Sergey Nivens - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Correo electrónico confidencial, parte fundamental del plan de ciberseguridad

Un plan de acción de seguridad cibernética es una parte crucial de lograr un estado de preparación en ciberseguridad. El experto Peter Sullivan explica lo que sucede en estos planes y cómo comenzar uno.

La preparación para la seguridad cibernética es un estado que cada empresa debe esforzarse por lograr. El primero de los elementos fundamentales de seguridad cibernética que se debe tener para que una organización se considere preparada en este campo, es el plan de ciberseguridad.

Objetivos del plan de seguridad cibernética

Para lograr cualquier meta u objetivo, un plan que proporcione orientación hacia esas metas y objetivos es esencial. La ciberseguridad no es diferente de cualquier otro tipo de esfuerzo en ese sentido. En este contexto, la preparación en seguridad cibernética es la meta y un plan de seguridad cibernética es el primero de varios objetivos.

Un plan de ciberseguridad debe describir claramente lo que una organización quiere lograr en relación con la seguridad cibernética. Si echamos un vistazo a los tipos de problemas de seguridad de computadoras y redes que se comunican cada día, hay algunos temas de planificación de seguridad obvias para elegir. Ejemplos de objetivos de planificación de seguridad cibernética que sustentan la preparación de ciberseguridad podrían ser:

  1. Proteger la propiedad intelectual que representa el valor central y la diferenciación en el mercado de una organización del robo por agentes de amenaza ubicados dentro o fuera de la red.
  2. Proteger la información de identificación personal y la información de salud protegida de los clientes y los empleados contra el robo por parte de agentes de amenazas localizados ya sea dentro o fuera de la red.
  3. Ser capaz de ver y entender el contexto de seguridad de cada paquete que entra y sale de la red corporativa. Poder monitorear y entender qué información está fluyendo hacia dentro, hacia afuera y a través de la red, y saber si ese flujo de información es deseado o no deseado, y apropiado o inapropiado.
  4. Un sistema de correo electrónico que es totalmente confidencial, independientemente de la ubicación y la transmisión de correo electrónico, ya sea dentro de la red local o fuera en la internet. El sistema de correo electrónico debe proporcionar un alto grado de confidencialidad, incluso si el correo es robado.

Seleccione objetivos

Cada uno de estos cuatro objetivos del plan de acción de seguridad cibernética podría y debería ser tratado como un proyecto, con un calendario, hitos, medidas y métricas. El primer y segundo objetivos probablemente compartirán muchos de los mismos controles y prácticas de seguridad.

En este artículo, el logro de un sistema de correo electrónico confidencial se discute como ejemplo de un objetivo para un plan de ciberseguridad. Este ejemplo incluye la identificación de algunos obstáculos y ejemplos de medidas y métricas que pueden ser utilizadas para medir el progreso hacia el logro del objetivo.

Correo electrónico confidencial

El objetivo del correo electrónico confidencial se puede lograr mediante el uso del cifrado de correo electrónico. La tecnología de cifrado de correo electrónico ha existido durante décadas. ¿Por qué, entonces, los mensajes de correo electrónico robados de las grandes corporaciones, agencias gubernamentales y partidos políticos se dan a conocer periódicamente en WikiLeaks y sitios similares? El cifrado parece como una tarjeta de “salir de la cárcel gratis”, donde usted ni siquiera tiene que informar de la pérdida o robo de correo electrónico cifrado y otra información. ¿Así que, por qué no usarlo?

El cifrado, en particular la criptografía de infraestructura de clave pública (PKI), no es bien entendido por el administrador de sistemas promedio; puede ser difícil de implementar correctamente, puede tener un muy alto esfuerzo administrativo y puede ser costoso. Si un sistema de encriptación está mal gestionado, grandes cantidades de información se pueden perder. Estas son algunas de las razones que argumentan en contra del empleo del cifrado. Una preocupación particular con PKI es que si todos los que necesitan recibir correo electrónico cifrado no tienen su propio par de claves PKI, entonces no pueden participar en una conversación de correo electrónico segura. Para las grandes organizaciones en las que la mayoría del correo electrónico se intercambia entre los miembros de la organización, así como en las agencias gubernamentales, militares y de inteligencia, los costos asociados con PKI pueden bien valer la pena. Para estas organizaciones, la ventaja de automáticamente cifrar, descifrar y almacenar de forma segura todos los mensajes de correo electrónico es una ventaja distinta.

Hay otros productos o herramientas disponibles que son menos costosos y más fáciles de manejar, especialmente si no todos los mensajes de correo electrónico necesitan ser cifrados. Estas otras opciones son esencialmente servicios de correo web en los que un destinatario de un correo electrónico cifrado puede tener que ir a un portal de correo electrónico seguro para leer el correo electrónico cifrado enviado a ellos. Los destinatarios pueden tener que registrarse en el portal y configurar credenciales de autenticación, típicamente nombre de usuario y contraseña, pero no se requieren pares de claves al estilo de PKI. Los problemas con el correo web seguro incluyen garantizar que el correo se cifra en reposo en el servidor, no solo en el transporte, sin importar si su proveedor de correo electrónico cifrado puede descifrar su correo electrónico, la complejidad de introducir un nuevo sistema de correo electrónico solo para el correo electrónico seguro y el hecho que los usuarios están en posición de decidir qué mensajes de correo necesitan ser asegurados y cuáles no.

Hay sistemas de gateway de correo electrónico que pueden escanear correo electrónico no cifrado antes de enviarlo, en busca de palabras clave y patrones –como números de seguro social e información de tarjeta de crédito– o enviar un email que corresponda con sus reglas de filtrado de contenido a un portal web seguro para que los receptores inicien sesión y descarguen. Este sistema tiene la ventaja de trabajar con cualquier sistema de correo electrónico, pero requiere la carga administrativa de crear y mantener listas de palabras clave y reglas de filtrado de contenido. En este sistema, solo el correo electrónico marcado por el filtro de contenido será asegurado y no hay garantía de que todos los correos electrónicos que deben ser protegidos serán identificados por el filtro.

También hay sistemas de cifrado de correo electrónico más simples, que utilizan plug-ins para el cliente de correo y claves simétricas de secreto compartido, donde se utiliza la misma clave para desencriptar al igual que se utiliza para cifrar. De nuevo, el usuario debe decidir qué mensajes de correo electrónico serán cifrados y hay también el problema de intercambiar, y mantener, la clave secreta compartida. En el pasado, el intercambio de claves secretas era uno de los problemas que la criptografía de clave pública pretendía resolver. En estos días, puede ser igual de fácil compartir una clave secreta por mensaje de texto SMS como cualquier otro método.

Medidas y métricas

Una vez que se seleccione y se construya un plan de seguridad de correo electrónico adecuado, se debe determinar una forma de entender cuán eficaz es el producto o servicio. No puede ser determinado por la cantidad de información que “no fue perdida” debido al sistema de seguridad de correo electrónico, pero hay maneras sencillas para mostrar progreso en contra del objetivo de la seguridad cibernética del "correo electrónico confidencial".

Una medida simple podría ser la cantidad total de correos electrónicos enviados por día, semana o mes. Un indicador que muestre el progreso de lograr el objetivo de ciberseguridad mostraría la cantidad de correo electrónico enviado que es encriptada, como un porcentaje de todo el correo electrónico enviado.

Próximos pasos

Quizás quiera revisar también:

Los mejores planes de seguridad móvil examinan primero los riesgos, y luego prescriben

Industrialización del cibercrimen impacta a las empresas digitales

Fortinet e IDC lanzan herramienta gratuita para diagnóstico de seguridad digital

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close