He estado buscando por un tiempo, tratando de encontrar una buena información sobre los riesgos inherentes de la transmisión de datos confidenciales por correo electrónico. Realmente estoy buscando una lista completa de todas las vulnerabilidades de una fuente externa que podamos usar como parte de nuestra iniciativa de capacitación "Seguridad de TI 101 para líderes empresariales que no son de TI". (Realicé búsquedas tanto aquí como en Google. En Google, sigo recibiendo artículos extensos, y encontré buenos fragmentos aquí y también en mis búsquedas de Google, pero no una lista completa como la que estoy buscando). / p>
El trasfondo es que tengo varias personas en el área de negocios que simplemente no lo entienden. Insisten en usar el correo electrónico y se niegan a aceptar el hecho de que simplemente no es seguro.
En mi dilema actual, estamos implementando SSRS para los informes, y esperamos que la gente vea los informes en el sitio de SSRS. La razón es que la mayoría de los informes con los que tratamos contienen datos confidenciales de una forma u otra, y simplemente no queremos que estos informes se envíen por correo electrónico. Las regulaciones estatales en las que operamos identifican a PID como apellido, inicial o nombre, y cualquier otra forma de información de identificación, como una dirección, SSN, número de cuenta, correo electrónico, etc. Las leyes estatales también estipulan que una infracción que se filtre 500 o más registros que contengan dicho PID deben ser reportados al estado.
Muchos de los informes contienen PID según esta definición, y la mayoría tiene más de 500 registros. Entonces, OMI, un solo informe recogido por un sniffer, o enviado accidentalmente a la persona equivocada es un incumplimiento notificable: not algo con lo que queremos lidiar.
Sin embargo, tenemos cierta administración de nivel superior que parece pensar que las reglas no se aplican a ellos, principalmente porque no entienden lo real que es el riesgo. La noticia good es que estamos avanzando en cambiar sus mentes. La mala noticia es que sus ojos se ponen vidriosos cuando nos ponemos demasiado técnicos. Además, no solo quieren confiar en nuestra palabra.
Ejemplos en los que puedo pensar:
- Los sniffers se pueden usar para leer correos electrónicos a medida que se mueven a través de la red.
- El correo electrónico se envía a través de muchos servidores entre el remitente y el destinatario. Cualquiera de esos servidores podría estar interceptando y guardando ese correo electrónico.
No me preocupa demasiado que la lista sea demasiado técnica. Podemos usar analogías que la empresa comprenderá para explicar los conceptos técnicos. Estoy más interesado en una lista que tiene todos los riesgos.