Pregunta: ¿Cómo planificar la política de correo electrónico para las empresas de nueva creación?

Navega tus respuestas
1

Soy parte de un inicio de software. Tengo el rol de administrador de TI así como también la recopilación de requisitos (análisis de negocios). En este momento somos un equipo de siete personas y todos estamos en el 'equipo central'. Ahora estamos planeando establecer una política de correo electrónico para la empresa. Con mi conocimiento y experiencia propuse las siguientes cosas:

  1. El acceso al correo electrónico debe ser específico para cada proyecto y función.
  2. La comunicación al mundo exterior debe estar totalmente prohibida, excepto cuando el rol o el proyecto así lo exija. Por ej. Cuando la persona está en el departamento de marketing o el proyecto trata con clientes donde es necesario comunicarse con los clientes.

Ahora sobre las objeciones:

  1. Uno de nosotros argumentó que le gustaría usar la identificación de la empresa para acceder a los foros porque no quiere usar dos identificaciones diferentes para el mismo propósito. No puedo digerir esto.
  2. Alguien más dijo, su compañía permitió el uso de la identificación personal en el lugar de trabajo para el trabajo relacionado con el proyecto. Podría usar su identificación de trabajo en una compañía anterior para comunicarse con el mundo exterior. Ellos quieren esta flexibilidad.
  3. Alguien puede usar incluso lápiz de papel para filtrar los datos. Esto no es totalmente incorrecto, pero los esfuerzos para filtrar?
  4. Las nuevas empresas se basan en la confianza. ¿Seguro que no son más que confidencialidad?
pregunta swap 01.01.2014 - 21:24
fuente

3 respuestas

1

Usted está violando su propia política al hacer esta pregunta. Se comunica con el mundo exterior a través de un problema relacionado con su inicio.

El hecho de que comiences por violar tu propia política indica que no has analizado el problema.

Su política básicamente dice que si su inicio usa alguna biblioteca de código abierto y esa biblioteca tiene un problema, a los desarrolladores en su inicio no se les permite escribir publicaciones en la lista de correo de la biblioteca de código abierto y no se les permite informe de errores al bugtracker de la biblioteca de código abierto.

Si realiza una prohibición efectiva de la comunicación con el mundo exterior que reduce la eficiencia de sus programadores. Puede haber startups donde el secreto total es importante, pero en la mayoría de las startups probablemente no valga la pena.

Una vez hice una carrera en la universidad. El grupo académico en el que trabajé no usó ningún control de fuente. Tenían una política general de no transferencia externa de datos. Hice lo sensato de instalar el control de código fuente y pregunté si podía hacer una copia de seguridad de los datos en un servidor externo. Básicamente tengo un: "Bueno, está bien".

Básicamente, me permitió sortear la política sin sentido de no transferir datos externos. Sin embargo, no explicaron exactamente por qué no querían la transferencia externa de datos. Como resultado, no pude tomar decisiones sensatas sobre cuándo comunicar qué datos se ajustaron a la política de la empresa.

En lugar de intentar prohibir toda comunicación externa, debe hablar con sus desarrolladores sobre qué información se puede comunicar de forma segura y qué información no. En la mayoría de las empresas nuevas, no debe prohibir a sus empleados que comuniquen toda la información.

    
respondido por el Christian 02.01.2014 - 02:29
fuente
1

No importa cuánto dinero y tiempo gaste, absolutamente no puede evitar que un usuario interno haga algo malicioso; solo pregúntale a la NSA.

Las políticas de TI, y he escrito demasiadas en mi tiempo, deberían equilibrar las necesidades de seguridad con una dosis saludable de sentido común y realidad. Debería tratar de hacer que los usuarios internos sean más difíciles de hacer maliciosos, pero pasar la mayor parte del tiempo tratando de evitar la estupidez. Esto se refleja en la mayoría de las auditorías de seguridad empresarial, sí, ciertamente hay muchas pruebas de pluma y segregación de tareas, etc. Pero para los sistemas internos, las auditorías generalmente se centran en todo lo que se realiza un seguimiento. El 100% no puede evitar que alguien haga algo malicioso, pero cuando lo haga, será mejor que lo tenga en un archivo de registro en alguna parte.

Lo estás haciendo bien en un aspecto, que es pensar en la política de TI y la seguridad como un inicio temprano, lamentablemente, eso es bastante raro. Generalmente trabajo o hablo con organizaciones que están pasando de una fase inicial a una pequeña empresa establecida y en crecimiento. Muchos no han dedicado un tiempo razonable al tema, casi todos ellos son demasiado laxos en su plan e implementación.

Dicho esto, de tu pregunta suena como si te estuvieras inclinando hacia el otro extremo del espectro, eso también es peligroso. Comience poco a poco con ese tamaño de equipo, asegúrese de poder justificar y transmitir (vender) sus políticas al resto de su equipo. A medida que crezca, revise periódicamente estas políticas y hágalas más restrictivas con más segregación de tareas, etc. a medida que sea más apropiado.

Buena suerte en la puesta en marcha ...

    
respondido por el Zeb 02.01.2014 - 04:47
fuente
0

He estado utilizando Google Apps para empresas ; Puede ser lo que está buscando, tiene una amplia gama de configuraciones para la política de correo electrónico. Solo por nombrar algunos -

Restrinja los dominios con los que sus usuarios pueden intercambiar correo electrónico.
Cumplimiento del contenido
Cumplimiento de adjuntos
Cumplimiento del transporte seguro (TLS)
Aplicar la autenticación de 2 factores

No entiendo completamente las objeciones, ¿podría explicarlas?

    
respondido por el Ashley B 01.01.2014 - 23:25
fuente

Lea otras preguntas en las etiquetas

¿Por qué no se implementan esquemas de detección de intrusos basados en anomalías en Snort? ¿Es legal publicar la contraseña y el correo electrónico de viticim?