Cinque sfide con la crittografia delle e-mail nel cloud: se le e-mail non sono crittografate sul server, tutte le informazioni possono essere copiate e lette dagli aggressori.
Software as a Service (SaaS) semplifica la vita alle aziende in molti modi: i fornitori non solo assicurano che sia disponibile una potenza di calcolo sufficiente. Importano anche aggiornamenti e patch per applicazioni come Office o servizi di posta elettronica e quindi colmano rapidamente le lacune di sicurezza. Soprattutto dopo le vulnerabilità critiche in Microsoft Exchange Server all'inizio di marzo, questo aspetto aumenta l'attrattiva di Microsoft 365 (M365) come soluzione SaaS.
Tuttavia, le aziende non possono fare affidamento sul fatto di essere completamente protette. A volte possono essere necessari alcuni giorni prima che una patch sia disponibile, durante i quali gli aggressori potrebbero accedere alle e-mail archiviate sul server. Se non sono crittografati, tutte le informazioni possono essere copiate e lette. Ma non è tutto. Le aziende devono considerare le seguenti cinque sfide delle infrastrutture di posta elettronica basate su cloud.
1. La protezione dei dati deve essere garantita
Il regolamento generale sulla protezione dei dati (GDPR) dell'UE prevede la protezione dei dati personali, anche nelle e-mail. Le aziende dovrebbero sempre inviarli crittografati. In questo modo, garantiscono la conformità e proteggono i dati personali oi segreti commerciali.
Sarebbe troppo unilaterale considerare l'on-premise come intrinsecamente sicuro e il cloud come fondamentalmente insicuro. La crittografia è quindi essenziale sia per le e-mail che si trovano nel cloud che per le infrastrutture on-premise. Se il cloud è l'unico archivio per tutte le e-mail, ulteriori misure per la protezione dei dati diventano ancora più importanti. I controlli di sicurezza esistenti per l'area di accesso delimitata fisicamente dell'azienda non si applicano più.
2. Le aziende hanno bisogno di sovranità sui propri dati
M365 ha integrato la propria tecnologia di crittografia. Con questo, le aziende proteggono inizialmente e-mail e documenti, ma rinunciano alla sovranità sui propri dati a medio-lungo termine. È come affidare a qualcuno una cassetta di sicurezza chiusa e attaccare la chiave sul fondo con del nastro adesivo.
Microsoft probabilmente non utilizzerà questa chiave per se stessa. Ma il "Cloud Act" del 2018 consente alle autorità statunitensi di accedere ai dati archiviati sui server di società statunitensi, anche all'estero e retrospettivamente. È quindi più sicuro se il controllo delle chiavi rimane all'interno dell'azienda.
3. La crittografia deve essere facile da usare
La crittografia non è un argomento facile. Prendersene cura, ad esempio con i certificati S/MIME, richiede dipendenti tecnicamente molto esperti e spesso non è un buon approccio.
Per garantire che la crittografia non fallisca a causa della resistenza dei dipendenti, deve essere di facile utilizzo. Idealmente, la crittografia viene eseguita automaticamente e in background. Gli utenti quindi non devono preoccuparsi della gestione di chiavi e certificati o della registrazione degli utenti: possono concentrarsi sulle loro attività effettive.
Marcel Mock, CTO e co-fondatore di totemo (Immagine: totemo)
4. Le e-mail devono essere leggibili per il destinatario
Quando le aziende crittografano le e-mail, i partner di comunicazione devono essere coinvolti. Esistono vari standard di crittografia come S/MIME e (Open)PGP che non sono compatibili tra loro. Inoltre, molte PMI e la maggior parte degli utenti domestici non dispongono della tecnologia o del know-how per decrittografare i messaggi.
Le aziende devono adattarsi alla varietà degli standard di crittografia ed essere in grado di adattarsi in modo flessibile agli standard dei loro partner. Ciò significa anche offrire un'alternativa se non utilizzano la crittografia, in modo che le e-mail crittografate non vengano lette.
5. Cosa succede alle vecchie e-mail non crittografate?
Quando le organizzazioni migrano la loro infrastruttura e-mail a M365, la crittografia si applica solo ai nuovi messaggi. Cosa succede alle e-mail non crittografate che passano dal server locale al cloud? Non dovrebbero essere lasciati in chiaro, in quanto ciò consente agli aggressori di leggerli.
Come le aziende affrontano le sfide
Da un lato, le aziende dovrebbero garantire maggiore sicurezza e protezione dei dati crittografando le proprie e-mail. Dall'altro, vogliono mantenere la sovranità sui propri dati, proteggere le risorse legacy e offrire una soluzione di facile utilizzo sia per i partner di comunicazione che per i dipendenti.
A tal fine sono necessarie soluzioni di crittografia e-mail indipendenti. Questi automatizzano la gestione di chiavi e certificati e crittografano le cassette postali esistenti prima della migrazione. Al momento della scelta, le aziende orientate ai servizi possono garantire che la soluzione supporti il maggior numero possibile di standard di crittografia e offra un metodo alternativo per i destinatari di posta elettronica che non dispongono dell'attrezzatura adeguata. Questo è ciò che rende Microsoft 365 un archivio di posta elettronica sicuro nel cloud.
Altro su totemo.com
A proposito di totemo
Il produttore svizzero di software totemo ag offre soluzioni per lo scambio sicuro di informazioni commerciali. totemo protegge la comunicazione e-mail e il trasferimento dei dati con la crittografia e attribuisce particolare importanza alla massima facilità d'uso, ovviamente anche sui dispositivi mobili.
La piattaforma di sicurezza totemo brevettata e convalidata FIPS 140-2 consente un'integrazione rapida e semplice in qualsiasi infrastruttura IT esistente.