Cinco desafios com a criptografia de e-mail na nuvem: Se os e-mails não forem criptografados no servidor, todas as informações poderão ser copiadas e lidas pelos invasores.
O software como serviço (SaaS) facilita a vida das empresas de várias maneiras: os provedores não apenas garantem que o poder de computação suficiente esteja disponível. Eles também importam atualizações e patches para aplicativos como o Office ou serviços de e-mail e, assim, fecham brechas de segurança rapidamente. Especialmente após as vulnerabilidades críticas no Microsoft Exchange Server no início de março, esse aspecto aumenta a atratividade do Microsoft 365 (M365) como solução SaaS.
No entanto, as empresas não podem confiar no fato de estarem totalmente protegidas. Às vezes, pode levar alguns dias até que um patch esteja disponível, durante o qual os invasores podem acessar e-mails armazenados no servidor. Se não estiverem criptografados, todas as informações podem ser copiadas e lidas. Mas isso não é tudo. As empresas devem considerar os cinco desafios a seguir das infraestruturas de e-mail baseadas em nuvem.
1. A proteção de dados deve ser garantida
O Regulamento Geral de Proteção de Dados da UE (GDPR) estipula a proteção de dados pessoais - também em e-mails. As empresas devem sempre enviá-los criptografados. Dessa forma, eles garantem a conformidade e protegem dados pessoais ou segredos comerciais.
Seria muito unilateral considerar o local como inerentemente seguro e a nuvem como fundamentalmente insegura. A criptografia é, portanto, essencial tanto para e-mails que estão na nuvem quanto para infraestruturas locais. Se a nuvem for o único armazenamento para todos os e-mails, medidas adicionais para proteção de dados tornam-se ainda mais importantes. Os controles de segurança existentes para a área de acesso fisicamente delimitada da empresa não se aplicam mais.
2. As empresas precisam de soberania sobre seus dados
O M365 integrou sua própria tecnologia de criptografia. Com isso, as empresas protegem e-mails e documentos inicialmente, mas abrem mão da soberania sobre seus dados a médio e longo prazo. É como confiar a alguém uma caixa de dinheiro trancada e prender a chave no fundo com fita adesiva.
A Microsoft provavelmente não usará essa chave para si mesma. Mas a "Lei da Nuvem" de 2018 permite às autoridades americanas o acesso a dados armazenados em servidores de empresas americanas - também no exterior e retrospectivamente. Portanto, é mais seguro se o controle das chaves permanecer dentro da empresa.
3. A criptografia deve ser amigável
Criptografia não é um assunto fácil. Fazer isso com suas próprias mãos, por exemplo, com certificados S/MIME, requer funcionários tecnicamente muito experientes e muitas vezes não é uma boa abordagem.
Para garantir que a criptografia não falhe devido à resistência dos funcionários, ela deve ser amigável. Idealmente, a criptografia é executada automaticamente e em segundo plano. Os usuários não precisam se preocupar em gerenciar chaves e certificados ou registrar usuários - eles podem se concentrar em suas tarefas reais.
Marcel Mock, CTO e cofundador da totemo (Imagem: totemo)
4. Os e-mails devem ser legíveis para o destinatário
Quando as empresas criptografam e-mails, os parceiros de comunicação devem estar envolvidos. Existem vários padrões de criptografia, como S/MIME e (Open)PGP, que não são compatíveis entre si. Além disso, muitas PMEs e a maioria dos usuários domésticos não possuem a tecnologia ou know-how para descriptografar mensagens.
As empresas precisam se adaptar à variedade de padrões de criptografia e ser capazes de se adaptar com flexibilidade aos padrões de seus parceiros. Isso também significa oferecer uma alternativa se eles não usarem criptografia, para que os e-mails criptografados não sejam lidos.
5. O que acontece com e-mails antigos não criptografados?
Quando as organizações migram sua infraestrutura de e-mail para o M365, a criptografia se aplica apenas a novas mensagens. O que acontece com os e-mails não criptografados que são movidos do servidor local para a nuvem? Eles não devem ser deixados em texto simples, pois isso permite que invasores os leiam.
Como as empresas enfrentam os desafios
Por um lado, as empresas devem garantir mais segurança e proteção de dados criptografando seus e-mails. Por outro lado, eles querem manter a soberania sobre seus dados, proteger os ativos legados e oferecer uma solução amigável para parceiros de comunicação e funcionários.
Soluções independentes de criptografia de e-mail são necessárias para isso. Eles automatizam o gerenciamento de chaves e certificados e criptografam as caixas de correio existentes antes da migração. Ao escolher, as empresas orientadas a serviços podem garantir que a solução suporte tantos padrões de criptografia quanto possível e ofereça um método alternativo para destinatários de e-mail que não possuem o equipamento certo. É isso que torna o Microsoft 365 um armazenamento de email seguro na nuvem.
Mais em totemo.com
Sobre o totem
O fabricante suíço de software totemo ag oferece soluções para a troca segura de informações comerciais. A totemo protege a comunicação por e-mail e a transferência de dados com criptografia e dá especial importância à facilidade de uso ideal - inclusive em dispositivos móveis, é claro.
A plataforma de segurança totemo patenteada e validada pelo FIPS 140-2 permite uma integração rápida e fácil em qualquer infraestrutura de TI existente.