Banner Superior
  Año 2 - N°7 | Julio 2006 InfoSecurity News
InicioPuntos de VistaEntrevistaHacking Bajo la LupaNoticiase-fraudeLas LeyesPalabras de CISOHot vulnerabilitiesForo
Estadísticas
Lo Sabías?
Carta de Lectores
Tips para un CISO
Capacitación
Toolbox
Agenda InfoSec
Productos
Bolsa de Trabajo
Links de Interés
Libro de Pases
Números Anteriores
 TIPS PARA UN CISO

 NIVEL TÉCNICO

Controles del Servicio de Email

Por Christian J. Vila Toscano

Security Consultant
I-SEC Information Security Inc.

 

Últimamente se leyeron en los diarios frases como estas: emails comprometidos…”, “hackers al servicio del espionaje interfieren correos electrónicos”. Y como casi siempre ocurre la causa tiene un denominador común: un usuario desinformado que fue engañado.  Si no fíjense en esta noticia

 

Es obvio entonces que algo hay que hacer al respecto, entonces: “porqué no hacerlo de forma ordenada”, por eso para este mes presentamos algunos tips para definir controles sobre el servicio de email:

 

·          Propiedad: Tanto el servicio de correo electrónico como los datos utilizados a través del mismo en general se consideran de propiedad de la compañía.

·          Uso del servicio: Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en la compañía y no debe utilizarse para ningún otro fin. Cada persona es responsable tanto del contenido del mensaje enviado como de cualquier otra información adjunta al mismo. No puede utilizarse este servicio para el envío de información clasificada como sensible a menos que existan adecuados procedimientos de encripción.

·          Monitoreos de los accesos: Todos los mensajes pueden ser sujetos a monitoreo y conservación permanente por parte de la compañía.

·          Utilización de carpetas: toda la información de acceso exclusivo del usuario y que no debe ser compartida con otros usuarios. Debe definirse un límite de espacio máximo y cualquier excepción debe ser autorizada por el Dueño de Datos / Delegado.

·          Antivirus: Deben utilizarse programas que monitoreen el accionar de los virus informáticos tanto para los mensajes como para todos los archivos adjuntos previamente a su ejecución.

·          Encripción: Para el uso de información sensible, tanto sea para su envío como para su conservación, debe implementarse la facilidad de encripción de datos, en la medida que lo permitan los sistemas utilizados.

·          Mensaje de advertencia: A fin de informar a las personas que reciben los mensajes enviados desde la empresa vía Internet, acerca del tratamiento a brindar a la información que contienen, se debe incorporar algún mensaje en el pie de página.

·          Garantía de NO Privacidad del mensaje: Los usuarios deben estar NOTIFICADOS de que los mensajes pueden llegar a ser “conocidos / interceptados” por usuarios no autorizados.

 

Estos controles están incluidos en la  Iso 27001 cuando nos disponemos a definir un estándar de email.

 

 

Christian Javier Vila Toscano
Security Consultant - Responsable Patagonia
I-SEC Information Security Inc.
christian.vila@i-sec.org

Recomienda esta Nota a un Amigo:
Tu Nombre y Apellido:
Tu Email:
Email de tu amigo:
Nombre de tu amigo:
Apellido de tu amigo:

Banner Symantec
Banner Mc Afee
Banner CISCO
Banner 3Com
Banner Datec
Banner DoxaCenter
Banner Bloggers
Banner HP
Banner Sun ComWare
Banner I-SEC
Banner ASIar
Banner ComPlus
Banner Education Center
Banner InfoSecurity
Publicite en InfoSecurity News
Copyright © 2006 I-Sec. Todos los derechos reservadosPolítica de protección de Datos Personales