Seguridad básica y con poco coste de gestión para las comunicaciones electrónicas de pequeñas empresas.
Seguramente una de las cosas más frustrantes de animar a las empresas y organizaciones amigas a desarrollar unos mínimos estándares de seguridad en sus comunicaciones electrónicas es que, si bien en el primer momento lo toman con ganas, unos meses después la mayoría acaba abandonando.
Esto se debe, creo yo, a que la mayor parte de la información que se mueve en una empresa no tiene relación con los proyectos de la empresa, sino con la red social de sus colaboradores.
Así el dilema cotidiano es encriptar todo asumiendo el coste de tiempo de seguir unos mínimos protocolos o encriptar sólo aquello que juzguemos delicado… que equivale a ponerle un neón encima señalándolo como información confidencial, lo cual es, normalmente mucho más indiscreto que enviarlo abierto.
¿Solución? Limitar la privacidad a los proyectos, imponiendo unas prácticas acordes con la seguridad normalmente requerida por una empresa normal. Es decir, si usted trabaja en proyectos estratégicos para la seguridad del estado o la defensa ni se moleste en seguir leyendo, consulte a los expertos de su propia organización que le implementarán con gusto niveles y protocolos de seguridad más altos.
Si usted lo que quiere es evitar que un remite o un reenvío equivocado le tire un proyecto o dañe la imagen de su organización, si usted lo que quiere es que una mirada curiosa sobre un email no se convierta en un rumor, los siguientes consejos le serán sin duda muy útiles.
- Cree cuentas de gmail específicas para los colaboradores de ese proyecto delicado y úselas tan sólo para ese proyecto, borrándolas al final del mismo
- No olvide decir a sus colaboradores que sólo deben abrir esas cuentas de correo con Firefox
- Instale, si usa Linux, GnuPG con kgpg para darle un entorno amigable. Si todavía utiliza Windows instale Windows Privacy Tools
- Genere una a una en cada ordenador, las claves de la cuenta de correo de cada colaborador. Si es linuxero estará familiarizado con
gpg. Su uso es súmamente sencillo. Con Windows Privacy Tools siga las instrucciones del propio programa - Sólo en caso de tener Linux y unos requerimientos de seguridad bajos, instale la extensión FireGPG para Firefox y configúrelo como cualquier otra extensión de Firefox.
No es que vaya a convertirse en un Bruce Schneier o un Versvs en 15 minutos, pero su nivel de seguridad será suficiente como para proteger a su firma de las metidas de pata involuntarias de sus colaboradores.
Críticas y soluciones
- Google puede leer mis correos mientras los escribo (al guardarse automáticamente como borradores): evidentemente, aunque me gustaría pensar que sólo lo hará a petición de un juez. Solución: replantee el destino de su empresa, si teme que un proyecto pueda interesar a un juez en el ejercicio de sus funciones, qué quiere que le diga…
- La clave de gmail puede verse comprometida por el uso: Efectivamente, es probable que si sus colaboradores comparten mesa u ordenador en un momento eso ocurra. Tampoco caiga en la paranoia, estas sugerencias parten del presupuesto de que su principal problema de seguridad es el mal uso del correo electrónico y los envíos equivocados, no el espionaje industrial de alto nivel. En cualquier caso hay una solución sencilla: borre las cuentas de correo -y revoque sus respectivas claves- cada semana. Y no olvide después hacer otras nuevas, claro.
Comentarios
Si crees que puedes aportar algo interesante deja un comentario...
Debes estar registrado como usuario para postear.
Creandote un usuario en un 
Puedes ver los 23 posts más actualizados de mi 
Puedes ver las estadísticas de este blog -entre otros- en el 
mmmm, creo que es mucho más satisfactorio usar un cliente de correo tipo Thunderbird (multiplataforma), Evolution o Kmail (Linux) o Mail (Mac OS). Evolution y Kmail (creo) tienen soporte para PGP de serie, para Thunderbird y Mail (todavía no en Leopard) hay buenos plugins.
Mi estratégia (cuando uso el Mail) es cifrarlo todo por defecto (si tengo la llave del destinatario) así no tengo que pensar en si cifro o no. Creo que esta es, definitivamente, la mejor estratégia posible, ya que no tengo que estar siempre pensando sobre el tema. El plugin de PGP lo hace por mi.
si se usa windows o mac, otra posibilidad es usar el PGP Desktop de la PGP Corporation. Cuesta 100$ pero va de maravilla y es compatible con OpenPGP.
El argumento de que no pasa nada si google lee tus e-mails no me acaba de convencer.
Mi experiencia con el FirePGP es bastante insatisfactoria. Problemas de “encoding”, va mal para contestar e-mails entre líneas, etc.
Yo creo que el mejor cifrado es el que hace “en tu casa”, nunca probé FireGPG, pero Pere tiene razón con que Thunderbird con Enigmail (extension) va muy bien y aporta interfaz gráfica al gpg que viene de serie en linux o que puedes instalar (libre y gratuito) en windows.
Yo lo recomiendo en lo posible..
Y creo que lleváis razón… pero en una empresa “normal” que lo que necesitan o perciben necesitar es una seguridad light mi experiencia dice que al final abandonan los sistemas que nosotros usamos con normalidad… Por eso hacía este post, para darles una alternativa que cubra el 80% de sus agujeros de seguridad sin comerles demasiado tiempo…
Ya, entiendo lo que dices. Pero creo que cuando le den al Responder y les salga el texto cifrado y no puedan contestar entre líneas se hartarán. Además, el FirePGP no aporta ninguna interfície para gestionar las claves (que es lo más difícil) y tampoco cifra los mensajes a uno mismo (hay que marcarse a si mismo a mano cada vez).
Pero, si te funciona, genial. Pero, sinceramente, alguien como mi hermana ser hartaría en dos segundos. En cambio, con el PGP Desktop, que cifra automáticamente casi sin que uno se entere, creo que no se hartaría.
Pero ya sabemos que no hay solución universal. A cada uno, su solución.