Ho cercato per un po ', cercando di trovare informazioni utili sui rischi inerenti alla trasmissione di dati sensibili via email. Sono davvero alla ricerca di un elenco completo di tutte le vulnerabilità di una fonte esterna che possiamo utilizzare come parte dell'iniziativa di formazione "IT Security 101 per imprenditori non IT". (Ho cercato dapprima sia su questo sito che su Google. Su Google, continuo a ricevere articoli lunghi e ho trovato buoni pezzi qui e nelle mie ricerche su Google, ma non un elenco completo come quello che sto cercando.)
Lo sfondo è che ho diverse persone nel mondo degli affari che proprio non capisco. Insistono sull'uso della posta elettronica e si rifiutano di accettare il fatto che non è sicuro.
Nel mio attuale dilemma, stiamo implementando SSRS per la segnalazione e ci aspettiamo che le persone visualizzino i report sul sito SSRS. Il motivo è che la maggior parte delle relazioni che trattiamo contengono dati sensibili di un modulo o di un altro e non vogliamo che questi rapporti vengano inviati via email. I regolamenti statali in cui operiamo identificano PID come cognome, iniziale o nome e qualsiasi altra forma di informazione identificativa, come un indirizzo, SSN, numero di conto, e-mail, ecc. Le leggi statali prevedono anche che una violazione trapelasse 500 o più record contenenti tale PID devono essere segnalati allo stato.
Molti report contengono PID con questa definizione e la maggior parte ha oltre 500 record. Quindi IMO un singolo report raccolto da uno sniffer o inviato accidentalmente alla persona sbagliata è una violazione segnalabile - non qualcosa con cui vogliamo occuparci.
Tuttavia, abbiamo alcuni dirigenti di livello superiore che sembrano pensare che le regole non si applicano a loro, soprattutto perché non capiscono quanto sia reale il rischio. Le notizie buone sono che stiamo facendo progressi nel cambiare idea. La cattiva notizia è che i loro occhi si glassano quando diventiamo troppo tecnici. Inoltre, non vogliono semplicemente crederci sulla parola.
Esempi a cui posso pensare:
- Gli sniffer possono essere utilizzati per leggere le email mentre si spostano attraverso la rete.
- L'email viene inviata attraverso molti server tra il mittente e il destinatario. Qualcuno di quei server potrebbe intercettare e salvare quella email.
Non sono troppo preoccupato del fatto che la lista sia troppo tecnica - Possiamo farci delle analogie che l'azienda capirà per spiegare i concetti tecnici. Sono più interessato a una lista che ha tutti i rischi.