Els vostres correus electrònics són segurs?
Els vostres correus electrònics són segurs?
Avui dia les comunicacions i els sistemes informàtics estan cada cop més en perill per atacs externs i encara que ens pensem que estem segurs perquè creiem que hem pres precaucions precises, no ho estem. A hores d'ara les notícies se succeeixen a un ritme implacable, 500 milions de comptes piratejats a Facebook, milions de comptes piratejats a Gmail, gratuïts o altres serveis i no entenem que nosaltres també, malgrat nosaltres, sense saber-ho, estem implicats i sovint ens convertim en un vehicle per a spammers i persones malintencionades que ens utilitzen per a finalitats que ni tan sols voldríem saber. Les coses es compliquen molt quan parlem de bústies utilitzades per motius professionals i/o laborals, tenint en compte que el Garant de Privacitat ha començat a imposar sancions força severes que fins i tot poden posar de genolls un negoci. Hem de protegir-nos i per protegir-nos hem de pensar què cal fer aigües amunt, no quan s'ha produït el desastre.
Per a aquells que utilitzen Gmail
Molts em pregunten quin és el servei de correu electrònic més segur per utilitzar. Els he de decebre, no existeix. O millor encara, no és la pregunta correcta. Hi ha serveis de pagament, serveis gratuïts i cal que prenguis consciència del que has de fer per estar segur o en tot cas garantir als teus clients la seguretat de les dades que ens confien. Una de les plataformes més utilitzades fins i tot pels autònoms és GMAIL. És habitual rebre un correu electrònic del vostre comptable anomenat studiocommercialista@gmail.com. I també es creu que GMAIL és un dels serveis de correu més segurs del món. Però no ho és, de fet.
Per cert, el GMAIL utilitzat en la seva configuració gratuïta no és segur perquè cap correu electrònic és 100% segur però encara més, un servei gratuït és precisament gratuït i té limitacions, de fet, ha de tenir limitacions. Heu de llegir l'acord de subministrament del servei abans de confiar les vostres comunicacions a tercers. Llegint els contractes, entenem que les responsabilitats que assumeix Google són molt poques en cas d'incompliment de dades o millor encara, cap responsabilitat. Si entren a la teva bústia i et roben les dades que s'emmagatzemen, els correus enviats, els correus rebuts, aquests són els teus problemes i si no has pres les mesures suficients per protegir les dades dels teus clients, el Garant de Privacitat et demanarà que responguis imposant-li sancions que poden fer molt de mal.
L'ús de GMAIL de pagament canvia molt. El mateix Google ho diu. Tanmateix, parteix d'un cost de 4.68 euros/mes per bústia per arribar als 15,60/mes i casualment una de les característiques que es destaca diu: "Controls de gestió i seguretat".
La versió 15,60/mes afirma: "Gestió avançada i controls de seguretat, inclosa Vault i gestió avançada de punts finals". Com que el problema no és només la seguretat de l'estructura, Google destaca el fet que també cal "educar" l'usuari sobre la necessitat d'adoptar les mesures correctes de control i seguretat sobre el seu comportament a partir de les eines que utilitza per accedir a les seves bústies de correu, Android, IOS, o clients de correu com Thunderbird o Outlook o altres.
Si després raonem sobre el fet que el cost del servei s'expressa per caixa, en el cas d'un estudi articulat amb diverses persones és fàcil imaginar que el cost global d'una bona estructura de comunicació i relació amb l'exterior pot esdevenir una càrrega considerable.
Tot això es tradueix en això: vols seguretat? pagar i també salat i aprendre a comportar-se correctament.
Per a qualsevol persona que utilitzi Microsoft Exchange
Bàsicament no canvia res en comparació amb GMAIL. El principi és el mateix, els preus són els mateixos i per exemple el cost mensual de 12.50 dòlars també inclou Office 365
L'escut de privadesa que t'enganya.
L'escut de privadesa, o "escut de privadesa" entre la UE i els EUA, és un mecanisme d'autocertificació per a les empreses establertes als EUA que vulguin rebre dades personals de la Unió Europea. En particular, les empreses es comprometen a respectar els principis continguts en el mateix i a facilitar als interessats (és a dir, tots els subjectes les dades personals dels quals hagin estat transferides des de la Unió Europea) les eines de protecció adequades, sota pena d'eliminació de la llista d'empreses certificades ("Privacy Shield List") pel Departament de Comerç dels EUA i possibles sancions per part de la Comissió Federal de Comerç. La Comissió Europea ha considerat que el sistema ofereix un nivell de protecció adequat per a les dades personals cedides d'una persona física a la UE a una empresa establerta als Estats Units i que, per tant, l'Escut constitueix una font de garanties legals respecte a les transferències de dades en qüestió.
L'escut de privadesa UE-EUA està en vigor des de l'1 d'agost de 2016.
L'escut s'aplica a totes les categories de dades personals transferides des de la UE als EUA, incloses les dades d'informació comercial, de salut o de recursos humans, sempre que l'empresa nord-americana que rep aquestes dades hagi autocertificat la seva adhesió a l'esquema.
Malauradament, el pacte s'ha trencat.
El Tribunal Europeu va examinar la primera decisió (2010/87 sobre clàusules contractuals tipus) i va constatar que aquesta, tot i que es basa en disposicions contractuals que, com a tals, no poden obligar els Estats a respectar-les, conté mecanismes efectius que permeten, a la pràctica, garantir que es respecta el nivell de protecció exigit pel dret de la Unió i que les transferències de dades personals, basades en aquestes clàusules, queden suspeses o prohibides en cas d'impossibilitat o violació d'aquestes clàusules.
La segona decisió (2016/1250 sobre l'adequació de la protecció que ofereix l'escut UE-EUA) estableix, en canvi, la primacia de les necessitats relatives a la seguretat nacional, l'interès públic i el compliment de la legislació nord-americana, permetent així interferir en els drets fonamentals de les persones les dades de les quals es transfereixen a aquest tercer país.
Segons el Tribunal, les limitacions a la protecció de dades personals derivades de la legislació interna dels Estats Units no estan emmarcades de manera que responguin a uns requisits substancialment equivalents als exigits, en el dret de la UE, pel principi de proporcionalitat i estricta necessitat.
Tan? Què té a veure l'escut de privadesa amb els meus correus electrònics?
Traduït, en poques paraules, vol dir que sistemes com Gmail i Microsoft Exchange no estan protegits pel Privacy Shield i s'han de tenir en compte durant l'Auditoria i Privacy By Design per tal d'informar adequadament els seus clients amb una correcta DPA (Data Protection Assessment).
Recapitulem: Gmail p Microsoft Exchange sí, si es paga, a quin preu? Depèn de quants comptes de correu voleu utilitzar i si voleu utilitzar el vostre propi domini corporatiu. I en tot cas, fora de l'Escut de Privacitat, que ens posa en risc davant una intervenció del Garant de la Privacitat, amb sancions que poden arribar a ser considerables.
Bé, ho entenem! Però, què té a veure això amb la seguretat del nostre correu electrònic? Tranquil i fresc, aquí estem! Una mica de calma!
Principi de titularitat de les dades personals
Establim un punt fix i és que el Garant de la Privacitat ha establert un principi: les dades personals no són vostres sinó que són propietat de les persones a les quals es refereixen aquestes dades.
Sobre la base de la legislació que regula aquest dret, per tant, cada persona pot reclamar que les seves dades personals siguin recollides i tractades per tercers només d'acord amb les normes i principis establerts per les lleis en la matèria, tant de la Unió Europea com dels diferents estats nacionals. L'objectiu de la legislació és dotar a l'interessat de la facultat de disposar de les seves dades, assegurant que l'individu tingui el control de tota la informació relativa a la seva vida privada, i al mateix temps dotant-li les eines per protegir aquesta informació.
I per la precisió:
-
Tota persona té dret a la protecció de les dades personals que la concerneixen.
-
Aquestes dades s'han de tractar de manera justa, amb finalitats específiques i sobre la base del consentiment de l'interessat o una altra base legítima establerta per la llei. Tota persona té dret a accedir a les dades recollides que la concerneixen i a obtenir-ne la rectificació.
-
El compliment d'aquestes normes està subjecte al control d'una autoritat independent.
A partir del que s'ha escrit anteriorment, queda clar com la seguretat dels sistemes informàtics i de comunicació externs d'un és un tema molt candent que ens compromet a tots a reflexionar sobre com estem acostumats a gestionar els nostres processos de negoci.
Els comportaments correctes per estar més segur
El primer que hem de recordar és que la primera solució és el nostre comportament. Quines són les conductes correctes a adoptar? En enumero diverses. Malauradament, quan es treballa amb col·laboradors i empleats, passa que no tothom adopta comportaments correctes i iguals, sempre algú s'escapa de la "tanca" i cal anar molt en compte. Però si comença a entendre que les dades personals que s'utilitzen en les comunicacions són propietat de les persones respectives a les quals es refereixen aquestes dades, és més fàcil induir un comportament responsable i considerat i evitar molts problemes.
- No obriu fitxers adjunts sense comprovar el remitent del correu electrònic.
- No utilitzeu l'obertura automàtica d'accessoris.
- Comproveu sempre el remitent del correu electrònic rebut
- Utilitzeu tots els camps del correu electrònic correctament
- Utilitza correctament el camp "Assumpte" i descriu breument i correctament l'assumpte del correu electrònic. És útil per a qui rep el correu electrònic perquè immediatament s'adona si el correu electrònic s'ha escrit específicament per a ells i és útil per cercar els milers de correus electrònics que arxivem cada setmana quan necessitem trobar alguna cosa concreta.
- Utilitzeu NOMÉS UN destinatari per correu electrònic al camp "A:". Si hem d'inserir més destinataris, en aquest cas posem la nostra adreça al camp "A:" i al camp "CCn:" (Hidden Carbon Copy) les adreces de tots els altres destinataris. Això protegeix la privadesa dels destinataris que rebran el correu adreçat a "Destinatari no divulgat" i no trobaran la seva bústia de correu brossa a tot arreu.
- Eviteu fer repeticions il·limitades de missatges utilitzant la bústia com a xat.
- Eviteu enviar fitxers adjunts pesats i possiblement envieu fitxers adjunts comprimits.
- No ompliu correus electrònics amb imatges a la part inferior amb logotips, signatures, icones de xarxes socials o qualsevol altra cosa. Molts han bloquejat la visualització automàtica d'imatges i el resultat que obteniu és només confusió i desordre.
- No obriu correus electrònics sospitosos.
- Canvieu la contrasenya de la vostra bústia de correu almenys una vegada cada tres mesos i utilitzeu cadenes complexes. Si no voleu recordar caràcters especials, majúscules i minúscules, us suggerim que utilitzeu frases senceres que podeu recordar fàcilment com: "ahir-el-meu-gos-jack-jugat-amb-frisbee". Encara tens un resultat excel·lent. Les contrasenyes més senzilles es pirategen fàcilment amb unes quantes operacions de força bruta i a partir d'aquí, el dany està fet.
- No utilitzeu MAI el vostre correu electrònic de treball per als vostres perfils socials!
- Sempre que sigui possible, utilitzeu sempre la doble autenticació.
- No té res a veure amb la seguretat, però si us plau, NO UTILITZEU MAJÚSCULES. La majúscula significa CRIDAD i és sagnant desagradable i groller.
- Fes una còpia de seguretat diària del teu correu, no deixis totes les comunicacions al servidor, és una pràctica no només desaconsellada sinó fortament penalitzada pel Garant de Privacitat.
Sembla que aquestes recomanacions són trivials, però irònicament, els pirates informàtics i els spammers confien en la negligència dels usuaris. Ho sabem, són molt banals i has sentit, dit, triturats milers de vegades, però pel que sembla no n'hi ha prou!
Gmail no, Microsoft Exchange no, què cal fer?
Atès que no us hem dit que no sinó que simplement us hem fet conscienciar dels riscos que correu, però, hi ha solucions pràctiques i interessants que us mantenen segurs, assumint i no concedit que el comportament dels particulars reflecteixi llavors la mínima unió necessària per no arruïnar-ho tot. A més, atès que no hem dit que no podeu utilitzar GMAIL o Microsoft Exchange, però que per fer-ho heu de complir amb GDPR, provem-ho. per donar altres respostes també.
Alternatives a Gmail i Microsoft Exchange:
ProtonMail
Plataforma de Suïssa compatible amb GDPR que utilitza xifratge d'extrem a extrem. Molt bon servei, extremadament segur però no barat. La veritat és que comercialment parlant no han aconseguit l'èxit que es mereixien i s'han mantingut una mica "a l'acte" tot i que tecnològicament parlant el servei és impecable.
Correu ràpid
Fast Mail és una alternativa vàlida a Gmail, molt funcional i completa amb un preu assequible però cal comprovar el Compliance relatiu al GDPR ja que és una plataforma americana en tot cas.
Correu QBOX
Una alternativa molt vàlida, tot italià i compatible amb GDPR. La versió empresarial costa 3.60 euros per bústia i 1 euro per cada 25 GB d'espai addicional. Només podem recomanar-ho cordialment. Al nostre parer és una de les solucions més interessants.
També hi ha molts altres proveïdors de serveis de correu al núvol, és un món que es pot explorar. Però per no donar informació excessiva, ens aturem aquí.
Servidor SMTP o servidor de correu de propietat.
Quants de vosaltres teniu un lloc i un domini i aprofiteu el servidor de correu integrat dins del vostre propi servidor web on està allotjat el lloc? És una de les situacions més freqüents.
Servidor SMTP del proveïdor
Els servidors SMTP dels proveïdors establerts també són reconeguts com a fiables per altres proveïdors. A més, els seus filtres de correu brossa es consideren especialment efectius a causa de la gran quantitat de dades que processen. No obstant això, en el cas de les ofertes gratuïtes, normalment hi ha limitacions estrictes pel que fa al nombre de correus electrònics per dia, la mida dels fitxers adjunts i l'espai d'emmagatzematge de la bústia.
Les ofertes es presenten en diverses pàgines:
Proveïdors de serveis d'Internet: els proveïdors de serveis d'Internet (ISP) com ara IONOS ofereixen sovint una adreça de correu electrònic per a una connexió a Internet amb la qual es pot accedir als servidors de correu SMTP de l'empresa.
Proveïdor de correu electrònic: la manera més habitual per a les persones d'enviar correu electrònic a amics i familiars és utilitzar l'aplicació de correu web d'un proveïdor de correu electrònic gratuït com Gmail, Yahoo o Libero. L'únic requisit és una adreça de correu electrònic que coincideixi amb el domini, amb la qual es pot utilitzar el servidor SMTP del proveïdor per a la correspondència personal. Tot el que heu de fer és configurar la vostra bústia per a l'adreça correcta del servidor SMTP. A continuació trobareu un resum dels proveïdors més populars i les seves adreces.
Proveïdors de serveis d'allotjament: molts paquets d'allotjament, com els d'IONOS, contenen per defecte un servidor SMTP, que es pot utilitzar per gestionar el trànsit de correu intern i extern de l'empresa.
Proveïdors especialitzats: algunes empreses s'han especialitzat en el lloguer de servidors SMTP, entre les quals es troben per exemple Amazon SES i SparkPost, que permeten el lloguer del maquinari necessari.
Desaconsellem fermament aquesta solució
Servidor SMTP propi
Amb alguns coneixements tècnics bàsics, podeu configurar el vostre propi servidor SMTP. Per exemple, un Raspberry Pi es pot configurar amb el programari adequat com a base de maquinari.
Els avantatges són evidents: no hi ha restriccions d'ús del proveïdor, control total de tota la configuració i gestió de dades independent. A més, tenir un servidor propi és ideal per familiaritzar-se amb la mecànica tècnica del trànsit de correu electrònic. Però també hi ha desavantatges: a causa de l'adreça IP dinàmica pròpia dels accessos privats a Internet, els servidors SMTP privats solen ser classificats com a correu brossa pels grans proveïdors de correu electrònic. Un problema que només es pot resoldre amb unes quantes mesures de renovació i/o costos addicionals. Tanmateix, si només voleu enviar els vostres correus electrònics a un altre client privat, un servidor SMTP propi és, en tot cas, una bona alternativa. Per tant, cal tenir una IP fixa.
Eh, però no són roses ni flors. Portar un servidor SMTP a casa teva o utilitzar el vinculat a l'allotjament del teu lloc web té conseqüències que fins i tot poden ser greus si no pots gestionar els problemes.
Servidor SMTP o servidor de correu de propietat.
Quants de vosaltres teniu un lloc i un domini i aprofiteu el servidor de correu integrat dins del vostre propi servidor web on està allotjat el lloc? És una de les situacions més freqüents.
Quan gestioneu el vostre propi servidor SMTP per rebre i enviar correspondència, heu de tenir en compte alguns aspectes que també poden resultar desagradables:
Temps d'activació del sistema. En general, els diferents proveïdors d'ISP, especialment els de "baix cost", com Aruba o Register, no tenen un SLA i no garanteixen el temps de funcionament. Vol dir que al llarg dels 365 dies de l'any és possible que el teu allotjament i per tant el teu domini no sigui accessible, que els correus electrònics enviats no surtin o que els que s'han de rebre no arribin al seu destí. Si no es pot accedir al DNS, el vostre sistema de correu està completament tancat. Hi ha proveïdors d'allotjament que garanteixen per escrit, per contracte, un temps de funcionament superior al 99.99% del temps durant un any, però el servei comença a costar. Oferim un SLA del 99.99% i, de fet, el cost del nostre allotjament no és comparable al d'Aruba.
La redundància. Un servidor SMTP vinculat al vostre espai d'allotjament es troba generalment en un lloc, que és una granja de servidors, si això explota, com va passar recentment amb OVH o amb Aruba en el passat recent, tant el lloc com tota la vostra estructura informàtica per enviar i rebre correus electrònics poden caure. Per tant, poder comptar amb una estructura redundant on, en cas d'avaria o parada del meu sistema informàtic, pugui entrar immediatament en funcionament una estructura paral·lela. Podríem obrir un capítol a part sobre la redundància i entrar en els més petits detalls, però aquest no és el lloc per fer-ho. diguem que la redundància es defineix com un sistema capaç de duplicar determinades funcions i, per tant, de garantir la continuïtat dels serveis en cas d'avaria.
Els avantatges d'utilitzar un servidor SMTP propietari. Intento enumerar-los:
- Capacitat de gestionar diversos comptes de correu electrònic sense augmentar els costos
- Possibilitat de gestionar de manera autònoma les seves pròpies polítiques d'enviament/recepció
- Possibilitat de mantenir internament un arxiu actualitzat del seu correu i del tràfic de comunicacions amb l'exterior
- Possibilitat d'anomenar/canviar el nom de les vostres bústies de manera autònoma i sense intervenció externa
- Possibilitat d'establir (segons el proveïdor escollit) les adreces i/o IPs que s'han de posar a la llista negra o blanca.
- Capacitat per establir de manera independent polítiques anti-spam
- Capacitat per establir de manera independent les marques, DKIM, SPF i DMARC que són els que molts obliden i són la principal causa de la llista negra del vostre domini.
Desavantatges d'utilitzar un servidor SMTP propietari
Els inconvenients són innombrables, sobretot si la vostra estructura no està preparada i no hi ha una consciència adequada dels riscos que corre si porteu un servidor de correu a casa vostra. Les qüestions tècniques, legals i operatives també podrien desanimar aquest camí, molt depèn sobretot del nivell de cultura tecnològica present en la pròpia estructura.
- Incapacitat per indemnitzar-se, ja que totes les responsabilitats per gestionar i arxivar missatges de correu electrònic pesen en la vostra estructura.
- Exposició a tot tipus d'atacs i necessitat de prendre totes les mesures per limitar-los o cancel·lar-los.
- Possibilitat de tenir moments de "foscor" en què el servidor es veu alentit per altres operacions o fins i tot és incapaç de realitzar les seves funcions.
- Cal implementar una política de control antivirus i antispam ferotge (a dir la veritat, això s'aplica una mica a tothom avui en dia)
- Necessitat d'una política de còpia de seguretat sistemàtica i eficient (això és cert per a tot avui, ara mateix).
També és cert que molts proveïdors "professionals" ofereixen servidors SMTP protegits, certificats o en tot cas gairebé lliures de vulnerabilitats i per tant els perills sorgeixen única i exclusivament de la desatenció de l'operador o de la seva imprudència i irresponsabilitat, però diguem que allotjar el servidor de correu a la mateixa estructura on s'allotja el servidor web pot no ser sempre una política correcta al contrari.
conclusió
D'acord, bé, però en conclusió? Què triar?
No hi ha una única resposta, depèn de les circumstàncies i també de l'operació. Recomanem utilitzar un servidor de correu en núvol quan l'estructura de l'empresa és petita o microscòpica i un servidor SMTP quan l'estructura requereix tenir almenys una dotzena de bústies de correu si no 20. Més per una raó de costos que per qualsevol altra cosa perquè tenir un servidor SMTP allotjat en una estructura segura i eficient que marca correctament els servidors i utilitza protocols de seguretat vàlids i correctes, sempre té un avantatge discret que queda fora de tot. Fins i tot pel que fa al GDPR, si d'una banda caldrà adoptar una correcta Política de Privacitat, també és cert que en cas de violació de dades, les conseqüències poden ser molt més greus amb l'ús de sistemes en núvol gestionats per tercers. Per tant, un bon servidor SMTP i la perspicàcia en la gestió del correu hauria de resoldre el 90% dels problemes de petites empreses o activitats professionals. Un bon soci que ofereix un servei d'allotjament adequat, un tècnic in situ que sàpiga instal·lar correctament un client de correu electrònic, un bon sistema de còpies de seguretat, un tallafoc i un antivirus sempre actualitzat, un router amb un control ferotge dels ports i gairebé es pot dormir tranquil. Llavors pot passar qualsevol cosa, tingueu en compte, però en principi això és el que us proposem.
També us pot interessar:
Àustria, Alemanya i Suïssa per ferrocarrils de càrrega "més innovadors".
Els ministres de DACH Leonore Gewessler, Volker Wissing i Albert Rösti: la introducció de l'aparellament automàtic digital és un element clau
Persuasió o manipulació? Gènesi i impacte històric de les relacions públiques
Així és com les Relacions Públiques, des del diàleg sofisticat de l'antiga Grècia fins a l'era digital actual, segueix oferint innovació contínua
Joves i criptomonedes: com esbrinar més sobre Bitcoin...
Introduir els nens a les monedes digitals i Blockchain pot ser un esforç emocionant, donada la seva afinitat per la tecnologia i la innovació.
“El pacient al centre”: una gran esperança i una reunió al Senat
El tema de la importància de la innovació en dispositius mèdics per a l'assistència sanitària europea serà explorat el 15 de maig a Roma per experts i polítics.
//