kompatybilności poczty email. W prywatnych i małych przedsiębiorstwach nie notowanych na regulowanym rynku wygląda to inaczej, złożoność problemu oraz poważne konsekwencje w przypadku naruszenia prawa sprawiają, że zapewnienie kompatybilności poczty email dla mniejszych firm jest trudnym zadaniem.
Problemy są w dużej mierze nieuzasadnione. Zgodnie z definicją kompatybilności* dla większości organizacji kompatybilność jest osiągana jeśli przestrzega się pewnych określonych wytycznych zapewniającymi zgodność z prawem, standardami etycznymi oraz najlepszymi praktykami. Wytyczne te powinny obejmować także postępowanie wobec przypadkowych bądź zamierzonych odstępstw od właściwej polityki. Brak takich jasno określonych zasad stwarza poważne trudności firmom w przypadku, gdy przeprowadzany jest u nich audyt (lub tzw. „eDiscovery”), lub ocena zgodności działania firmy z prawem.
Niniejszy dokument stanowi analizę kompatybilności poczty elektronicznej, podaje jasne i proste wskazówki w jaki sposób zarządzać infrastrukturą email.

1. Ustanów jasne zasady dotyczące kont poczty elektronicznej

Email to aktualnie niezbędne narzędzie nieodłącznie związane z codziennością życia w organizacji wykorzystywane do komunikacji zarówno wewnętrznej jak i zewnętrznej. Infrastruktura email może zawierać aż 80% biznesowych informacji, dlatego ustalenie klarownych wytycznych co do jej działania jest bardzo istotne. Punktem wyjścia jest ustalenie zachowań związanych z użyciem poczty elektronicznej - co jest dopuszczalne, a co nie. Określenie Przyjętych Zasad Używania Internetu (Acceptable Use Policy AUP) jest pierwszym krokiem w demonstrowaniu zamiaru respektowania przepisów.

Np. typowe klauzule mogą obejmować:

- blokadę możliwości przekazywania, wysyłania obrazów zawierających treści pornograficzne
- wprowadzenie limitu na wielkość załączników do 5MB

Przyjęte Zasady Używania (Acceptable Use Policy AUP) pozwalają skupić się na zapewnieniu, że używane praktyki są zgodne z szerokim zakresem lokalnych, regionalnych, krajowych i międzynarodowych praw, które obowiązują w komunikacji e-mailowej.
Szereg przykładów jest dostępna online od analityków z instytucji takich jak : Forrester, IDC i Gartner.

2. Zapobiegaj utracie danych poprzez e-mail

W systemach informatycznych przechowywane są bardzo cenne poufne dane biznesowe, które muszą być pilnie strzeżone przed przypadkowym bądź zamierzonym wyciekiem zarówno na zewnątrz jak i wewnątrz organizacji. Niektóre procesy są obsłużone przez AUP ale istnieje niebezpieczeństwo, że nowi, odchodzący, lekkomyślni lub niezadowoleni pracownicy mogą przypadkowo, a czasami nawet umyślnie zagrozić bezpieczeństwu danych.

Niezbędne jest wprowadzenie automatycznego, centralnie zarządzanego mechanizmu zapobiegania utraty danych niezależnie od intencji pracowników.

Rozwiązanie powinno być w stanie:

- blokować emaile, których załączniki zawierają nieodpowiednie typy plików
- skanować wiadomości po słowach kluczowych
- wyświetlać ostrzeżenia i bannery przy komunikacji w obu kierunkach
- szyfrować wiadomości tak aby tylko adresat mógł je przeczytać
- zapewniać, że poczta email nie jest wykorzystywana przez osoby nieznane

3. Zachowaj przejrzystość i dostęp do bieżących i archiwalnych informacji

Musisz mieć świadomość i być w stanie wykazać – jakie informacje są rozpowszechniane wokół organizacji. Oznacza to, że należy:

- zachować dostępną dokumentację istotnych wiadomości elektronicznych, w tym logi, które  wykażą kto, co wysłał, do kogo i kiedy
- kopiować i archiwizować poufne wiadomości zarówno wewnętrzne jak i zewnętrzne
- być w stanie przechwycić i przekierować wiadomości naruszające politykę bezpieczeństwa do osób odpowiedzialnych tak aby można było uniknąć potencjalnie szkodliwych przypadków

Ważne jest uświadomienie sobie, że nie każda wiadomość zawiera poufne dane, więc nie wszystko musi być zarchiwizowane i / lub szyfrowane. W zależności od jurysdykcji, są też granice tego, jak długo należy zachować kopie e-mail. Koszty przechowywania i dostępu do dużej ilości e-maili wymagają deterministycznego podejścia do tego co ma być szyfrowane, a co i na jak długo archiwizowane.

4. Eliminacja spamu, phisingu i złośliwego oprogramowania

Jeden z głównych sposobów jakimi posługują się twórcy wirusów w rozprzestrzenianiu złośliwego oprogramowania jest wiadomość elektroniczna. Spamerzy, którzy szybko zmieniają charakter swoich działań aby uniknąć wykrycia atakują różnymi metodami – np. programy przechwytujące hasła, konie trojańskie oraz linki do złośliwych witryn, co prowadzi do kradzieży poufnych biznesowych i osobistych informacji.

Musisz być pewny i być w stanie to wykazać, że infrastruktura email, którą zarządzasz jest chroniona przed złośliwym oprogramowaniem, wirusami, programami szpiegującymi i innymi zagrożeniami dla systemu i integracji danych. Do tego potrzebne jest rozwiązanie, które blokuje szkodliwe oprogramowanie, spam, ataki tzw. Denial of Sernice i przechwytywanie adresów email.

Poprzez blokowanie zagrożeń na granicy między serwerem email i odbiorcami końcowymi, będziesz w stanie eliminować większość zewnętrznych zagrożeń związanych z ryzykiem utraty danych. Wewnętrzne zagrożenia zostaną wychwycone przez Twoje AUP.

* Definicja kompatybilności: Kompatybilność jest to stan zgodności z ustalonymi wytycznymi, specyfikacją i przepisami

Sophos Email Security and Contro dostarcza pełną gamę rozwiązań sprzętowych jak i programowych zabezpieczających infrastrukturę email. Wraz z rozwiązaniami Sophos Endpoint Security and Control oraz Sophos Web Security and Control pozwala zabezpieczyć całą infrastrukturę przed złośliwymi atakami lub nieumyślnym działaniem użytkowników.