inoltrare l'e-mail aziendale all'indirizzo e-mail di un contraente

2

Usiamo appaltatori provenienti da fuori dallo stato e da altri paesi. Viene creato un account di Active Directory, che crea un account di posta elettronica di Exchange. Inoltriamo e-mail dall'indirizzo e-mail di Exchange all'indirizzo e-mail di un contraente. Gli account di posta elettronica della società contengono informazioni proprietarie e stiamo inoltrando i dati della società a un account non aziendale.

Possiamo bloccare la registrazione nella nostra rete aziendale con l'account AD? Dovremmo costringere gli appaltatori a utilizzare l'indirizzo email dell'azienda?

In che modo le altre società gestiscono la condivisione dei dati con gli appaltatori? Sto cercando una procedura operativa standard o una guida di processo. Grazie.

    
posta L Rubio 13.12.2016 - 16:37
fonte

3 risposte

3

Non sono sicuro di bloccare l'accesso ma penso che tu possa essere - Sono abbastanza sicuro che in AD ci sia un'impostazione che blocca l'accesso, ma se questo ha altri impatti, non lo so.

Riguardo alla condivisione dei dati ...

Dovresti, come minimo, avere un contratto per la condivisione dei dati tra te e il contraente in modo che tu possa legalmente tenerli per conto.

Se è necessario mantenere un controllo più stretto sulle informazioni, è necessario limitarle a utilizzare il proprio sistema di posta. Ricorda che, una volta che i dati lasciano il tuo sistema di posta elettronica, hai poco controllo sui canali su cui passa o non controlla se tali canali siano sicuri.

In definitiva, questo si tradurrà in un equilibrio tra costi, convenienza e sicurezza e sarà necessario comprendere sia i rischi che gli impatti prima di poter prendere una decisione sensata. Se lavori in un settore regolamentato o un'organizzazione ad alto rischio, i rischi e gli impatti sono molto più elevati e dovresti quasi certamente utilizzare solo il tuo sistema interno e limitare i dispositivi controllati. All'altro estremo della scala, potresti notare un leggero impatto sulla perdita di dati occasionalmente o poco rischio che qualcuno possa essere interessato a provare a intercettare i dati e in tal caso non ti daresti fastidio.

    
risposta data 13.12.2016 - 17:48
fonte
3

Vietiamo l'inoltro automatico delle e-mail aziendali agli account e-mail esterni come parte della nostra politica di utilizzo accettabile. Questa politica si applica a personale, appaltatori e qualsiasi altra terza parte che abbia accesso ai nostri sistemi.

Si prega di consultare quanto segue su come creare politiche di Exchange che limitano o consentono l'inoltro di link

Se la tua organizzazione non ha ancora un criterio di utilizzo accettabile, ti suggerisco di prendere una copia del seguente modello da SANS come punto di partenza link

Buona fortuna e continua così. L'invio di e-mail aziendali al di fuori dell'azienda è un vero problema.

    
risposta data 13.12.2016 - 18:24
fonte
1

Sarò più o meno d'accordo con @Julian Knight (+1) e sostengo che si tratta di bilanciare costi, convenienza e sicurezza. È sicuramente vero che, una volta che le informazioni lasciano i tuoi server di posta, non puoi fare nulla in termini di protezione. D'altra parte, vuoi che i tuoi fornitori siano in grado di leggere le email .

Si potrebbe sostenere che l'implementazione del proprio sistema di posta elettronica (ad esempio posizionando Office 365 sul server di Exchange o anche qualcosa di molto più semplice come webpine) invece di inoltrare semplicemente la posta elettronica ad altri client di posta impedirà l'invio dei messaggi ai server. a meno che l'utente non abbia effettuato l'accesso. Tuttavia, quando l'utente effettua il login e vede l'e-mail nulla può impedirgli di copiare e incollare il testo dell'email in un editor di testo .

Quindi non c'è un reale miglioramento della sicurezza nel rotolare il tuo sistema di posta elettronica invece di fornire l'accesso IMAP o POP3, ovviamente su TLS (che non è lo stesso di inoltro ma può essere fatto funzionare come tale con qualche tipo di lavoro periodico). Il testo dell'email finirà sempre sul computer dell'appaltatore per consentirgli di leggerlo.

Inoltre, il rollover del proprio sistema o l'obbligo per gli appaltatori di utilizzare client specifici potrebbe essere peggio in termini di sicurezza rispetto all'utilizzo di uno standard ben definito come STARTTLS - RFC 7812 . Non solo può subire errori di codifica insignificanti, ma un buon appaltatore può essere tentato di trovare questi errori per automatizzare il recupero della posta elettronica.

Lo sto dicendo per esperienza personale: una società per cui un tempo lavoravo richiedeva a tutti gli utenti di posta elettronica di installare una versione obsoleta di Internet Explorer perché il loro sistema di posta elettronica non funzionava con una versione mai aggiornata. Un piccolo script python con un intelligente User-Agent e un interprete JavaScript di 10 righe ha fatto il trucco del recupero automatico della posta elettronica.

In sintesi

L'inoltro semplice è una cattiva idea perché l'email può finire su alcuni server di terze parti che non sono né sotto il tuo controllo né sul controllo dell'appaltatore. Eppure (nella maggior parte dei casi), ciò non significa che si dovrebbe consentire l'accesso alla posta elettronica solo attraverso i client approvati. Questo perché, a meno che non pianifichi di investire una grande quantità di tempo di sviluppo e audit per assicurarti che questi client approvati non perdano le email, è meglio usare standard ben conosciuti.

E una volta che permetti a un appaltatore di leggere le e-mail, non dovresti preoccuparti che le e-mail finiscano sul computer dell'appaltatore, finiranno lì indipendentemente da ciò che fai. Se il contraente ha un proprio server di posta elettronica e desidera utilizzare IMAP su TLS per sincronizzare il proprio server con il proprio, non c'è molto che si possa fare per impedirlo. Se ottiene che il server di posta elettronica è compromesso, è colpa sua e non è molto diverso da lui che perde il suo computer insieme ai dati aziendali su di esso.

    
risposta data 15.12.2016 - 01:53
fonte