Przewodnik na temat bezpiecznej poczty e-mail w małej firmie

Większość właścicieli firm prawdopodobnie wie, że to głównie za pośrednictwem poczty e-mail hakerzy mogą uzyskać dostęp do poufnych danych i informacji firmy. Jednak zaskakująca może być wiadomość, że szczególnie narażone są małe firmy. W szczególności ogólna liczba ataków cybernetycznych na firmy zatrudniające co najwyżej 250 pracowników podwoiła się w pierwszym półroczu zeszłego roku — a średnia strata na atak wynosiła ponad 188 000 USD. Według danych Centrum Studiów Strategicznych i Międzynarodowych ogólny koszt cyberataków na amerykańską ekonomię wynosi 100 miliardów dolarów rocznie.

Jest to jeden z powodów, dla których atak na pocztę e-mail firmy Sony z 2014 roku miał tak duże znaczenie — każda firma zaczęła się zastanawiać, jak może uniknąć takiego samego losu. Wydaje się oczywiste, że jeśli wielowarstwowe zabezpieczenia tak dużej firmy mogły zostać złamane, to małe firmy, które dysponują mniejszymi zasobami, nie mają szans, prawda?

Niekoniecznie. Istnieje wiele sposobów na zapewnienie ochrony firmie za pośrednictwem bezpiecznej poczty e-mail. Ze względu na to, że zabezpieczenia firmy są tak silne, jak jej najsłabsze ogniwo, kluczem do sukcesu jest zaangażowanie pracowników w ochronę bezpieczeństwa. Oto siedem porad na dobry początek.

  1. Umieść zadanie utworzenia i wdrożenia planu cyberbezpieczeństwa na pierwszym miejscu listy swoich priorytetów. Oczywiście chodzi tu o coś więcej, niż tylko zapewnienie bezpiecznej usługi poczty e-mail — należy opracować strategie zabezpieczenia witryny internetowej, danych o płatnościach i innych informacji firmy — jednak ochrona poczty e-mail powinna stanowić główną część tego planu. Federalna Komisja Łączności (Federal Communications Commission) opracowała przydatne narzędzie, Small Biz Cyber Planner 2.0, pomocne w tworzeniu planu dostosowanego do Twoich potrzeb.
  2. Rozważ zastosowanie szyfrowania poczty e-mail.
    Szyfrowanie poczty e-mail pomaga chronić przed hakerami informacje osobiste przez zezwalanie tylko określonym użytkownikom na dostęp do wiadomości e-mail i na ich odczyt. Istnieje kilka metod szyfrowania poczty e-mail w zależności od wymaganego poziomu zabezpieczeń (i wygody). Można na przykład pobrać lub kupić dodatkowe oprogramowanie podłączane do programu Microsoft Outlook. Można też zainstalować certyfikat poczty e-mail, taki jak PGP (Pretty Good Privacy), który umożliwia pracownikom udostępnianie klucza publicznego każdej osobie, która chce wysłać do nich wiadomość e-mail, i odszyfrowywanie każdej otrzymanej wiadomości e-mail za pomocą klucza prywatnego. Innym prostym rozwiązaniem jest użycie usługi szyfrowanej poczty e-mail innej firmy. Usługa Office 365 oferuje gotowe opcje szyfrowania, takie jak usługi S/MIME i Szyfrowanie wiadomości usługi Office 365, które ułatwiają spełnienie tych wymagań przy minimalnej pracy.
  1. Upewnij się, że hasła są bezpieczne. Każdy pracownik powinien mieć własne hasło do komputera służbowego i systemu poczty e-mail. Te hasła należy resetować co trzy miesiące. Rozważ także zastosowanie wymogu uwierzytelniania wieloskładnikowego podczas zmieniania haseł przez pracowników. Najsilniejsze hasła składają się z co najmniej 12 znaków będących kombinacją cyfr, symboli oraz małych i wielkich liter. Hasła nie powinny być oczywiste (np. urodziny, imiona dzieci itd.), ale powinny być łatwe do zapamiętania. Innymi słowy, pracownicy powinni unikać dwóch najpopularniejszych — i najgorszych — haseł 2014 roku: „hasło” i „123456”. Ponadto pracownicy nie powinni używać tego samego hasła dla wielu kont lub witryn internetowych. Rozważ zezwolenie na używanie menedżera haseł lub funkcji logowania jednokrotnego. Dobrymi rozwiązaniami dla małych firm, które szukają narzędzi do przechowywania kodów, kont bankowych, kont e-mail, numerów PIN i innych informacji o kontach w jednym miejscu, są na przykład programy CommonKey, LastPass i Password Genie. Skąd wiadomo, że hasło zostało skradzione? Zarejestruj się w jednej z usług alarmowych, takich jak PwnedList lub Breach Alarm, które monitorują skradzione hasła i automatycznie informują Cię, jeśli któryś z Twoich adresów e-mail jest narażony.
  2. Opracuj sensowne zasady przechowywania poczty e-mail. Poproś pracowników o wyczyszczenie wiadomości e-mail, które nie dotyczą spraw firmowych, i zaimplementuj zasady, aby zapewnić zgodność. Wiele firm stosuje standard 60-90 dni, który prowadzi do automatycznej archiwizacji i trwałego usuwania po ustalonym okresie czasu. Pamiętanie o usuwaniu wiadomości e-mail, które nie są zgodne z tym standardem, może być dla niektórych osób trudne, dlatego może być konieczne częste rozsyłanie przypomnień.
  3. Szkol pracowników z bezpieczeństwa poczty e-mail. Pracownicy pełnią krytyczną rolę w zabezpieczaniu danych za pośrednictwem poczty e-mail. Należy nauczyć ich, czego nie powinni robić i jakich typów wiadomości e-mail powinni unikać. Niestety, według organizacji InfoSight, prawie połowa wszystkich firm wydaje mniej niż 1 procent budżetu przeznaczonego na zabezpieczenia na programy szkolące pracowników w zakresie zagrożeń bezpieczeństwa. Jednocześnie 64 procent organizacji doznało pewnych strat finansowych z powodu naruszenia zabezpieczeń komputerów, a 85 procent wykryło u siebie wirusy komputerowe. Czy nie warto ponieść niskiego kosztu szkoleń, aby uniknąć potencjalnie dużego kosztu ataku?

    W szczególności należy wyszkolić pracowników, aby postępowali zgodnie z następującymi regułami:

    • Nigdy nie otwieraj linków ani załączników od nieznanych osób.
    • Nigdy nie odpowiadaj na wiadomości e-mail, które wymagają zmiany hasła i ujawnienia danych osobowych — niezależnie od tego, jak oficjalne wydaje się być ich źródło.
    • Upewnij się, że oprogramowanie antywirusowe i przeciwko programom szpiegującym na Twoim komputerze jest aktualne.
    • Szyfruj przed wysłaniem wszystkie wiadomości e-mail zawierające dane poufne.
    • Nie korzystaj ze służbowego adresu e-mail do wysyłania i odbierania wiadomości prywatnych.
    • Nie przesyłaj dalej automatycznie firmowych wiadomości e-mail do zewnętrznego systemu poczty e-mail.

    Ponadto niektóre firmy zauważyły, że pomocne jest wprowadzanie programów, które testują pracowników pod kątem kampanii wyłudzania zawartości, spersonalizowanego wyłudzania informacji i innych zagrożeń cybernetycznych, a następnie nagradzanie tych, którzy przejdą test pomyślnie.

    Usługa Office 365 oferuje funkcje pomocne w edukowaniu klientów w kontekście unikania kłopotów przy zachowaniu produktywności, takie jak porady dotyczące zasad usługi Ochrona przed utratą danych w celu informowania użytkowników, że próbują udostępnić dane w sposób zagrażający bezpieczeństwu. Ponadto funkcja Zaawansowana ochrona przed zagrożeniami w usłudze Exchange Online zapewnia dodatkową ochronę przed określonymi typami zaawansowanych zagrożeń.

  4. Wprowadź restrykcyjne standardy dotyczące używania urządzeń mobilnych do wykonywania zadań służbowych. W przypadku korzystania ze służbowych urządzeń mobilnych lub z prywatnych urządzeń mobilnych, przy użyciu których są wysyłane i odbierane firmowe wiadomości e-mail, pracownicy powinni szyfrować dane, zabezpieczać urządzenia za pomocą hasła i instalować zatwierdzone aplikacje zabezpieczające, aby hakerzy nie mogli uzyskać dostępu do tych urządzeń za pośrednictwem udostępnianych sieci Wi-Fi. Usługa Office 365 oferuje wbudowane funkcje zarządzania urządzeniami mobilnymi, zapewniając opcje pomocne w zabezpieczaniu danych za pomocą dostępu warunkowego, zarządzania urządzeniem i selektywnego czyszczenia danych firmy.
  5. Unikaj typowych pułapek związanych z zabezpieczaniem poczty e-mail. Poza wszystkimi omówionymi kwestiami, poczta e-mail może pozostać niezabezpieczona również z innych względów. Pamiętaj o następujących elementach:
    • Na wszystkich komputerach — nie tylko na kilku — powinno być używane szyfrowanie poczty e-mail. Nie ma sensu szyfrować wiadomości e-mail, jeśli te same standardy nie są stosowane w całej firmie.
    • Nie należy pozostawiać bez nadzoru niezabezpieczonych komputerów. Jedną z zasad obowiązujących w firmie powinno być blokowanie komputerów (które powinny być chronione hasłem przy logowaniu) przez pracowników w przypadku oddalania się od biurka. Tworząc rozmyślne zasady dotyczące poczty e-mail w Twojej małej firmie, wyprzedzisz wiele problemów, zanim w ogóle się pojawią. Zaangażuj w to pracowników i nagradzaj ich za pomoc w tworzeniu środowiska, w którym informacje są bezpieczne. Razem możecie zapewnić bezpieczeństwo danych firmy, klientów i pracowników — po jednej wiadomości e-mail naraz.

Informacje o autorze

The Microsoft 365 team is focused on sharing resources to help you start, run, and grow your business.

Zacznij pracę z platformą Microsoft 365

To znajomy pakiet Office oraz narzędzia ułatwiające współpracę, pozwalające pracować wydajniej w dowolnym miejscu i czasie.

Kup teraz
Powiązana zawartość
Business Tech

Co się dzieje, gdy firmy nie zabezpieczają odpowiednio swojej własności intelektualnej

Przeczytaj więcej
Business Tech

Dane klientów — utrzymywanie równowagi między użytecznymi innowacjami a ochroną prywatności

Przeczytaj więcej
Business Tech

Atak hakera: Po co potrzebujesz zaawansowanej ochrony przed zagrożeniami

Przeczytaj więcej
Business Tech

Blokowanie cyberzagrożeń od wewnątrz firmy

Przeczytaj więcej

Centrum rozwoju nie stanowi profesjonalnego doradztwa podatkowego ani finansowego. Należy skontaktować się z własnym doradcą podatkowym lub finansowym w celu omówienia swojej sytuacji.