E-mail predstavlja veoma značajnu i važnu temu u infromacionom sistemu o kome se govori u standardu ISO 27001.E-mail, odnosno elektronska pošta, jedna je od najranije razvijenih internet aplikacija. Ideja e-mail komunikacije zasnovana je na paraleli sa „običnom“, sporom poštom, i na svom početku izgledala je kao najraniji oblik SMS usluge na mobilnim telefonima: omogućavala je slanje kratkih poruka, bez velikog broja opcija poput slanja fotografija ili dokumenata, odnosno bez mogućnosti slanja dodataka (attachment). E-mail je danas jedna od najpopularnijih i najviše korišćenih aplikacija. Standard zahtjeva od organizacije da razvije i implementira politiku i da uspostavi kontrole za smanjenje rizika bezbjednosti koji stvara e-mail.
ISO 27002 definiše nekoliko rizika bezbjednosti kod e-maila. Rizici uključuju:
- Slabosti poruka u vezi sa neovlaštenim pristupom, ili izmjenom, ili odbijanjem napada usluga
- Slabost poruka u vezi sa greškom kao što je upisivanje netačne adrese, pogrešno slanje ili samo nepouzdanost interneta
- Pravna ptanja, kao što je potencijalna potreba za dokazivanjem porijekla, slanja i prijema
- Nekontrolisani pristup udaljenog korisnika e-maila računima.
Za preduzeća su dosta veliki rizici kada pojedinačne e-mailove šalju jedini članovi osoblja drugoj organizaciji. što može da vodi do neovlaštenog izlaganja povjerljivih informacija i kršenja povjerljivosti. Organizacija treba da uspostavi jasne politike o korišćenju e-maila.
Politika e-maila treba da ustanovi:
- Odgovornost zaposlenih da ne kompromituju preduzeće putem zabranjivanja korišćenja e-maila preduzeća, za slanje klevetničkij e-mailova ili korišćenje e-maila za zlostavljanje. Svi e-mailovi treba da imaju automatsko podnožje stranice koja sadri zakonsko odricanje od odgovornosti uz dodatak izjave u vezi sa tm da se izraženi stavovi u e-mailu odnose samo na pošiljaoca i da se oslikavaju stavove organizacije.
- Da se e-mail ne koristi za saopštavanje osjetljivih infromacija za posebnom kvalifikacijama
- Da e-mail priloge treba zaštoti na odgovarajući način, koristeći neke kontrole šiftovanja
- Kako reagovati na viruse i kvazi prijateljske poruke sa virusima.
Preduzeća postaju žrtve
Iako su mnogi vlasnici biznisa svesni koliko je sajber bezbjednost važna, prema Karolovim riječima, oni su žrtve sopstvenog samopouzdanja. Oni jednostavno zanemaruju svoju bezbjednost na internetu jer greškom vjeruju da su bezbjedni.
– Misle da ne moraju dodatno da rade u sajber bezbednost. Oni misle: „Imamo IT tim, pa smo zato zaštićeni“, kaže Karol.
Neki od velikih bezbjednosnih izazova sa kojima se Karol susreo su takozvani Social Engineering, Third-Party Exposure i configuration greške. Međutim, nije nemoguće umanjiti rizike da do toga ne dođe ili da se umanje posljedice.
– Postoji nekoliko stvari koje preduzetnici mogu da urade kako bi smanjili rizik da budu pogođeni. Između ostalog, trebalo bi da razmislite o angažovanju nezavisne kompanije koja može da sprovede reviziju digitalne bezbjednosti kompanije. Oni mogu da identifikuju bezbjednosne rupe i rizike, tako da možete da se suprotstavite problemima pre nego što dovedu do ozbiljnih problema.
Najbolja 3 savjeta stručnjaka za zaštitu podata u kompaniji
Evo 3 stvari o kojima Karol misli da kompanije i pojedinci generalno treba da razmišljaju o tome da ostanu bezbjedni na internetu:
- Koristite password manager, i privatno i na poslu! Naučite članove svoje porodice da ga takođe koriste.
- Pratite svog omiljenog stručnjaka za sajber bezbjednost na društvenim mrežama da biste bili u toku sa najnovijim bezbjednosnim vijestima. Razmislite i o unaprijeđenju svojih vještina putem kursa bezbjednosti.
- Razmislite o angažovanju nezavisne kompanije koja može da sprovede digitalnu bezbjednosnu reviziju vašeg poslovanja. Pored toga, možete da sprovedete phishing test za zaposlene.
