Veiledning til sikker e-post for små bedrifter

Det vil neppe komme overraskende for de fleste bedriftseiere at e-post er den vanligste måten hackere får tilgang til sensitive firmadata og sensitiv firmainformasjon på. Det som kanskje er mer urovekkende, er at små bedrifter er spesielt utsatte. Antall nettangrep, samlet sett, på firmaer med 250 eller færre ansatte, doblet seg de første seks månedene i fjor – og tapet per angrep var på mer enn USD 188 000 i gjennomsnitt. Nettangrep koster den amerikanske økonomien samlet så mye som USD 100 milliarder i året, ifølge Center for Strategic and International Studies.

Dette er én av grunnene til at den store hackingen av e-post hos Sony i 2014 vakte så stor oppsikt. Enhver bedrift måtte gå i tenkeboksen for å unngå samme skjebne. Det sier seg vel selv, at hvis et firma på denne størrelsen, med så mange sikkerhetslag, kan bli hacket, vil små bedrifter med færre ressurser være enda mer utsatt?

Kanskje ikke. Det finnes mange måter å sikre på at bedriften er beskyttet gjennom sikker e-post. Siden bedriftssikkerheten ikke er sterkere enn sitt svakeste ledd, er løsningen å få de ansatte involverte og engasjerte i en sikkerhet som fungerer. Her er syv trinn som hjelper deg å komme i gang.

  1. Prioriter oppretting og implementering av en plan for nettsikkerhet. Dette involverer selvsagt mer enn å finne ut hvordan du kan sørge for å ha en sikker e-posttjeneste– det må også inkludere strategier som sørger for at nettsted, betalingsinformasjon og annen informasjon er trygg – men e-postsikkerhet bør være en sentral del av planen. Federal Communications Commission har opprettet et praktisk verktøy, Small Biz Cyber Planner 2.0, som kan hjelpe deg med å opprette en tilpasset plan.
  2. Vurder e-postkryptering. E-postkryptering hjelper deg med å beskytte personlig informasjon fra hackere ved at det bare er bestemte brukere som har tilgang til og kan lese e-postmeldingene. Det finnes en rekke metoder for å kryptere e-post, avhengig av hvor sikkert og enkelt du har behov for at det skal være. Du kan for eksempel laste ned eller kjøpe ekstra programvare som du kan legge til i din nåværende e-postkonto. Du kan også installere et e-postsertifikat som PGP (Pretty Good Privacy), som tillater at de ansatte kan dele en fellesnøkkel med alle som ønsker å sende dem en e-postmelding, og bruke en privatnøkkel til å dekryptere e-postmeldingene de får. En annen enkel løsning er å bruke en kryptert e-posttjeneste fra en tredjepart.
  1. Sørg for at passordene er sikre. Alle ansatte bør ha et eget passord for datamaskinen og e-postsystemet på arbeidsplassen. Disse passordene bør tilbakestilles hver tredje måned, og godkjenning med flere faktorer bør kreves hver gang de ansatte skifter passord. De sterkeste passordene inneholder minst 12 tegn og en kombinasjon av tall, symboler og små og store bokstaver. Passord bør ikke være noe opplagt (f.eks. bursdager, barnas navn, og så videre), men de bør være enkle å huske. Ansatte bør med andre ord styre unna de to vanligste – og verste –passordene fra 2014: «passord» og «123456». De ansatte bør i tillegg unngå å bruke det samme passordet for flere kontoer eller nettsteder. Vurder å bruke en passordadministrator eller funksjon for enkel pålogging. Eksempler på gode løsninger for små bedrifter som er ute etter verktøy for å lagre koder, bankkontoer, e-postkontoer, PIN-koder og annen kontoinformasjon på ett sted, inkluderer CommonKey, LastPass og Password Genie. Hvordan vet du om passordet har blitt utsatt for risiko? Registrer deg for å få watchdog-tjenester som PwnedList eller Breach Alarm. Disse overvåker passordlekkasje og rapporterer automatisk til deg hvis e-postadressene er utsatt.
  2. Lag en policy for e-postbevaring som gir mening. Be de ansatte om å rydde i e-post som ikke er relevant for virksomheten, og implementer en policy som sikrer samsvar. Mange firmaer innfører en standard på 60–90 dager, med fremgangsmåte for automatisk arkivering og permanent fjerning etter en angitt tidsperiode. Det kan være vanskelig å huske å slette e-postmeldinger som ikke samsvarer med denne standarden, så det kan være nødvendig med hyppige påminnelser.
  3. Gi de ansatte opplæring i e-postsikkerhet. De ansatte spiller en avgjørende rolle når det gjelder å holde dataene sikre gjennom e-post. De bør få opplæring i hva slags type atferd de bør ta avstand fra og hvilke typer e-postmeldinger de bør unngå. Dessverre bruker nesten halvparten av alle firmaer under 1 prosent av sikkerhetsbudsjettet på programmer som gir ansatte opplæring i hvordan de skal se etter sikkerhetstrusler, ifølge InfoSight. Likevel opplevde 64 prosent av alle organisasjoner en eller annen form for økonomisk tap som et resultat av databrudd, og 85 prosent oppdaget datavirus. Opplæring er vel en god investering for å redusere kostnadene etter et mulig hackeangrep?

    De ansatte bør spesielt få opplæring i å overholde følgende regler:

    • Aldri åpne koblinger eller vedlegg fra ukjente personer.
    • Ikke svar på e-postmeldinger som krever passordbytte, eller som krever at du videreformidler personlig informasjon – uansett hvor offisiell kilden virker.
    • Sørg for at antivirus- og antispionprogrammer er oppdatert på datamaskinen.
    • Krypter alle e-postmeldinger som inneholder sensitive data, før du sender dem.
    • Ikke bruk firmaets e-postadresse til å sende og motta personlige e-postmeldinger.
    • Ikke videresend firma-e-post automatisk til et tredjeparts-e-postsystem.

    Enkelte firmaer har i tillegg hatt god erfaring med programmer som tester ansatte i form av phishing-kampanjer, e-postmeldinger som inneholder målrettet phishing, og andre trusler innen nettsikkerhet. De ansatte belønnes når de består disse testene.

  4. Oppretthold strenge standarder for firmarelatert bruk av mobile enheter. Når mobile enheter som er utstedt av firmaet, eller personlige mobile enheter, brukes til å sende og motta firmarelaterte e-postmeldinger, bør de ansatte kryptere data, holde enheten passordbeskyttet og installere godkjente sikkerhetsapper. På den måten får ikke hackere tilgang til enhetene via delte WiFi-nettverk. Se etter løsninger med funksjoner for innebygd administrasjon av mobilenheter. Disse gir alternativer som hjelper deg å holde dataene sikre med betinget tilgang, enhetsbehandling og selektiv tømming av firmadata.
  5. Unngå de vanligste fellene ved sikring av e-post. Foruten det som allerede er omtalt, kan e-postmeldinger forbli usikret på andre måter også. Sørg for å kontrollere følgende:
    • Alle datamaskiner – ikke bare noen få – bør bruke e-postkryptering. Det er ikke noe poeng i å kryptere e-postmeldinger med mindre samme standard brukes over hele linja.
    • Datamaskiner som ikke er låst, bør aldri stå uovervåket. Gjør det til en firmapolicy for de ansatte å låse datamaskinene (som bør være passordbeskyttet ved innlogging) før de forlater pultene sine. Har du en liten bedrift, vil målrettet oppretting av policyer som omfatter e-post, føre til at du slipper en rekke problemer før de i det hele tatt dukker opp. Engasjer de ansatte, og belønn dem for at de deltar i å utvikle et miljø der informasjonen er sikker. I felleskap er det mulig å sikre data som tilhører den ansatte, kunden og firmaet – e-postmelding for e-postmelding.

Om forfatteren

The Microsoft 365 team is focused on sharing resources to help you start, run, and grow your business.

Komme i gang med Microsoft 365

Få Office slik du kjenner det samt verktøy som gjør samarbeid enklere, slik at du får gjort mer, når som helst og hvor som helst.

Kjøp nå
Relatert innhold
Business Tech

Dette skjer når selskaper ikke sikrer sitt åndsverk på en ordentlig måte

Les mer
Business Tech

Kundedata – balansegangen mellom nyttig informasjon og invasjon av privatliv

Les mer
Business Tech

Planlegge en sikker fremtid for bedriften

Les mer

Growth Center gir ikke råd om profesjonell skatt eller økonomiske spørsmål. Kontakt egen skatte- eller økonomirådgiver for å diskutere situasjonen din.