Cómo enviar un correo electrónico seguro: 5 consejos para remitentes gubernamentales

Mensajería Seguridad y Gobierno

Recientemente tuve el placer de hablar en un panel titulado: ¿Cómo logramos el Google del gobierno? El panel fue parte de la Conferencia Reverb, que une a líderes del sector privado con quienes trabajan en el gobierno para inspirar e impulsar la innovación en lo que normalmente suponemos que son agencias que se quedan atrás en términos de uso e implementación de tecnología.

Cuando me invitaron a participar en este panel, me senté con Kurt Diver, nuestro jefe de Entregabilidad, para reflexionar sobre cómo se veía el Google del gobierno desde el punto de vista de la mensajería. Nos sumergimos profundamente en nuestras bandejas de entrada para buscar ejemplos de correos electrónicos que habíamos recibido de agencias gubernamentales para ver si cumplían con una barra mínima de seguridad.

No es sorprendente que los correos electrónicos que revisamos no cumplieron con nuestra prueba de fuego para mensajes seguros y protegidos. (Como descargo de responsabilidad, solo analizamos un par de ejemplos de San Francisco, Oakland y Denver). En todos los casos, carecían de DKIM (DomainKeys Identified Mail) en sus dominios de envío para garantizar el contenido del mensaje.

DKIM es una solución criptográfica que utilizan las plataformas de envío de todo el mundo y los ISP para ayudar a garantizar que los mensajes no se manipulen durante el vuelo y que los dominios no se falsifiquen. La extensión de DKIM, DMARC, ayuda a crear una política a la que un dominio receptor (como Gmail o Hotmail) puede hacer referencia cuando llega un mensaje que no superó la verificación de DKIM. ¿Qué debe hacer el proveedor del buzón con este mensaje? ¿Quédatelo? entregarlo? ponerlo en cuarentena? ¿O tirarlo al suelo porque es engañoso, diseñado para defraudar a alguien de su identidad, o algo peor?

Dada la prevalencia del correo electrónico en las noticias nacionales, y que a menudo es un vector en las violaciones de datos de alto perfil, el hecho de que los gobiernos locales y estatales no estén aprovechando la autenticación de correo electrónico para aumentar la confiabilidad de sus comunicaciones digitales es desconcertante.

En el lado positivo, cuando observamos el USPS, encontramos una política DKIM válida establecida para rechazar mensajes fraudulentos. Además de aprovechar los protocolos básicos de autenticación de correo electrónico como SPF, el correo electrónico de USPS se envió mediante TLS (Seguridad de la capa de transporte), un medio oportunista de encriptar el correo electrónico en tránsito del remitente al receptor que garantiza que nadie pueda leer el contenido mientras atraviesa Internet. .

Puede ser que las agencias gubernamentales no sean conscientes de cuán vulnerables pueden ser los mensajes en tránsito y la facilidad con la que se puede falsificar un dominio. Comprensiblemente, la mensajería no está en el corazón de la descripción del trabajo del gobierno local, estatal o federal, pero podría decirse que debería estar en su radar dada su utilidad en la automatización de las funciones de servicio al cliente asociadas con un gobierno impulsado por las personas.

La mensajería como camino hacia la automatización

El año pasado, pasé un día rebotando de escritorio en escritorio en el Ayuntamiento de San Francisco tratando de obtener una licencia comercial. Todo el proceso de solicitud fue impulsado por humanos y carecía de claridad. Luego, más recientemente, recibí una factura por una de las licencias comerciales que requería que descargara una solicitud en formato PDF de la web, la completara y la enviara por correo al Ayuntamiento. Esto es lo que me gusta considerar como un intento medio comprometido de digitalizar un proceso simple.

El hecho es que los formularios web alojados con disparadores inteligentes pueden aceptar fácilmente un envío y emitir instantáneamente una confirmación de ese envío con información adicional. Una vez que se haya aprobado la documentación/solicitud, se podría enviar otro mensaje. Muchos de los procesos intensivos por teléfono y en persona que marcan el Ayuntamiento podrían realizarse electrónicamente a través de correo electrónico y aplicaciones móviles.

Después de enviar mi solicitud por correo al Ayuntamiento, recibí una confirmación por correo electrónico. Realmente quiero celebrar el correo electrónico que recibí, pero es bastante difícil dado que carecía de cualquiera de las características básicas de identificación de las comunicaciones transaccionales y de marketing comunes y corrientes de la actualidad. Al igual que las marcas Fortune 100 que dan forma a las expectativas de los consumidores, el funcionamiento interno (o no) del gobierno da forma a las actitudes de los ciudadanos hacia el trato con las agencias locales, estatales y federales.

5 consejos de envío para el sector público

Después de analizar un poco más el correo electrónico, preparé la siguiente lista corta para ayudar a cualquiera que trabaje en una ciudad o agencia estatal y esté pensando en el correo electrónico, para servir mejor a las personas electrónicamente.

1. Use un amistoso de: El mensaje que recibí vino de "noreply@". Piensa en el tono que esto establece. Una cosa es no aceptar respuestas a una determinada dirección, pero si me detuviera en noresponder y no me molestara en leer el dominio, no tendría ni idea de quién era el remitente.
2. Incluya una firma: el correo electrónico carecía de una firma; era breve e informativo, pero nuevamente, piense en el tipo de comunicaciones que estamos acostumbrados a ver en la naturaleza: tienen pies de página y encabezados.
3. Incluir un sello de identificación : No había ningún sello de la ciudad que me ayudara a saber que este correo electrónico procedía del Ayuntamiento de San Francisco o de una agencia asociada.
4. Cuidado con los archivos adjuntos : había un archivo adjunto en mi correo electrónico. Los archivos adjuntos de correo electrónico no son necesariamente una buena práctica. En este caso, era un documento HTML que es más benigno que un archivo zip, un ejecutable u otro documento binario, pero aumenta la probabilidad de que este mensaje termine en la carpeta de correo no deseado. La mejor práctica aquí es codificar la información en el cuerpo del correo electrónico o vincularlo a un portal con un inicio de sesión donde se pueda acceder a esta información.
5. No tenga miedo de los correos electrónicos de solo texto: los correos electrónicos se codificaron como documentos HTML, pero no eran más que texto. Al mirar "debajo del capó", había una enorme cantidad de código innecesario que realmente no estaba logrando nada. Los correos electrónicos relativamente simples, uno de los cuales no tenía enlaces en el cuerpo, podrían haberse enviado como texto en lugar de HTML. Si va a codificar HTML, aproveche las imágenes y otros elementos tradicionales asociados con el correo electrónico HTML porque eso es lo que espera el destinatario y lo que los filtros antispam analizan para medir las proporciones de texto a imagen.

Hacia dónde va el gobierno desde aquí

El gobierno del mañana debería tomar nota de las nuevas empresas y empresas de hoy que son pioneras en tecnologías y nuevos métodos de comunicación en Internet. A medida que nuestra sociedad se vuelve cada vez más compleja, la escala humana no puede seguir el ritmo del crecimiento de la población y las expectativas de los consumidores que evolucionan y se vuelven cada vez más complejas y tecnológicamente inteligentes.

No culpo a las agencias gubernamentales por no saber cuáles son los requisitos mínimos o las expectativas básicas de los consumidores cuando se trata de correo electrónico u otras formas de comunicación digital. Sin embargo, es importante que cualquiera que sea el mensaje que elija una agencia gubernamental, ya sea mediante una aplicación, correo electrónico o SMS, debe hacerse con cuidado y de acuerdo con las mejores prácticas de la industria para proteger a la agencia junto con usted y conmigo.

Para obtener más información sobre la autenticación de correo electrónico y las mejores prácticas, consulte nuestra Guía de entrega de correo electrónico de 2016 .