Domanda: come pianificare la politica di email per le start-up?

Naviga le tue risposte
1

Sono parte di una start-up del software. Ho il ruolo di amministratore IT e raccolta dei requisiti (analisi aziendale). In questo momento siamo una squadra di sette persone e siamo tutti nella 'squadra principale'. Ora stiamo pianificando di definire una politica email per l'azienda. Con la mia conoscenza ed esperienza ho proposto le seguenti cose:

  1. L'accesso e-mail deve essere specifico per progetto e ruolo.
  2. La comunicazione al mondo esterno dovrebbe essere totalmente vietata, tranne quando il ruolo o il progetto lo richiedono. Per es. Quando la persona è nel reparto marketing o il progetto si occupa di clienti in cui è necessaria la comunicazione con i clienti.

Ora delle obiezioni:

  1. Uno di noi ha affermato che vorrebbe utilizzare l'ID dell'azienda per accedere ai forum perché non desidera utilizzare due ID diversi per lo stesso scopo. Non riesco a digerirlo.
  2. Qualcun altro ha detto che la sua azienda ha consentito l'uso di ID personale sul posto di lavoro per il lavoro relativo al progetto. Poteva usare il suo documento di lavoro presso la precedente azienda per comunicare con il mondo esterno. Vogliono questa flessibilità.
  3. Qualcuno può usare persino la matita di carta per infiltrare i dati. Questo non è totalmente sbagliato, ma gli sforzi di perdita?
  4. Le start-up sono basate sulla fiducia. Certo che sono solo confidenzialità?
posta swap 01.01.2014 - 21:24
fonte

3 risposte

1

Stai violando la tua politica ponendo questa domanda. Comunica con il mondo esterno per un problema correlato all'avvio.

Il fatto che inizi a violare la tua politica indica che non hai pensato al problema.

La tua politica dice fondamentalmente che se l'avvio utilizza una libreria open source e tale libreria ha un problema, gli sviluppatori del tuo avvio non possono scrivere messaggi nella mailing list della libreria open source e non possono segnala bug al bugtracker della libreria open source.

Se fai un divieto effettivo di comunicazione con il mondo esterno che riduce l'efficienza dei tuoi programmatori. Potrebbero esserci startup in cui la segretezza totale è importante, ma nella maggior parte delle startup non è probabilmente la pena.

Una volta ho fatto un tirocinio all'università. Il gruppo accademico in cui ho lavorato non ha utilizzato alcun controllo del codice sorgente. Avevano una politica generale di nessun trasferimento dati esterno. Ho fatto la cosa sensata di installare il controllo del codice sorgente per me stesso e ho chiesto se posso eseguire il backup dei dati su un server esterno. Fondamentalmente ho ottenuto un: "Bene, okay".

In pratica mi ha permesso di aggirare la politica insensata di un trasferimento dati esterno. Tuttavia, non hanno spiegato esattamente perché non volevano un trasferimento dati esterno. Di conseguenza, non sono riuscito a prendere decisioni ragionevoli in merito alla comunicazione dei dati in linea con la politica aziendale.

Invece di cercare di vietare tutte le comunicazioni esterne, dovresti parlare con i tuoi sviluppatori su quali informazioni possono essere comunicate in sicurezza e quali informazioni non possono. Nella maggior parte delle startup non devi proibire ai tuoi dipendenti di comunicare tutte le informazioni.

    
risposta data 02.01.2014 - 02:29
fonte
1

Non importa quanti soldi e tempo spendi, non puoi assolutamente impedire a un utente interno di fare qualcosa di malevolo; basta chiedere alla NSA.

Le politiche IT, e ho scritto troppe volte nel mio tempo, dovrebbero bilanciare i bisogni di sicurezza con una buona dose di buon senso e realtà. Dovresti cercare di rendere più difficile per gli utenti interni fare qualcosa di malevolo, ma dedicare la maggior parte del tuo tempo a cercare di prevenire la stupidità. Ciò si riflette nella maggior parte dei controlli di sicurezza aziendali, sì, certamente c'è un sacco di test delle penne e segregazione dei compiti, ecc ... Ma per i sistemi interni, gli audit generalmente si concentrano su tutto ciò che viene monitorato. Non puoi impedire al 100% a qualcuno di fare qualcosa di malevolo, ma quando lo fanno, è meglio averlo in un file di registro da qualche parte.

Stai andando bene da un punto di vista, cioè pensare alla politica IT e alla sicurezza come una start-up, purtroppo, è piuttosto raro. Generalmente lavoro o parlo con organizzazioni che stanno passando dalla fase di avviamento a una piccola azienda in crescita e consolidata. Molti non hanno trascorso una quantità ragionevole di tempo sull'argomento, quasi tutti sono troppo negligenti nel loro piano e nella loro attuazione.

Detto questo, dalla tua domanda sembra che tu ti stia appoggiando all'altro estremo dello spettro, anche quello è pericoloso. Inizia in piccolo con quella squadra, accertati di essere in grado di giustificare e trasmettere (vendere) le tue polizze al resto della tua squadra. Man mano che cresci, rivedi periodicamente queste politiche e rendile più restrittive con una maggiore segregazione dei doveri, ecc. In quanto diventa più appropriato.

Buona fortuna per l'avvio ...

    
risposta data 02.01.2014 - 04:47
fonte
0

Ho utilizzato Google Apps for Business ; potrebbe essere quello che stai cercando, ha una vasta gamma di impostazioni per la politica di posta elettronica. Solo per citarne alcuni -

Limita i domini ai quali gli utenti possono scambiare email.
Conformità dei contenuti
Conformità degli allegati Conformità del trasporto sicuro (TLS)
Attiva l'autenticazione a 2 fattori

Non capisco completamente le obiezioni, potresti elaborare?

    
risposta data 01.01.2014 - 23:25
fonte

Leggi altre domande sui tag

Associare gli ordini degli ospiti con l'account se le e-mail corrispondono? Riconoscimento mancante degli attributi protetti in crittografia sessione (SSL)