Cinco desafíos con el cifrado de correo electrónico en la nube: si los correos electrónicos no están cifrados en el servidor, los atacantes pueden copiar y leer toda la información.
El software como servicio (SaaS) facilita la vida de las empresas de muchas maneras: los proveedores no solo garantizan que haya suficiente potencia informática disponible. También importan actualizaciones y parches para aplicaciones como Office o servicios de correo electrónico y así cierran brechas de seguridad rápidamente. Especialmente después de las vulnerabilidades críticas en Microsoft Exchange Server a principios de marzo, este aspecto aumenta el atractivo de Microsoft 365 (M365) como solución SaaS.
Sin embargo, las empresas no pueden confiar en el hecho de que están completamente protegidas. A veces pueden pasar algunos días antes de que un parche esté disponible, durante los cuales los atacantes pueden acceder a los correos electrónicos almacenados en el servidor. Si no están encriptados, toda la información se puede copiar y leer. Pero eso no es todo. Las empresas deben considerar los siguientes cinco desafíos de las infraestructuras de correo electrónico basadas en la nube.
1. Debe garantizarse la protección de datos
El Reglamento General de Protección de Datos de la UE (GDPR) estipula la protección de los datos personales, también en los correos electrónicos. Las empresas siempre deben enviarlos encriptados. De esta forma, aseguran el cumplimiento y protegen los datos personales o los secretos comerciales.
Sería demasiado unilateral considerar las instalaciones locales como intrínsecamente seguras y la nube como fundamentalmente insegura. Por lo tanto, el cifrado es esencial tanto para los correos electrónicos que están en la nube como para las infraestructuras locales. Si la nube es el único almacenamiento para todos los correos electrónicos, las medidas adicionales para la protección de datos se vuelven aún más importantes. Los controles de seguridad existentes para el área de acceso físicamente delimitada de la empresa ya no se aplican.
2. Las empresas necesitan soberanía sobre sus datos
M365 ha integrado su propia tecnología de cifrado. Con esto, las empresas protegen los correos electrónicos y documentos inicialmente, pero ceden la soberanía sobre sus datos en el mediano y largo plazo. Es como confiarle a alguien una caja de efectivo cerrada con llave y pegar la llave al fondo con cinta adhesiva.
Microsoft probablemente no usará esta clave para sí mismo. Pero la "Ley de la nube" de 2018 permite a las autoridades estadounidenses acceder a los datos almacenados en servidores de empresas estadounidenses, también en el extranjero y de forma retrospectiva. Por lo tanto, es más seguro si el control de las claves permanece dentro de la empresa.
3. El cifrado debe ser fácil de usar
El cifrado no es un tema fácil. Tomar esto en sus propias manos, por ejemplo con certificados S/MIME, requiere empleados técnicamente muy experimentados y, a menudo, no es un buen enfoque.
Para garantizar que el cifrado no falle debido a la resistencia de los empleados, debe ser fácil de usar. Idealmente, el cifrado se ejecuta automáticamente y en segundo plano. Entonces, los usuarios no tienen que preocuparse por administrar claves y certificados o registrar usuarios, pueden concentrarse en sus tareas reales.
Marcel Mock, CTO y cofundador de totemo (Imagen: totemo)
4. Los correos electrónicos deben ser legibles para el destinatario
Cuando las empresas cifran los correos electrónicos, los socios de comunicación deben estar involucrados. Existen varios estándares de encriptación como S/MIME y (Open)PGP que no son compatibles entre sí. Además, muchas PYMES y la mayoría de los usuarios domésticos no tienen la tecnología o los conocimientos para descifrar mensajes.
Las empresas tienen que adaptarse a la variedad de estándares de encriptación y ser capaces de adaptarse con flexibilidad a los estándares de sus socios. Esto también significa ofrecer una alternativa si no usan cifrado, para que los correos electrónicos cifrados no se queden sin leer.
5. ¿Qué sucede con los correos electrónicos antiguos sin cifrar?
Cuando las organizaciones migran su infraestructura de correo electrónico a M365, el cifrado solo se aplica a los mensajes nuevos. ¿Qué sucede con los correos electrónicos sin cifrar que se mueven del servidor local a la nube? No deben dejarse en texto sin formato, ya que esto permite que los atacantes los lean.
Cómo las empresas enfrentan los desafíos
Por un lado, las empresas deberían garantizar una mayor seguridad y protección de datos cifrando sus correos electrónicos. Por otro lado, quieren conservar la soberanía sobre sus datos, proteger los activos heredados y ofrecer una solución fácil de usar tanto para los socios de comunicación como para los empleados.
Para ello, se necesitan soluciones de cifrado de correo electrónico independientes. Estos automatizan la gestión de claves y certificados y cifran los buzones de correo existentes antes de la migración. Al elegir, las empresas orientadas a los servicios pueden asegurarse de que la solución admita tantos estándares de encriptación como sea posible y ofrezca un método alternativo para los destinatarios de correo electrónico que no cuentan con el equipo adecuado. Esto es lo que convierte a Microsoft 365 en un almacenamiento seguro de correo electrónico en la nube.
Más en totemo.com
Sobre tótem
El fabricante de software suizo totemo ag ofrece soluciones para el intercambio seguro de información empresarial. totemo protege la comunicación por correo electrónico y la transferencia de datos con encriptación y otorga especial importancia a la óptima facilidad de uso, también en dispositivos móviles, por supuesto.
La plataforma de seguridad totemo patentada y validada por FIPS 140-2 permite una integración rápida y fácil en cualquier infraestructura de TI existente.