Trovare il giusto equilibrio tra costi e benefici per la crittografia e-mail (parte 1)

“Non criptiamo la nostra corrispondenza via e-mail, semplicemente perché non esiste una soluzione accettabile sia per il mittente che per il destinatario. Piuttosto che spendere soldi per una soluzione che non viene utilizzata, preferiamo usare i fondi altrove … “

Hai già sentito questo tipo di ragionamento? Queste e simili affermazioni sono purtroppo fin troppo comuni.

Come spesso accade quando si parla di sicurezza IT, la percezione della crittografia e-mail è spesso la stessa; più alto è il livello di sicurezza, peggiore diventa l’esperienza dell’utente. Tuttavia, questo in realtà indica che la discussione sulla questione dovrebbe essere approfondita e non evitata!

Innanzitutto, si deve rispondere alle seguenti domande: dopo aver individuato la necessità di crittografia della posta elettronica, è stata una fatta una valutazione del prodotto da utilizzare? E prima di questo, è stata verificata ed esaminata in dettaglio la necessità di una maggiore sicurezza IT?

Quando decidiamo di acquistare una soluzione di crittografia e-mail, se ci si basa solo sulle caratteristiche del prodotto, come fosse un software standard, di solito siamo destinati all’insuccesso in quanto i prodotti acquisiti o sono troppo restrittivi oppure non lo sono affatto e spesso affrontano il problema dal punto di vista sbaglia

Quindi è meglio chiarire in anticipo e in dettaglio i requisiti. Si deve dare risposta a diverse domande al fine di trovare la soluzione giusta per l’utente o l’azienda.

• La protezione della nostra corrispondenza e-mail è una nostra scelta o siamo obbligati a farlo per legge?
  • Perché vogliamo proteggere la nostra corrispondenza e-mail?
  • Quali sono i benefici derivati della crittografia della nostra corrispondenza e-mail e quanto valgono per noi?
  • Quali requisiti o quale livello di crittografia sono previsti dalla legge?
• Tutti i dipendenti Dovrebbero / devono avere la possibilità di criptare la corrispondenza e-mail?
  • Oppure c’è solo piccolo gruppo di utenti che potrebbe essere addestrato ad utilizzare una soluzione più complessa?
• La comunicazione crittografata deve avvenire solo in una direzione (da noi al cliente / partner)?
• O chi riceve la nostra comunicazione, indipendentemente dalla sua infrastruttura tecnica, dovrebbe essere in grado di rispondere in forma criptata senza incontrare difficoltà?

Le possibili risposte saranno discusse in modo più dettagliato nell’articolo «Auto TLS: Trovare il giusto equilibrio tra costi e benefici per la crittografia e-mail – Parte 2».