Usare la mail personale per scopi lavorativi? Niente di più sbagliato. Nei giorni in cui infiamma ancora la polemica sull’utilizzo da parte di Hillary Clinton, attualmente in corsa a presidente degli Stati Uniti, di un indirizzo di posta elettronica privato per comunicazioni ufficiali ai tempi del suo incarico al dipartimento di Stato americano, la società Barracuda Networks mette in guardia le aziende: lasciare che dipendenti e consulenti esterni utilizzino mail personali può essere un grosso problema per l’azienda. Ma quali sono i rischi in cui può incorrere un’impresa? La società specializzata in soluzioni storage e sicurezza in ambienti cloud, ne ha individuati sette:
1. Gli account personali non sono controllati dal dipartimento IT dell’azienda di riferimento. Non sono soggetti a backup, archiviazione, sicurezza o governance, quindi utilizzarli per motivi di lavoro è una chiara violazione delle normative di conformità.
2. Le e-mail personali non vengono memorizzate sui server aziendali generando rischi legali per l’organizzazione. Consentire ai dipendenti l’utilizzo del proprio indirizzo di posta elettronica in affari equivale a memorizzare informazioni aziendali su server al di fuori del controllo dell’impresa e collocati in qualsiasi parte del mondo, perciò impossibili da tracciare.
3. Le e-mail personali non sono coperte dalle politiche di sicurezza dell’azienda. Un dipendente può aver accettato termini e condizioni di un provider di posta elettronica che consente ricerche di contenuti nelle e-mail anche se il suo datore di lavoro non l’ha fatto. Basta così premere il tasto invio da un indirizzo privato per bypassare tutte le policy aziendali sulla privacy dei dati. Consentire ai dipendenti di utilizzare la posta elettronica personale per lavoro significa, inoltre, correre il pericolo di un furto d’indirizzo IP. Ne conseguono una violazione della privacy della società e dei clienti e una messa a rischio delle operazioni di rete, a causa di exploit che possono essere implementati su computer non protetti dalle politiche di sicurezza aziendali.
4. Comprendere i rischi e le implicazioni dell’utilizzo di account personali per le imprese non è sempre semplice finché non si conducono indagini per reperire e recuperare le informazioni rilevanti all’interno degli account personali. Questa ricerca non è sempre agevole dato che le e-mail individuali tendono a esulare dalle procedure legali standard. Alcuni provider vietano la scansione esterna della posta degli utenti, pertanto l’azienda è tenuta a chiedere all’utente stesso di eseguirla da solo, correndo comunque il rischio di sanzioni per non aver rispettato le normative in vigore. Anche se un dipendente ha utilizzato un indirizzo personale per inviare e-mail di lavoro con un device aziendale, non significa necessariamente che l’organizzazione abbia il diritto di analizzare e copiare sui server aziendali i suoi messaggi.
5. L’utilizzo dell’email personale compromette i segreti aziendali e potenzialmente espone la corrispondenza della società alla ricerca e all’estrazione incontrollata di dati da parte di agenzie di sicurezza autorizzate. Per esempio, secondo il Foreign Intelligence Surveillance Act in vigore negli Stati Uniti, la Nsa può registrare i dati di entrambi gli endpoint di una conversazione e-mail se uno di questi coopera con le sue procedure. I grandi provider di posta elettronica personale lo fanno e quindi permettono di eseguire la scansione e la memorizzare di qualsiasi e-mail sui server dell’Agenzia per la Sicurezza Nazionale Americana. Ciò significa che chiunque riceva una e-mail da questi account possa essere sorvegliato, pur non avendo accettato Termini e Condizioni del fornitore. Così, se il dipendente utilizza la posta elettronica personale per inviare un progetto a un cliente, il cliente perde inconsapevolmente la propria privacy. Basta pensare al caso WikiLeaks per capire come la mancanza di sicurezza nell’ambito della raccolta dei dati abbia messo in difficoltà interi governi, figuriamoci se le imprese possono aspettarsi maggiori tutele per sé o i propri clienti
6. Altro problema è rappresentato dalla continuità. Se il dipendente lascia l’azienda, le e-mail gestite dal suo indirizzo personale e le informazioni aziendali correlate se ne vanno con lui. Se poi ha utilizzato questo account per impostare azioni aziendali critiche come l’acquisto di un dominio o di un servizio di rete, la sua assenza rischia di impattare sulla capacità di fare affari di tutta l’azienda.
7. Infine la credibilità. Gli indirizzi e-mail personali, magari anche un po’ originali nel testo, non aiutano certo l’immagine di un’azienda.
COSA FARE. Come evitare che si ricorra alle e-mail personali? Prima di tutto impostando politiche di sicurezza molto severe e motivandole. Questo non sempre basta, anzi tende a incontrare una certa resistenza da parte del personale. Una soluzione utile è semplificare l’accesso alle e-mail aziendali dei dipendenti attraverso i loro device personali. Lo stesso vale per i consulenti esterni e i collaboratori che è bene dotare di un indirizzo corporate.
© Riproduzione riservata
