messo questo, una valutazione eccellente in materia di
sicurezza
deriva di norma da buone capacità nelle seguenti aree.
• Privilegi di amministrazione ben differenziati che consentano
di ridurre gli errori dei tecnici e di controllare l’accesso agli
elementi più critici dell’infrastruttura di e-mail.
• L’uso del protocollo Tls (Transport Layer Security) per la si-
curezza delle interazioni con i partner commerciali.
• Un robusto filtro antivirus e antispam per la protezione di base
degli utenti e del sistema.
• Un sistema di prevenzione del phishing in grado di bloccare
le richieste fraudolente di dati o di azioni.
• Misure di protezione contro la perdita di dati che impediscano
l’uscita involontaria dei dati sensibili dall’azienda.
• Un meccanismo di cifratura delle sessioni per le connessioni
dai browser e dai dispositivi mobili.
• Ove richiesto, un meccanismo di cifratura dei messaggi che
garantisca il trasferimento sicuro delle e-mail.
• Ampie capacità di revisione che consentano lo svolgimento
di indagini legali approfondite.
• Un sistema di protezione contro gli attacchi DoS (Denial of
Service) sulla porta 25 che assicuri la connettività ininterrotta
a Internet.
Le responsabilità in materia di
compliance
variano molto in base
al tipo di attività aziendale. Per prima cosa si tratta di stabilire
quali siano le norme esterne applicabili all’organizzazione, e suc-
cessivamente di aderire ai requisiti di tali norme. La gestione in-
terna dei documenti ufficiali fa parte degli obblighi di compliance.
I compiti in materia di compliance dipendono solitamente dal set-
tore di attività, spesso anche dalla posizione geografica (località,
stato, stato federale o regione), e in genere richiedono strumenti
di cifratura, monitoraggio e conservazione dei messaggi (que-
st’ultima è trattata più avanti come fattore distinto).
La
governance
riguarda l’istituzione di criteri guida per l’uso ap-
propriato dei sistemi di e-mail e la corretta informazione degli
utenti riguardo a tali criteri. Occorre condurre revisioni periodi-
che e i criteri guida devono essere costantemente aggiornati.
Età del sistema
L’età del sistema si riferisce all’età dei suoi diversi componenti,
che in linea generale possono essere suddivisi in hardware, soft-
ware di e-mail e utility di terze parti. Ad esempio, l’attuale ver-
sione di Microsoft Exchange è del 2010, quella precedente era
del 2007 (indietro di una generazione), quelle ancora precedenti
erano del 2003 (due generazioni indietro) e del 2000 (tre gene-
razioni indietro). Occorre inoltre considerare la versione del client,
se quest’ultimo è disgiunto dal server, quelle dei sottosistemi di
supporto delle funzioni di mobilità e igiene e quelle di altri prodotti
add-on. In genere, le nuove versioni dei software per il server
contengono upgrade completi per le funzioni di gestione, mobi-
lità, sicurezza, stabilità, scalabilità e le funzioni per gli utenti. Un
altro fattore da considerare è l’età del server hardware.
Conservazione dei messaggi
Di tutte le categorie del modello di maturità della e-mail, la
conservazione dei messaggi è la più immatura. Nell’introdu-
UN MODELLO DI MATURITÀ PER OTTIMIZZARE L’E-MAIL
34
maggio-giugno 2011
