La sicurezza della posta elettronica è la principale linea di difesa per impedire ai criminali informatici di accedere a contenuti sensibili inviati all’interno e all’esterno dell’organizzazione. Una posta elettronica “sicura” impedisce inoltre allo spam di rallentare i sistemi di comunicazione elettronica e distogliere energie relative alla produttività dei tuoi dipendenti.

Cosa si intende per “sicurezza della posta elettronica”? La sicurezza e-mail è l’insieme di software, procedure e tecniche messe in atto per proteggere gli account e-mail e le comunicazioni da potenziali criminali e spammer.

Quali sono le minacce più comuni alla sicurezza della posta elettronica?

L’e-mail è ancora una delle principali forme di comunicazione aziendale al mondo. È economico, onnipresente e basato su una tecnologia solida e aperta, facile da implementare e scalare. Inoltre, è flessibile: le e-mail possono essere lunghe e descrittive e contenere immagini, allegati e persino formattazione HTML.

Di conseguenza, la forma di comunicazione più utilizzata è anche uno dei maggiori veicoli di minacce e attacchi alla sicurezza. Un recente sondaggio mostra che le aziende sono ben consapevoli del fatto che la posta elettronica sia il loro vettore di rischio più significativo: il 68% ha dichiarato che le comunicazioni tramite posta elettronica rappresentano il rischio n. 1 o n. 2 per la sicurezza.

La posta elettronica aziendale è forse uno degli obiettivi più importanti per alcune di queste minacce e, per una buona ragione, la posta elettronica non è intrinsecamente sicura. In effetti, l’e-mail viene utilizzata per condividere la maggior parte delle forme di informazioni di identificazione personale nonché, all’occorrenza, informazioni appartenenti alla c.d. categorie di dati particolari / sensibili.

E questo è il nocciolo del problema: la maggior parte delle persone, compresi i pazienti del sistema sanitario, usa la posta elettronica. Purtroppo, le minacce sono troppo grandi per essere ignorate. Alcune delle minacce più diffuse e rilevanti sono le seguenti:

  • Esposizione accidentale: questa è probabilmente la vulnerabilità più comune. L’e-mail semplicemente non è un’informazione protetta una volta che ha raggiunto la sua destinazione. Una volta che un’e-mail è in una casella di posta, chiunque abbia accesso a quell’account e-mail o a qualsiasi dispositivo ad esso collegato può leggerne il contenuto.
  • Integrità dei dati a riposo: una volta che un’e-mail si trova su un server, sia del mittente che del destinatario, deve essere protetta dall’hacking. Per la maggior parte, questi dati non sono crittografati.
  • Responsabilità: le aziende con requisiti normativi avranno spesso criteri per garantire che solo il proprietario dei dati riceva le informazioni a cui ha diritto. Al di fuori dell’esposizione accidentale, l’azienda non ha alcun controllo su chi riceve le informazioni dopo che sono state inviate tramite e-mail.
  • Ingegneria sociale: phishing, spam e altre truffe sono comuni con la posta elettronica. Sebbene questo non sia spesso un problema diretto per le aziende, è un problema per gli utenti che ricevono messaggi che potrebbero generare di un attacco informatico compromettendo la posta elettronica aziendale.

Che tipo di tecnologie o soluzioni possono proteggere la posta elettronica?

In generale, esistono tre diverse potenziali superfici di attacco per proteggere la posta elettronica:

  • Server di posta: si tratta del “luogo” in cui vengono archiviati i messaggi inviati e ricevuti e da cui vengono inviate le e-mail verso l’esterno. In sostanza, controllano l’attività e contengono tutte le email inviate e ricevute dagli utenti che utilizzano quel determinato server.
  • Trasmissione di e-mail: durante il processo di invio e ricezione, le e-mail potrebbero essere oggetto di intrusioni tramite attacchi del tipo “man-in-the-middle”. La maggior parte degli standard di conformità della posta elettronica richiede una qualche forma di sicurezza per le e-mail durante il transito insieme alla sicurezza del server.
  • Client di posta: chiunque utilizzi un client (come Outlook o Thunderbird) essenzialmente estrae copie delle e-mail su un computer locale. A quel punto ci sarebbero ulteriori requisiti di sicurezza.

Detto questo, ci sono alcuni approcci di sicurezza standard che i fornitori di servizi IT / email possono seguire:

  • Transport Layer Security (TLS): la crittografia TLS, discendente della crittografia SSL (Secure Sockets Layer), protegge le informazioni durante la trasmissione tra un server di posta elettronica e un altro. Poiché TLS è un protocollo aperto che offusca i dati tra i server, la maggior parte dei provider di posta elettronica utilizza TLS per proteggere le e-mail tra i server.
  • Crittografia end-to-end: E2E è il processo di crittografia di un messaggio di posta elettronica dal momento in cui viene inviato dal client del mittente alla sua destinazione finale sul client di un destinatario. A differenza di TLS, le soluzioni end-to-end includono anche la crittografia per i messaggi inattivi e consentono di proteggere i messaggi su un server in modo che solo il destinatario possa leggerli. Alcune forme popolari di crittografia end-to-end includono la crittografia a chiave pubblica S/MIME o PGP.
  • Autenticazione a più fattori (MFA): i provider più popolari includono un sistema MFA per proteggere l’accesso agli account utente del loro servizio di posta elettronica.
  • Gateway e-mail: i gateway sono uno schermo di sicurezza in cui un sistema automatizzato controlla le e-mail per rilevare le minacce. Ciò include la rimozione di allegati non consentiti, la generazione di avvisi per e-mail da domini esterni e il blocco di e-mail da altri domini o intervalli di indirizzi IP.

Molti tipi di sicurezza e-mail sono implementati nella maggior parte dei provider (MFA, TLS), mentre alcuni sono implementati in modo selettivo nell’e-mail di tipo aziendale (gateway). La crittografia end-to-end, tuttavia, non è in genere inclusa con la posta elettronica generica perché le incompatibilità tra gli standard di crittografia interni possono essere problematiche e comportare complessità e inefficienze. 

Quali sono alcune best practice per proteggere la posta elettronica?

La protezione della posta elettronica implica il corretto bilanciamento tra le esigenze della tua organizzazione, il budget e l’impatto che il servizio di posta ha sul tuo business. Non tutte le aziende hanno bisogno di un gateway complesso o di uno standard di crittografia per rendere sicura la propria posta elettronica. D’altra parte, altre società potrebbero fare un uso limitato delle e-mail a vantaggio di altre soluzioni per condividere informazioni senza violare le norme sulla privacy o sulla riservatezza.

Alcune delle migliori pratiche che l’organizzazione deve seguire per proteggere le comunicazioni e-mail includono:

  • Proteggi le e-mail dei dipendenti con la crittografia e l’autenticazione a più fattori: indipendentemente dal fatto che le organizzazioni lavorino con e-mail con server on-premises o con un provider di terze parti (molto probabilmente quest’ultimo), devono assicurarsi di utilizzare la crittografia TLS per i dati in transito e disporre di server crittografati che utilizzano AES -256 per proteggere “i dati a riposo”. L’utilizzo dell’MFA, inclusa la biometria, impedisce agli aggressori che hanno rubato le credenziali di un utente tramite phishing di accedere con successo a quell’e-mail crittografata, poiché non dispongono del secondo fattore di autenticazione.
  • Implementa un gateway di posta elettronica sicuro: un gateway può aiutare a proteggere le e-mail creando un canale sicuro tra più parti attraverso il quale è possibile inviare e ricevere e-mail sicure. Questo approccio riduce anche al minimo gli attacchi di ingegneria sociale, in particolare configurando eventuali limiti al modo in cui le persone inviano e-mail attraverso il gateway.
  • Utilizza portali sicuri: i portali sicuri, spesso chiamati webmail, consentono alle organizzazioni di archiviare gli allegati localmente su server crittografati protetti con MFA anziché in chiaro. Le e-mail indirizzano i destinatari a creare account e accedere ai portali per scaricare e decrittografare in modo sicuro gli allegati nel pieno rispetto delle normative.

Concludendo

La posta elettronica rappresenta un importante asset all’interno delle organizzazioni ma porta con se un serio rischio per la sicurezza delle informazioni. La mancanza di una crittografia end-to-end completa contribuisce ad elevare discretamente tale rischio.

Non solo: cosa accadrebbe se da un giorno all’altro la tua casella di posta elettronica venisse svuotata definitivamente? La continuità operativa è parte integrante della strategia aziendale. In questo scenario, il corretto funzionamento della posta elettronica gioca un ruolo fondamentale, perché, come abbiamo detto, le e-mail costituiscono il principale canale di comunicazione della maggior parte delle aziende.

Le organizzazioni che utilizzano servizi ad hoc beneficiano di una protezione preventiva dagli attacchi e-mail comprese le minacce avanzate, il rilevamento precoce di minacce precedentemente sconosciute, processi di risposta automatizzati e ampie opzioni di monitoraggio e analisi. In questo modo gli account di posta elettronica di emergenza sono protetti in modo completo, offrendo anche altre opzioni preziose come l’archiviazione, il backup  o la crittografia delle e-mail.

Leave a Reply

Your email address will not be published.