Waarom uw organisatie een e-mailbeveiligingsbeleid zou moeten hebben

Steeds meer zakenmensen maken gebruik van messagingplatforms zoals Slack, Google Workspace en Microsoft Teams, maar e-mail gaat nergens heen - nog lang niet. In 2020 werden ongeveer 306,4 miljard e-mails per dag verzonden en ontvangen, en dat cijfer zal naar verwachting stijgen tot meer dan 376,4 miljard dagelijkse mails in 2025. [i]

Al die e-mails samen vormen een zeer groot doelwit voor aanvallers, en dat is de reden waarom organisaties een e-mailbeveiligingsbeleid moeten hebben. Een andere reden waarom e-mail zo'n belangrijke bedreigingsvector is: mensen. Hoewel er veel technologische oplossingen beschikbaar zijn voor het bestrijden van e-mailbedreigingen, is er slechts één werknemer nodig die reageert op één zorgvuldig opgestelde phishing-e-mail om financiële schade, reputatieschade en schade als gevolg van regelgeving aan te richten.

In 2020 was e-mail nog steeds de populairste aanvalsvector die in het jaarlijkse State of Email Security-rapport van Mimecast werd geïdentificeerd.[ii] Het wordt gebruikt om organisaties in drie kritieke zones te infecteren: aan de perimeter van uw netwerk (waar malware, virussen en impersonatie moeten worden geblokkeerd), binnen de perimeter (waar deze zich kunnen verspreiden als ze niet worden geblokkeerd) en buiten de perimeter (waar uw merken en domeinen kunnen worden gespoofed om klanten en partners te bedriegen).

Bovendien zijn "cyberdreigers en dreigingsgroepen voortdurend bezig met het onderzoeken en uittesten van nieuwe tactieken, technieken en procedures", aldus het rapport. Dit alles heeft ertoe geleid dat 60% van de voor het rapport ondervraagde IT-besluitvormers van mening is dat het onvermijdelijk of waarschijnlijk is dat zij het komende jaar het slachtoffer zullen worden van een e-mailaanval.

Deze aanvallen brengen hoge kosten met zich mee. De FBI heeft het compromitteren van zakelijke e-mail verklaard tot "een van de meest financieel schadelijke online misdrijven. ... Het maakt misbruik van het feit dat zo velen van ons afhankelijk zijn van e-mail om zaken te doen - zowel privé als zakelijk." [iii]

Redenen waarom uw bedrijf een e-mailbeveiligingsbeleid nodig heeft

Een e-mailbeveiligingsbeleid is een officieel document waarin wordt beschreven hoe het e-mailsysteem van het bedrijf wel en niet mag worden gebruikt. Beleidsregels voor e-mailbeveiliging zijn belangrijk om positieve en productieve communicatie aan te moedigen, en tegelijkertijd het bedrijf te beschermen tegen aansprakelijkheid, gegevensverlies, uitvaltijd, reputatie- en merkschade, en nog veel meer.

Wat maakt deel uit van een beveiligingsbeleid voor e-mail?

De precieze formulering en inhoud van een e-mailbeveiligingsbeleid hangen af van een aantal factoren, zoals de grootte van het bedrijf, de bedrijfstak en het soort gegevens dat het bedrijf opslaat (bijvoorbeeld gezondheidsgerelateerde informatie, persoonlijk identificeerbare informatie en creditcardgegevens). Er zijn echter enkele algemene richtlijnen voor wat er in een e-mailbeveiligingsbeleid moet worden opgenomen.

• Een verklaring dat het bedrijf eigenaar is van alle communicatie binnen het e-mailsysteem van het bedrijf
• Uitleg over de verantwoordelijkheid van de werknemers, met inbegrip van de lessen die zijn geleerd tijdens de bewustmakingsopleiding (zoals oppassen voor e-mails die phishing kunnen inhouden)
• hoe - en aan wie - verdachte en/of aanstootgevende e-mailberichten moeten worden gemeld
• Hoe werknemers bedrijfse-mail wel en niet mogen gebruiken - bijvoorbeeld een e-mailbeveiligingsbeleid dat werknemers verbiedt zakelijke e-mail voor persoonlijk gebruik te gebruiken
• specifieke inhoud die nooit zal worden getolereerd in zakelijke e-mailcommunicatie, zoals beledigend taalgebruik, racistische opmerkingen, cyberpesten, onthulling van vertrouwelijke informatie of wachtwoorden en andere referenties
• Specifieke soorten/groottes van inhoud die wel en niet aanvaardbaar zijn (zoals ZIP-bestanden of zeer grote bijlagen)
• Informatie over hoe en hoe vaak het e-mailbeveiligingsbeleid zal worden bijgewerkt
• Informatie over hoe en hoe lang e-mails worden bewaard
• Specifieke gevolgen van het niet naleven van de richtsnoeren van het e-mailbeveiligingsbeleid

Hoe maak je een effectief e-mailbeveiligingsbeleid?

Er zijn twee verschillende denkwijzen bij het opstellen van een e-mailbeveiligingsbeleid, aldus Joshua Douglas, vicepresident van bedreigingsinformatie bij Mimecast. Sommige organisaties ontwikkelen een beleid op basis van de technologie en processen waarover een bedrijf beschikt. De effectievere aanpak is echter om een beleid te ontwikkelen op basis van de beveiligingen die het bedrijf nodig heeft. "Je moet rekening houden met hoe de beveiliging van het bedrijf tot stand gaat komen en wat daarvoor nodig is", aldus Douglas.

Vervolgens moeten organisaties beginnen aan wat een ontmoedigende taak kan zijn, namelijk het ontwikkelen van een e-mailbeveiligingsbeleid. Gelukkig hoeven zij niet helemaal vanaf nul te beginnen. Bedrijven kunnen een van de vele beschikbare sjablonen gebruiken.

Het SANS Institute publiceert bijvoorbeeld sjablonen voor e-mailbeleid en e-mailbewaringsbeleid,[iv] evenals anderen.[v] Brancheverenigingen bieden ook sectorspecifieke sjablonen. Organisaties kunnen op deze sjablonen voortbouwen om hun eigen beleid op te stellen op basis van hun eigen vereisten, waaronder naleving van de regelgeving.

Het is belangrijk om ervoor te zorgen dat alle belanghebbenden vertegenwoordigd zijn bij de ontwikkeling van een e-mailbeveiligingsbeleid. "Je hebt meerdere mensen aan tafel nodig", zegt Douglas van Mimecast, waaronder bedrijfsmanagers en de afdelingen personeelszaken en juridische zaken. "Als je bedrijf meer volwassen is, en een CIO of een CISO heeft, zullen zij absoluut degenen zijn die dit allemaal aansturen."

Douglas merkte op dat één afdeling vaak wordt vergeten tijdens het proces van het ontwikkelen van e-mailbeveiligingsbeleid: marketing. Het is belangrijk om deze groep erbij te betrekken, omdat marketingprofessionals zich kunnen buigen over de eisen, problemen en zorgen rond e-mailcommunicatie die wordt gebruikt voor klantenbinding en marketingcampagnes die gebruikmaken van nieuwsbrieven en andere e-mail.

Tot slot moet een beveiligingsbeleid voor e-mail deel uitmaken van een holistische beveiligingsstrategie. "Wanneer je nadenkt over e-mailbeveiliging, moet je dat echt uitbreiden tot voorbij e-mail", zegt Douglas. "E-mail is de belangrijkste aanvalsvector, maar je moet ook nadenken over de belangrijkste zaken die je wilt beschermen vanuit een algemeen samenwerkingsstandpunt", zegt hij, wat Slack, Microsoft Teams en andere platforms weer in beeld brengt. "Bedrijven moeten nadenken over hoe ze die dingen daadwerkelijk in kaart brengen en met elkaar verbinden."

De kern van de zaak

E-mail is de favoriete methode van cybercriminelen om bedrijfsnetwerken binnen te dringen en ervan te stelen. E-mail is voor de meeste organisaties ook het belangrijkste communicatiemiddel. Deze yin en yang van e-mail maakt het noodzakelijk voor organisaties om

[i] "Aantal e-mails per dag wereldwijd 2017-2025," Statista

[ii] "State of Email Security 2020," Mimecast

[iii] "Business Email Compromise," FBI

[iv] "Security Policy Templates," SANS

[v] "Beleid inzake e-mailbeveiliging," Crowley