Consideraciones sobre seguridad

En este artículo se analizan los aspectos de seguridad a tener en cuenta para proteger Secure Mail y los parámetros concretos que se pueden habilitar para aumentar la seguridad de los datos.

Respaldo para Microsoft IRM

Secure Mail para Android y Secure Mail para iOS admiten la protección de mensajes con Information Rights Management (IRM) de Microsoft, en función de cómo se configure la directiva IRM.

Esta función permite que las organizaciones usen IRM para aplicar protección permanente al contenido de la mensajería. Asimismo, permite que los usuarios de dispositivos móviles creen y consuman contenido protegido por IRM. De forma predeterminada, el respaldo para IRM está desactivado. Para habilitarlo, active la directiva “Information Rights Management”.

Secure Mail admite los siguientes atributos de plantilla:

Importante:

Los datos adjuntos no están incluidos en el respaldo para IRM.

Atributo Etiqueta en Secure Mail Descripción
ContentExpiryDate Sin fecha de caducidad o la fecha de caducidad Permite eliminar el cuerpo y los datos adjuntos del mensaje de correo electrónico una vez transcurrida la fecha estipulada en ContentExpiryDate. Además, Secure Mail ofrece la posibilidad de obtener de nuevo el contenido desde el servidor.
EditAllowed Editar contenido Especifica si el usuario puede modificar el mensaje de correo electrónico cuando lo reenvía, o bien cuando responde a un destinatario o a todos los destinatarios.
ExportAllowed   Especifica si el usuario puede quitar la protección IRM del mensaje de correo electrónico.
ExtractAllowed Copiar contenido Especifica si el usuario puede copiar contenido de los mensajes de correo electrónico fuera de ellos.
ForwardAllowed Reenviar Especifica si se permite al usuario reenviar el mensaje de correo electrónico.
ModifyRecipientsAllowed Modificar destinatarios Especifica si el usuario puede modificar la lista de destinatarios cuando reenvía o responde a un mensaje de correo electrónico.
ProgrammaticAccessAllowed Enviar a otras aplicaciones Especifica si se puede acceder al contenido del mensaje de correo electrónico mediante programación con aplicaciones de terceros.
ReplyAllAllowed Responder a todos Especifica si el usuario puede responder a todos los destinatarios del mensaje de correo electrónico original.
ReplyAllowed Responder Especifica si el usuario puede responder al mensaje de correo electrónico.

Los usuarios ven la siguiente pantalla de restricciones.

Pantalla de restricciones IRM para Secure Mail

Es posible que algunas empresas requieran un cumplimiento estricto de su directiva IRM. Los usuarios con acceso a Secure Mail pueden intentar omitir la directiva IRM si modifican Secure Mail, el sistema operativo o incluso la plataforma de hardware.

Aunque Endpoint Management puede detectar algunos ataques, tenga en cuenta las siguientes medidas de precaución para aumentar la seguridad:

  • Revise la información relativa a la seguridad suministrada por el proveedor del dispositivo.
  • Configure los dispositivos según corresponda, ya sea usando las funciones de Endpoint Management o no.
  • Proporcione instrucciones a los usuarios sobre el uso apropiado de las funciones de IRM, incluido Secure Mail.
  • Implemente software de seguridad adicional externo para ofrecer más resistencia a este tipo de ataques.

Clasificaciones de seguridad del correo electrónico

Secure Mail para iOS y Android admite marcas de clasificación de correo electrónico, lo que permite a los usuarios especificar marcas de seguridad (SEC) y marcas de limitación de difusión (DLM) cuando envíen mensajes de correo electrónico. El marcado SEC incluye: Protegido (Protected), Confidencial (Confidential) y Secreto (Secret). El marcado DLM incluye: Reservado (Sensitive), Legal o Personal. Al redactar un mensaje de correo electrónico, un usuario de Secure Mail puede seleccionar una marca para indicar el nivel de clasificación del mensaje, como se muestra en las siguientes imágenes.

Enlace de clasificación de seguridad en Secure Mail

Lista de clasificación de seguridad en Secure Mail

Los destinatarios pueden ver la marca de clasificación en el asunto del mensaje. Por ejemplo:

  • Asunto: Planificación [SEC = PROTEGIDO, DLM = Reservado]
  • Asunto: Planificación [DLM = Reservado]
  • Asunto: Planificación [SEC = NO CLASIFICADO]

Los encabezados de correo electrónico incluyen el marcado de clasificación una extensión de encabezado de mensaje de Internet, que se muestra en negrita en este ejemplo:

Fecha: vie, 01 de mayo de 2015 12:34:50 +530

Asunto: Planificación [SEC = PROTEGIDO, DLM = Reservado]

Prioridad: normal

Prioridad X: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

De: operations@example.com

Para: Equipo <mylist@example.com>

Versión MIME: 1.0 Tipo de contenido: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail solo muestra las marcas de clasificación. La aplicación no realiza ninguna acción basada en ellas.

Cuando un usuario responde o redirige un mensaje de correo electrónico que tiene marcas de clasificación, el marcado SEC y DLM conserva los valores del mensaje original de manera predeterminada. El usuario puede cambiarlo por otro marcado distinto. Secure Mail no valida dichos cambios en función del mensaje original.

Las marcas de clasificación de correo electrónico se configuran través de las siguientes directivas MDX.

  • Clasificación de correo electrónico: Si el valor es , Secure Mail admite marcas de clasificación para SEC (seguridad) y para DLM (limitación de la difusión). Las marcas de clasificación aparecen en los encabezados de los correos como valores “X-Protective-Marking”. Asegúrese de configurar las directivas de clasificación de correo electrónico relacionadas. El valor predeterminado es No.

  • Espacio de nombres de clasificación de correo: Especifica el espacio de nombres de clasificación requerido en el encabezado del correo electrónico según el estándar de clasificación utilizado. Por ejemplo, el espacio de nombres “gov.au” aparece en el encabezado como “NS=gov.au”. Está vacío de forma predeterminada.

  • Versión de clasificación del correo electrónico: Especifica la versión de la clasificación requerida en el encabezado del correo electrónico según el estándar de clasificación utilizado. Por ejemplo, la versión “2012.3” aparece en el encabezado como “VER=2012.3”. Está vacío de forma predeterminada.

  • Clasificación predeterminada del correo: Especifica la marca protectora que Secure Mail aplica a un mensaje de correo electrónico si un usuario no elige ninguna marca. Este valor debe estar incluido en la lista de la directiva Marcas de clasificación de correo. El valor predeterminado es No oficial.

  • Marcas de clasificación de correo: Especifica las marcas de clasificación que pueden utilizar los usuarios finales. Si la lista está vacía, Secure Mail no incluye ninguna lista de marcas de protección. La lista de marcas contiene parejas de valores separados por punto y coma. Cada par incluye el valor de lista que aparece en Secure Mail y el valor de marcado (el texto añadido al asunto del mensaje y al encabezado en Secure Mail). Por ejemplo, en la pareja de marcado “UNOFFICIAL,SEC=UNOFFICIAL;”, el valor de la lista es “UNOFFICIAL” y el valor de marcado es “SEC=UNOFFICIAL”.

El valor predeterminado es una lista de marcado de clasificación que usted puede modificar. Se facilitan las siguientes marcas con Secure Mail.

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • Solo para uso oficial, DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

Protección de datos en iOS

Las empresas que deban cumplir las normas de protección de datos del ASD (Australian Signals Directorate) pueden usar las directivas Habilitar protección de datos de iOS para Secure Mail y Secure Web. De forma predeterminada, esas directivas están desactivadas.

Si la directiva Habilitar protección de datos de iOS tiene el valor para Secure Web, éste aplica el nivel de protección de Clase A a todos los archivos del sandbox. Para obtener más información sobre la protección de los datos en Secure Mail, consulte Protección de datos del Australian Signals Directorate. Si habilita esta directiva, se aplicará la clase más alta de protección de datos, de modo que no hay necesidad de especificar también la directiva Minimum data protection class.

Para cambiar la directiva Habilitar protección de datos de iOS

  1. Use la consola de Endpoint Management para cargar los archivos MDX de Secure Web y Secure Mail en Endpoint Management. Para una nueva aplicación, vaya a Configurar > Aplicaciones > Agregar y haga clic en MDX. Para realizar una actualización, consulte Actualizar aplicaciones MDX o de empresa.

  2. Para Secure Mail, vaya a Parámetros de aplicación, busque la directiva Habilitar protección de datos de iOS y actívela. Los dispositivos que ejecutan versiones anteriores del sistema operativo no se verán afectados cuando se habilite esta directiva.

  3. Para Secure Web, vaya a Parámetros de aplicación, busque la directiva Habilitar protección de datos de iOS y actívela. Los dispositivos que ejecutan versiones anteriores del sistema operativo no se verán afectados cuando se habilite esta directiva.

  4. Configure las directivas de aplicación de la manera habitual y guarde los parámetros para implementar la aplicación en la tienda de aplicaciones de Endpoint Management.

Protección de datos del Australian Signals Directorate

Secure Mail respalda la protección de datos del Australian Signals Directorate (ASD) para aquellas organizaciones que deban cumplir los requisitos de seguridad informática del ASD. De forma predeterminada, la directiva “Habilitar protección de datos de iOS” está desactivada y Secure Mail aplica una protección de datos de Clase C o la protección de los datos definida en el perfil de aprovisionamiento.

Si la directiva está activada, Secure Mail especifica el nivel de protección al crear y abrir archivos en el sandbox de las aplicaciones. Secure Mail aplica la protección de datos de Clase A en:

  • Elementos de la bandeja de salida
  • Fotos de la cámara o del carrete
  • Imágenes pegadas desde otras aplicaciones
  • Archivos adjuntos descargados

Secure Mail aplica la protección de datos de Clase B en:

  • Correo almacenado
  • Elementos del calendario
  • Contactos
  • Archivos de directivas de ActiveSync

La protección de datos de Clase B permite la sincronización en un dispositivo bloqueado y permite que las descargas se completen aunque el dispositivo se bloquee una vez iniciada la descarga.

Con la protección de datos habilitada, los elementos de la bandeja de salida que se encuentran en la cola no se envían cuando el dispositivo está bloqueado porque los archivos no se pueden abrir. Además, si el dispositivo cierra y luego reinicia Secure Mail cuando el dispositivo está bloqueado, Secure Mail no se puede sincronizar hasta que el dispositivo se desbloquee y Secure Mail se inicie.

Citrix recomienda que, si se habilita esta directiva, se habilite la captura de registro de Secure Mail solo cuando sea necesario, para evitar la creación de archivos de registros con protección de datos de Clase C.