Oj, jag skickade mailet till fel adress.

”Börja med att förutsätta att mejlsystemet är affärskritiskt Och se till att verksamheten fattar beslut om vilka upptider som är rimliga.”, skriver Åsa Schwarz.

Publicerad: 2012-05-25 03:00, i Computer Sweden.

Jag blev iskall i magen. Hjärtat slog ett extra slag. Jag var tvungen att läsa mottagaren till mejlet en extra gång. Det var fel adress. Jag ville sjunka genom marken. Jag hade skickat ett brev där jag skrev hur tråkigt mitt jobb var till chefen i stället för till sambon. De hade samma förnamn.

Känner du igen det där? Det behöver inte vara till chefen, det kan lika gärna vara affärshemligheter till en konkurrent eller kärleksbrev till fel kollega. När jag har analyserat säkerhetsproblem med mejlsystem så är den vanligaste incidenten att brev kommer fel när användaren varit för snabb och valt fel mottagare.

Ett annat problem är att mejl oftast skickas i klartext vilket gör att vem som helst som fångar upp trafiken kan läsa mejlet. Detsamma gäller om någon stulit eller hackat sig in på en dator där det finns en mejlklient. Allt går att läsa. Det är dessutom lätt att fejka avsändaradressen och därmed hela innehållet. Sammanfattningsvis så är majoriteten av mejlsystem inte säkra.

Det konstiga är att många företag fortfarandeenvist anser att mejlsystemet inte är affärskritiskt. Jag hävdar att de har fel. Under det senaste tio åren har vi ändrat vårt sätt att arbeta. I många företag skickas nästan all information någon gång via mejlsystemet. Samtidigt blir vi allt mer mobila och får mejl i telefoner och surfplattor. De flesta människor har någon gång blivit av med sin mobiltelefon.

Det finns två vägar att gå för att minska risken. Den ena är att skaffa ett nytt system eller uppgradera det befintliga så att det har funktioner för kryptering och signering. Det är lätt och relativt billigt. Problemet är att det även måste finnas en struktur för hantering av krypteringsnycklar, inte bara internt utan även med samarbetspartner. Det är inte alls lika lätt och det är där projektet ofta strandar.

Den andra vägen är vara pragmatisk. Börja med att förutsätta att mejlsystemet är affärskritiskt och se till att verksamheten fattar beslut om vilka upptider som är rimliga. Utifrån det är det lätt att arbeta med tillgänglighetsfrågor som elförsörjning, internetleverantörer och säkerhetskopiering.

Se därefter över klientsidan, speciellt den mobila. Det viktiga är att se på telefoner på samma sätt som datorer. De ska levereras till användarna med fördefinierade säkerhetsinställningar. Allt annat är dömt att misslyckas. Det ska finnas regler för uppdateringar, brandvägg, antivirus och kryptering . Lösenord och automatisk utloggning ska vara obligatoriskt.

Nyckeln är att ifrågasätta hur mycket information som behöver ligga på klienterna. Ibland räcker det med dagens mejl utan bilagor. Då minskar risken betydligt.

Slutligen ska mejlen användas med sunt förnuft. Det är lättare sagt än gjort. Det finns minst en som saknar det i alla större organisationer.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s