كيف تؤمّن بريد الأعمال؟

لتأمين بريد الأعمال، ابدأ بالضوابط التي تمنع أكثر المشكلات شيوعًا. استخدم كلمات مرور قوية وفريدة. فعّل التحقق متعدد العوامل، أو MFA، وهذا يعني أن المستخدمين يحتاجون إلى خطوة ثانية مثل رمز من تطبيق على الهاتف. حافظ على تحديث الأجهزة وتطبيقات البريد. درّب الموظفين على التمهّل قبل النقر على الروابط، أو فتح المرفقات، أو إرسال الأموال.

بعد ذلك أضف حماية بمستوى مناسب للشركات حول نظام البريد الإلكتروني. غالبًا يتضمن ذلك تصفية البريد المزعج والاحتيال عبر البريد (phishing)، وتنبيهات تسجيل الدخول إلى الحساب، ونسخ احتياطي لصندوق البريد، وقواعد من يمكنه إعادة توجيه البريد خارج الشركة، وإجراء لإزالة الصلاحيات بسرعة عند مغادرة شخص ما.

إذا بدا أن ذلك كثير، فهذا أمر طبيعي. لا تدير معظم الشركات الصغيرة كل ذلك بمفردها. يعمل كثيرون مع مزوّد تكنولوجيا معلومات مُدار (MSP)، أي مزوّد خدمات تكنولوجيا معلومات مُدارة، للمساعدة في إعداد هذه الحمايات ومراجعتها وصيانتها. ليست NodeBridge IT شركة MSP ولا شركة أمن. نحن نشارك معلومات عامة ويمكنك الاستفادة من مزوّد مستقل لخدمات تكنولوجيا المعلومات المُدارة.

غالبًا ما يكون البريد الإلكتروني هو بوابة الدخول إلى أنظمة الأعمال الأخرى. إذا تمكن شخص ما من الوصول إلى صندوق بريد موظف واحد، فقد يحاول إعادة تعيين كلمة المرور، أو قراءة الفواتير، أو نسخ جهات الاتصال، أو التظاهر بأنّه جزء من فريقك. وفي العديد من الشركات الصغيرة، يرتبط البريد الإلكتروني بتخزين الملفات والتقويمات وإشعارات الرواتب وتواصل الموردين.

كثير من هجمات البريد الإلكتروني ليست عالية التقنية جدًا. تعتمد على الأشخاص المشغولين. قد تكون فاتورة مزيفة، أو إشعار شحن، أو طلب لتغيير بيانات الحساب البنكي، أو رسالة تبدو وكأنها صادرة من صاحب العمل كافية. يقلّل أمن البريد الإلكتروني الجيد من احتمال أن يتحول نقر سريع واحد متسرّع إلى مشكلة أكبر للأعمال.

يساعد ذلك أيضًا في بناء الثقة وحفظ السجلات. يتوقع العملاء والموردون والموظفون أن يكون بريد شركتك موثوقًا ومدارًا بشكل مهني. ووفقًا لمجالك وموقعك داخل الدولة، قد تكون هناك أيضًا متطلبات قانونية أو تعاقدية تتعلق بحماية المعلومات. على سبيل المثال، يشير HIPAA إلى قانون نقل التأمين الصحي وقابليته للمساءلة (Health Insurance Portability and Accountability Act)، وينطبق على بعض المعلومات الصحية. ويشير PCI إلى معيار أمان بيانات صناعة بطاقات الدفع (Payment Card Industry Data Security Standard)، وينطبق عند التعامل مع بيانات بطاقات الدفع. تختلف المتطلبات حسب المجال والدولة.

أمن البريد الإلكتروني الجيد ليس أداة واحدة. بل هو مجموعة من طبقات بسيطة. أولًا، لكل صندوق بريد كلمة مرور قوية وفريدة، مع تفعيل MFA. ثانيًا، تتم مراجعة إعدادات الأمان لدى مزود البريد الإلكتروني، وعدم تركها على الإعدادات الافتراضية. ثالثًا، يعرف الموظفون كيفية اكتشاف الرسائل المشبوهة وما الذي يجب فعله عندما يترددون.

كما يعني ذلك وجود قواعد واضحة. من الذي يمكنه الموافقة على تغييرات التحويلات البنكية؟ من الذي يمكنه إرسال ملفات الرواتب؟ من الذي يمكنه إنشاء قواعد لإعادة توجيه البريد الإلكتروني؟ ماذا يحدث عند فقد هاتف أو لابتوب؟ يمكن لعملية مكتوبة صغيرة أن تمنع أخطاء مكلفة.

من الجانب التقني، يتضمن الإعداد الجيد غالبًا تصفية البريد المزعج وحماية التصيد الإلكتروني (phishing) ومراقبة تسجيلات الدخول وسياسات تحديث الأجهزة والنسخ الاحتياطي لبيانات البريد الإلكتروني المهمة. وقد تحتاج بعض الشركات إلى ضوابط أقوى أيضًا لصناديق البريد المشتركة، والاحتفاظ القانوني بالبيانات، والأجهزة المحمولة، والمعلومات الحساسة التي تُرسل عبر البريد الإلكتروني.

لا يوجد أي مزوّد صادق يَعِد بانعدام التوقف تمامًا أو بشبكة لا يمكن اختراقها. الهدف هو تقليل المخاطر، واكتشاف المشكلات مبكرًا، والقدرة على التعافي بطريقة منظمة إذا حدث خطأ ما.

ابدأ بالأساسيات الأكثر قيمة. فعّل MFA لكل حساب بريد إلكتروني، خصوصًا الحسابات التابعة للمالكين، وموظفي الشؤون المالية، والمديرين. احذف الحسابات القديمة وأي تسجيل دخول مشترك. تأكد أن كل شخص لديه حسابه الخاص. راجع قواعد إعادة التوجيه وعناوين البريد الإلكتروني الخاصة بالاسترداد. إذا كان لدى موظف سابق ما زال لديه وصول، أزل هذا الوصول فورًا.

بعد ذلك راجع الأجهزة. لا يمكن أن يكون البريد الإلكتروني آمنًا إلا بقدر أمان الهاتف أو الجهاز اللوحي أو الكمبيوتر الذي يفتحه. حافظ على تحديث أنظمة التشغيل وتطبيقات البريد الإلكتروني. استخدم أقفال الشاشة. لا تسمح للموظفين بخلط بريد الأعمال الإلكتروني مع تطبيقات غير معروفة أو أجهزة كمبيوتر عامة. إذا كان الأشخاص يستخدمون هواتفهم الشخصية للعمل، فاطلب من مزوّد تكنولوجيا المعلومات تحديد أقل إعدادات أمان يجب فرضها.

ثم اعمل على عادات الموظفين. درّب الناس على التحقق من تغييرات الدفع عبر الهاتف باستخدام رقم معروف، وليس الرقم الموجود داخل البريد الإلكتروني. انتبه للرسائل العاجلة وطلبات بطاقات الهدايا والروابط التي تقود إلى تسجيل الدخول. شجّع على الإبلاغ. من الأفضل أن يسأل الموظف بدلًا من التخمين.

إذا لم تكن متأكدًا مما يجب مراجعته، فإن إجاباتنا تغطي الأسئلة الشائعة، وتوضح صفحة خدماتنا ما يساعد مزوّدو تكنولوجيا المعلومات المُدارة عادةً فيه.

إذا كان لدى شركتك أكثر من عدد قليل من المستخدمين، أو كانت تتعامل مع معلومات حساسة، أو سبق أن ظهرت أنشطة بريد إلكتروني مشبوهة، فقد يكون الوقت مناسبًا لجلب مساعدة خارجية. يمكن لمزوّد مستقل لخدمات تكنولوجيا المعلومات المُدارة مراجعة إعدادك الحالي، وشرح الفجوات بلغة بسيطة، ومساعدتك في ترتيب الأولويات.

قد يساعدون أيضًا في أدوات وسياسات ذات صلة. على سبيل المثال، يشير endpoint إلى جهاز مثل لابتوب أو كمبيوتر مكتبي أو هاتف يتصل بأنظمة عملك. وتعني عملية patching تطبيق برمجيات وتحديثات أمنية. وتشير EDR إلى كشف الأجهزة والاستجابة لها، وهي أداة تساعد على اكتشاف النشاط المشبوه على الأجهزة. وتشير RMM إلى المراقبة والإدارة عن بُعد، وهي برمجيات يستخدمها كثير من المزوّدين لمتابعة صحة الأجهزة والصيانة. ويعني vCIO مدير معلومات افتراضي (Chief Information Officer)، وهو شخص يساعد في التخطيط واتخاذ قرارات تقنية المعلومات على مستوى الأعمال.

إذا رغبت، يمكن لـ NodeBridge IT أن يوصلك بـ مزوّد مستقل لخدمات تكنولوجيا المعلومات المُدارة. نجمع فقط تفاصيل عمل أساسية وتفاصيل تواصل كي نتمكن من المساعدة في عملية التطابق. نحن لا ندير أو نراقب أو نؤمّن أو نصلح أو نصل إلى أنظمتك أو شبكتك أو حساباتك.

بالنسبة لشركة صغيرة، قد تتراوح تكلفة أمن البريد الإلكتروني من بضعة دولارات لكل مستخدم شهريًا للحمايات الأساسية، إلى مبالغ أكبر بكثير عند إضافة أدوات أمنية متقدمة وضوابط للأجهزة المحمولة ودعم الامتثال والتدريب ودعم تكنولوجيا معلومات عملي. إذا وظفت MSP، غالبًا ما يتم تسعير الدعم الشهري لكل مستخدم أو لكل جهاز، أو على شكل خطة مجمعة.

يعتمد الرقم الحقيقي على عدد الموظفين والأجهزة ومتطلبات الأمن والمنطقة التي أنت فيها، وعلى ما إذا كنت تستخدم بالفعل منصة بريد أعمال مع بعض الحمايات المضمنة. هذه النطاقات ليست عروض أسعار. إنها فقط نقطة بداية للتخطيط.

يجب على المزوّد الجيد أن يشرح ما الذي يتضمنه وما هو اختياري، وما الذي ما زال يعتمد على سلوك الموظفين وعملية العمل. أهمية تحديد نطاق العمل واضحة. اسأل عمّا يقومون بإعداده، وما الذي يراقبونه، وكيف يتعاملون مع التنبيهات، وما الدعم المتاح عندما تكون لدى المستخدمين أسئلة.