Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cómo evaluar software de cifrado de correo electrónico

Conozca los criterios más importantes para evaluar software de cifrado de correo electrónico, para su despliegue dentro de la empresa.

El software de cifrado de correo electrónico se utiliza para cifrar de forma automática o manualmente los mensajes de correo electrónico y los archivos adjuntos con el fin de proteger la información confidencial de una divulgación no autorizada. Se usa más comúnmente para proteger los correos electrónicos enviados de una organización a otra –o para individuos, como los clientes– pero cada vez más está siendo utilizado también para correos electrónicos internos entre empleados.

Hay muchos productos de software de cifrado de correo electrónico disponibles, pero sus características pueden variar significativamente. Por lo tanto, es importante que las organizaciones establezcan criterios de evaluación del software de cifrado de correo electrónico antes de hacer las comparaciones para comprar, con el fin de obtener el producto que sea la mejor opción en términos de características, rendimiento y costo.

Por encima de todo, el software de cifrado de correo electrónico debe ser muy fácil de utilizar –especialmente si los usuarios finales son responsables de seleccionar manualmente qué correos serán cifrados, y/o si los destinatarios de los correos electrónicos encriptados están fuera de la organización. Un producto inservible probablemente será ignorado o evitado, poniendo así los datos sensibles en un mayor riesgo de compromiso.

A continuación se presentan varios criterios importantes a considerar como parte de cualquier evaluación de software de cifrado de correo electrónico.

Soporte para usuarios internos y/o externos

Las decisiones más importantes que se deben tomar en la planificación de un producto de software de cifrado de correo electrónico son si se necesita el cifrado para remitentes internos individuales o no (en lugar de hacer toda la encriptación detrás del escenario con base en políticas) y si es necesaria el cifrado de destinatarios externos o no.

Con base en qué dirección decida ir la organización, es entonces de vital importancia garantizar que el software de cifrado de correo electrónico evaluado soporta esas decisiones. Así, por ejemplo, si la organización quiere que los remitentes individuales sean capaces de cifrar mensajes de correo electrónico, solo se debe evaluar los productos potenciales que proporcionan una interfaz de cifrado para los usuarios finales. Del mismo modo, si la organización quiere que se soporte destinatarios externos, entonces solo los productos potenciales que proporcionan interfaces basadas en web para destinatarios externos deben ser considerados.

La facilidad de uso es también algo que no puede ser pasado por alto. Muchos productos de cifrado de correo electrónico en el pasado han fracasado, no porque no funcionan, sino porque los usuarios los encontraron demasiado difíciles o incómodos. Por ejemplo, cuando las generaciones anteriores de productos de cifrado de correo electrónico requerían que los usuarios intercambiaran claves antes de enviar mensajes de correo cifrados, los usuarios a menudo enviaban las claves equivocadas (claves privadas en lugar de claves públicas), comprometiendo así su cifrado. Si el cifrado de correo electrónico se hace opcional y es inconveniente, los usuarios no van a utilizarlo; ellos enviarán correos electrónicos sin cifrado o utilizarán sistemas de correo alternativos, sitios web de intercambio de archivos u otros medios para intercambiar información entre sí sin necesidad de utilizar el cifrado.

Integración con la infraestructura de correo electrónico existente

La facilidad de integración con la infraestructura de correo electrónico existente es un factor obvio, pero importante, a considerar en la compra y el despliegue del cifrado del correo electrónico.

En el lado del servidor/gateway de correo de la ecuación, algunos productos de software de cifrado de correo solamente funcionan con una o más marcas particulares de servidores de correo electrónico. Existe un problema similar del lado del cliente (suponiendo que una organización quiere que los clientes individuales sean capaces de cifrar mensajes de correo). Algunos productos de cifrado de correo electrónico solo son compatibles con uno o unos pocos sabores de clientes de correo, como Microsoft Outlook o Novell GroupWise. Además, para hacer la encriptación disponible en el lado del cliente, los usuarios pueden tener que instalar un complemento adicional para su cliente de correo o posiblemente una pieza separada de software.

En consecuencia, es importante ser consciente de cuáles servidores de correo y clientes de correo usan los usuarios, y asegurarse de que o bien todos los servidores y clientes son soportados por el producto de cifrado o que la organización pueda migrar a todos los usuarios desde los servidores y clientes sin soporte hacia servidores y clientes soportados, que no es algo para tomarse a la ligera en términos de esfuerzo e interrupción.

Fortaleza de la criptografía

Los detalles de la criptografía se ocultan a menudo bajo las cubiertas de productos de cifrado de correo, pero es importante tener acceso a por lo menos los principales atributos de la criptografía: algoritmos, tamaño de la clave y estados de certificación. Lo ideal sería que el producto elegido soportara el algoritmo Advanced Encryption Standard (AES) con un mínimo de claves de 128 bits (preferentemente claves de 256 bits) y fuera compatible con FIPS. El cumplimiento de FIPS es una certificación que demuestra que una implementación criptográfica ha superado las pruebas básicas (no que la aplicación esté libre de errores).

Otra consideración criptográfica importante es la gestión de claves. Muchas implementaciones de cifrado de correo emiten una nueva clave para cada mensaje de correo. Otros pueden emitir un par de claves por correo. En este caso, es importante que el producto de cifrado de correo proporcione el ciclo de vida completo de la gestión de claves criptográficas, incluyendo la rotación regular de las claves.

Seguridad de archivos

El software de cifrado de correo no se trata solo de proteger los cuerpos de los mensajes de correo, sino también los archivos adjuntos a los correos. De forma predeterminada, los archivos adjuntos se cifran como parte de cualquier producto de cifrado de correo que valga la pena. Sin embargo, hay dos consideraciones especiales que involucran archivos adjuntos que ameritan investigación al evaluar productos.

La primera es la capacidad de transferir archivos de gran tamaño a través de software de cifrado de correo. Muchos sistemas de correo electrónico limitan el máximo de mensajes o los tamaños de los adjuntos, a menudo en 10 o 20 megabytes. Estos límites son a menudo inconvenientes.

Pero debido a que el producto de cifrado está realmente enviando un enlace al archivo, y no el propio archivo, el archivo no se ve afectado por el límite de tamaño del archivo adjunto del sistema de correo. Algunos productos de cifrado de correo admiten tamaños de archivos en gigabytes. Esto puede proporcionar un producto más fácil de usar que otros métodos de transferencia segura de archivos.

El segundo es la capacidad de tener una llave externa de cifrado (stick) con un archivo, incluso después de que el adjunto se ha separado del mensaje de correo. Normalmente, esto implica la instalación de un complemento al cliente de correo o de una herramienta de software independiente que maneja el cifrado y descifrado. Tenga en cuenta que si los archivos están abandonando los límites de una organización, alguna clase de usuario o de aprovisionamiento de cliente para los usuarios externos será probablemente necesario para permitirles descifrar los archivos.

Este artículo se actualizó por última vez en febrero 2015

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close