Cosa possono fare le istituzioni finanziarie per migliorare la sicurezza delle e-mail?

HelpNetSecurity

Scaricare PDF
Articolo originale

Le istituzioni finanziarie sono in piena guerra contro le violazioni dei dati. E giustamente - il settore finanziario è un obiettivo frequente di ransomware, phishing e altri attacchi maligni. Le comunicazioni sensibili sono particolarmente vulnerabili, con migliaia di perdite ogni anno.

Eppure, allo stesso tempo, il fatto di difenderesicurezza delle e-mailnel settore finanziario può sembrare un compito di Sisifo. Nonostante il tentativo di raggiungere il faro in distanze lontane, i fornitori di sicurezza si bloccano con problemi ripetitivi e buchi di sicurezza; non riescono mai a implementare davvero un'architettura preventiva affidabile e completa.

Con gli scandali di massa che circondano il settore finanziario come una piaga, come possono le aziende migliorare la loro sicurezza dove è più importante?

Non sottovalutare le e-mail

Mentre i professionisti IT al giorno d'oggi si occupano di una miriade di problemi difficili, le e-mail vengono spesso trascurate. Le comunicazioni digitali possono essere la pietra angolare del nostro lavoro, ma vengono dimenticate dalle aziende che spendono grandi quantità di denaro in rilevatori di malware e firewall. Inoltre, c'è una credenza generale che i provider siano i responsabili della nostra sicurezza e-mail. Tuttavia - che sia Microsoft o altri - non è così. Nella finanza più che altrove, le organizzazioni possono perdere clienti da un giorno all'altro dopo un solo caso di hacking, e questi sistemi trascurati presentano punti di ingresso popolari per gli hacker.

Essereproattivoè fondamentale. È necessario andare oltre la blacklist generale di spam e malware conosciuti. I professionisti IT possono prendere in considerazione soluzioni end-to-end come i censori di contenuti con impostazioni personalizzate e filtri che corrispondono alle loro esigenze di sicurezza. L'invio di un'e-mail al di fuori della rete può nascondere automaticamente gli allegati o limitare i caratteri nel corpo dell'e-mail, con il potenziale di segnalare termini specifici, come la parola prestito o il tasso di interesse.

Questi strumenti Exchange Server per Office 365 portano chiarezza alle impostazioni complesse che girano su una varietà di server o domini. Proteggendo le comunicazioni sensibili, possono fare miracoli per l'ottimizzazione delle operazioni, portando allo stesso tempo vantaggi ai lavoratori. I dipendenti sono in grado di lavorare in modo più flessibile, valutando i loro calendari e le loro caselle di posta elettronica anche dai loro dispositivi personali senza mettere a rischio la loro azienda.

Le e-mail contengono un sacco di informazioni, link e percorsi informativi.Truffe di phishing, come i falsi "password perse" o gli appelli "resetta il tuo account" sono solo alcune delle potenziali minacce. Le e-mail richiedono una solida protezione su diversi livelli, che si tratti di processi di autenticazione, contenuti, identità del mittente o la funzionalità della configurazione stessa. Concentrandosi su tutti questi aspetti, le organizzazioni possono affrontare la sicurezza delle e-mail nel suo complesso, sviluppando un piano di gioco chiaro e preventivo.

Predicare la decentralizzazione

La decentralizzazione dovrebbe pervadere ogni aspetto della sicurezza e-mail. Sia fisicamente - con diversi database e strumenti, o concettualmente - con diritti di accesso limitati, può diminuire radicalmente il rischio di perdite. I punti centralizzati sono gli obiettivi più allettanti per gli hacker, e le istituzioni finanziarie spesso commettono errori di base, come l'archiviazione di password e nomi utente nello stesso luogo.

Gli ambienti ad alta sicurezza normalmente operano su più livelli strutturali; quindi, un nodo vulnerabile non dovrebbe influenzare la sicurezza generale. Questo perché controllano quali informazioni sono memorizzate dove e chi può accedervi. Mentre la decentralizzazione non ha bisogno di alterare visibilmente l'architettura IT, può comunque essere un gamechanger.

Attenzione al fattore umano

C'è qualcosa che è fuori dalle mani anche dei più abili esperti IT: il fattore umano. Poiché ogni lavoratore interagisce quotidianamente con i sistemi, può avere un forte impatto sull'ambiente della sicurezza. Per questo motivo, l'alfabetizzazione informatica e le abitudini di sicurezza dei dipendenti che lavorano nel settore finanziario dovrebbero essere coltivate il più possibile.

Nel settore finanziario, è particolarmente importante che i dipendenti capiscano. Questo include la formazione sulle minacce specifiche comuni nella finanza, la padronanza della gestione delle crisi e la creazione di canali di scambio di conoscenze sia all'interno dell'organizzazione che in altre istituzioni. Allo stesso modo, è cruciale che l'ambiente di alta sicurezza conduca una verifica sia dei dipendenti che delle terze parti che gestiscono i loro dati.

La soluzione di censura preventiva, implementata anche da Microsoft sulLivello Office 365può aiutare a determinare quali dati sono adatti alle reti interne. Mentre il tentativo malizioso di un dipendente non può essere assolutamente impedito di per sé, le organizzazioni possono limitare il loro accesso alle informazioni sensibili, prevenendo i problemi ancora prima che sorgano.

Allo stesso modo, c'è un urgente bisogno di formare gli utenti finali, aiutandoli a capire le basi della sicurezza informatica. Con Microsoft che ora abilita password di 256 caratteri, possiamo vedere che il potenziale di hacking è enorme. Ma a quanto pare, ilpassword più comunemente usatesugli account violati è "123456", usato da 23,2 milioni di account in tutto il mondo, insieme a quelli come "1111111" o "password". È vantaggioso per le aziende avere una politica di password stabilita, incoraggiando un cambio su base regolare o promuovendo un password manager e un'autenticazione multilivello.

Istituzioni finanziariepossono avere centinaia di sedi diverse con migliaia di dipendenti che utilizzano quotidianamente i loro account di posta elettronica. Che si tratti di password o di potenti soluzioni di scambio, le soluzioni di sicurezza e-mail non possono, in nessuna circostanza, essere messe da parte o sottovalutate.