usecure Blog

Eksempel på en e-post policy og hvorfor det er viktig med tanke på nettsikkerheten

Skrevet av Tor Einar Gudmestad | 23 august 2021 11:12

I denne artikkelen vil vi definere hva e-post- policy og retningslinjer er, potensielle fordeler og ulemper med dem og forklare hvordan du kan implementere en effektiv e-postpolicy i virksomheten din. Å implementere en e-postpolicy for dine ansatte kan være en effektiv måte å sikre god arbeidspraksis. 

Hva er en internett- og e-postpolicy?

Vår definisjon av en e-postpolicy er: 

En e-postpolicy er en policy en virksomhet velger å implementere når en vil sikre at de ansatte bruker e-posten sin på en måte som er i samsvar med virksomhetens mål. Dette betyr at retningslinjene vil være forskjellige fra bedrift til bedrift, men det er generelle vilkår som vanligvis er standarden for de fleste organisasjoner. 

Derfor vil en e-postpolicy bidra til at de ansatte er klar over sitt ansvar når de bruker e-post, hva de kan og ikke kan gjøre, og at disse vilkårene er avtalt og signert. Derfor kan en ansatt stilles til ansvar hvis det skulle bli brudd på disse vilkårene.

Å ha en god e-postpolicy på jobb kan også øke nettsikkerheten. Selv om de ansatte kan være vandt med bruk av e-post og bruker en kjent e-postleverandør som Office 365 for eksempel, kan det være nyttig å ha regler rundt sending av konfidensiell informasjon. Du kan for eksempel etablere regler som betyr at hvis e-posten med konfidensiell informasjon skulle ha blitt kompromittert, vil det være en mye mindre betydelig skade på virksomheten.

Fordeler og ulemper med en e-post policy:

Fordeler Ulemper
- Sikrer at den ansatte er ansvarlig for sine handlinger via. e-post.  - Det er potensialet for at en e-postpolicy virker anmassende eller en del av "mikroledelse", micro-management.
- Beskytter bedriftens rykte. - Kan sees på som bortkastet tid, eller reduksjon av produktiviteten.
- Beskyttelse mot datalekkasjer. - Noen ansatte kan føle at det krenker evnen deres til å kommunisere fritt.
- Sikre at det er klare retningslinjer for de ansatte å følge. - Må sikre forpliktelse til policyen/retningslinene fra alle ansatte.
- I 2015 var 43% av phishing-kampanjene rettet mot små bedrifter. Å bruke en e-postpolicy vil begynne å bidra til å senke den risikoen.  - Kan være vanskelig å håndtere hvem som er klar over policyen. 

Hva bør en e-postpolicy inkludere?

Som tidligere nevnt, er alle selskaper og organisasjoner forskjellige, og det er derfor det ikke finnes e-postpolicyer som gjelder alle. Imidlertid er det noen få standard ting som vanligvis bør inkluderes i enhver e-postpolicy for hele selskapet.

'Workable' antyder at følgende bør inkluderes i alle e-postpolicyer:

  • Å ikke registrere deg for ulovlige, upålitelige, ubestridelige eller mistenkelige nettsteder og tjenester.
  • Å ikke sende uautorisert markedsføringsinnhold eller oppfordring til dette på e-post.
  • Å ikke registrere deg på en konkurrent sine tjenester med mindre det er godkjent.
  • Å ikke sende fornærmende eller diskriminerende meldinger og innhold.
  • Å ikke spamme andre sin e-post med vilje, inkludert kollegaene.

Hva er upassende bruk av e-post på arbeidsplassen?

Enhver form for trakassering eller mobbing via e-post bør inkluderes som en spesielt upassende bruk av e-post på arbeidsplassen.
 
'Lawdonut' lister opp følgende som upassende bruk av e-post på arbeidsplassen:

  • kjønnsdiskriminerende, rasistisk eller annet krenkende materiale ;
  • ærekrenkende materiale ;
  • innhold som er beskyttet av opphavsrett ;
  • lenker til upassende materiale.

Det må også være konsekvenser for et brudd på e-postpolicyen, dette skal være tydelig forklart til den ansatte slik at de er klar over straffene, spesielt hvis det er like alvorlig som oppsigelse. 

God bruk av e-post

Det er også viktig å ha retningslinjer for e-post, slik at ansatte er klar over hvordan de skal, og ikke skal bruke e-post. Å forstå generell e-postetikette er ganske viktig for de fleste ansatte. 

E-post sikkerhet

  • Velg et sterkt passord (nåværende anbefaling er 3 tilfeldige ord)
  • Del aldri ut passordet ditt, selv ikke til kollegaer.
  • Ikke skriv ned passordet ditt 

Unngå e-post phisking

En god e-postpolicy kan også bidra til å unngå phiske-e-poster ved å etablere regler til å unngå noen av tegnene på phiske-e-poster. Dessverre er phisking noe som ikke kan unngås, og skylde på den ansatte kan gjøre mer skade enn godt. Men ved å legge klart ut hva de skal unngå, kan det bidra til å dempe risikoen for selskapet.  

  • Ikke klikk på vedlegg eller lenker på uønskede e-poster, spesielt fra en ukjent person.
  • Rapporter mistenkelige e-poster til riktig person (vanligvis en i IT-gruppa) umiddelbart.

usecure's eksempel på en policy:

    1. All bruk av e-post må være i samsvar med selskapets retningslinjer for etisk oppførsel og sikkerhet for forretningsdata.
    2. All bruk av e-post må være i tråd med riktig forretningsskikk og relevant for stillingsoppgaver.
    3. Selskapets e-postadresser eller systemer skal ikke brukes til å lage, distribuere eller få tilgang til noe krenkende eller ulovlig materiale, inkludert, men ikke begrenset til, materiale med krenkende kommentarer om kjønn, rase, alder, seksuell legning eller religiøs tro.
    4. Eventuelt støtende materiale mottatt i e-post må rapporteres til IT-avdelingen og menneskelige ressurser uten unødig forsinkelse.
    5. Bruk av selskapseide e-postadresser og systemer til personlig bruk bør begrenses til minimal og tilfeldig bruk.
    6. Kommersiell og forretningsrelatert bruk som ikke er en del av selskapets virksomhet ved bruk av selskapseide e-postadresser eller systemer er forbudt.
    7. E-post mottatt til selskapets e-postadresser kan ikke automatisk videresendes til e-postadresser som ikke eies eller drives av selskapet.
    8. Individuelle e-postadresser som er videresendt til e-postadresser som ikke eies eller drives av selskapet, må ikke inneholde sensitiv eller konfidensiell informasjon.
    9. Opprettelse eller videresending av kjede- eller vitsepost fra selskapets e-postadresser eller systemer er forbudt.
    10. Selskapet kan overvåke og registrere alle e-postmeldinger mottatt eller sendt av e-postadresser eller systemer som eies eller drives av selskapet.
    11. Selskapet overvåker ikke nødvendigvis all e-postaktivitet, men beholder retten til det.

Gjør mennesker om til ditt sterkeste forsvar

usecure er en Human Risiko Management (HRM) plattform som styrker bedrifter og hjelper dem å redusere brukerrelaterte sikkerhetstabber, samtidig å bygge en cybersikker arbeidskraft og oppnå retningslinjer gjennom automatiske opplæringsprogram for brukeren.

usecure plattformen er brukt av ledende IT bedrifter og Managed Service Providers (MSP’er) verden over. usecure analyserer, reduserer og overvåker menneskelig cyberrisiko ved å drive sikkerhetstrening og kurs, phishing simulering (også kjent som phisking på norsk), automatisert retningslinjeprogram (policy management) og kontinuerlig dark web overvåkning - alt på samme plattform.

Lær mer om usecure