Mandare e-mail aziendali da indirizzi di posta privata è una delle trappole più comuni in cui si incappa tutti i giorni, mettendo a rischio sicurezza dei dati, privacy e conformità alla normativa. Eppure spesso non ci si pensa, complici la fretta e un accesso non sempre facile all’account dell’ufficio dai device personali che, d’altronde, sono gli strumenti con cui siamo sempre connessi e reperibili (3 lavoratori su 4, secondo una ricerca Nielsen-Microsoft).
In particolare, il 61% si sente più produttivo a usare il Mobile anche per motivi lavorativi perché riesce a ottimizzare i tempi di trasferimento; oltre la metà tiene così tutto sotto controllo, lavoro e vita privata, e il 42% recupera in tempo reale le informazioni che gli servono, ovunque si trovi.
Ma queste nuove abitudini rese possibili dalla rivoluzione digitale diventano pericolose e incaute, se si trasmettono informazioni di lavoro da account non protetti e non sottoposti alle procedure di sicurezza, con il rischio di implicazioni sia legali sia sul business. Barracuda Networks, fornitore leader di soluzioni di storage e sicurezza in ambienti Cloud, ha evidenziato i rischi principali, evitabili applicando politiche di sicurezza severe che però vanno motivate e fatte comprendere mentre, in genere, c’è ancora una certa resistenza.
Una soluzione utile e pratica è poi quella di semplificare l’accesso alle e-mail aziendali attraverso device personali e prevedere un indirizzo corporate anche per i consulenti esterni e i collaboratori, a rischio di attacchi e visibilità dei dati. In conclusione, per Barracuda i dipartimenti IT delle aziende dovrebbero assumere un atteggiamento al contempo proattivo e severo per mantenere il controllo totale sui flussi informativi che passano attraverso la posta elettronica.
I 7 rischi se si usano per lavoro indirizzi di posta privati
1. Gli account personali non sono controllati dal dipartimento IT dell’azienda di riferimento. Non sono soggetti a backup, archiviazione, sicurezza o governance, quindi utilizzarli per motivi di lavoro è una chiara violazione delle normative di conformità.
2. Le e-mail personali non vengono memorizzate sui server aziendali generando rischi legali per l’organizzazione. Consentire ai dipendenti l’utilizzo del proprio indirizzo di posta elettronica equivale a memorizzare informazioni aziendali su server al di fuori del controllo dell’impresa e collocati in qualsiasi parte del mondo, perciò impossibili da tracciare.
3. Le e-mail personali non sono coperte dalle politiche di sicurezza dell’azienda. Un dipendente può aver accettato termini e condizioni di un provider di posta elettronica che consente ricerche di contenuti nelle e-mail anche se il suo datore di lavoro non l’ha fatto. Basta così premere il tasto invio da un indirizzo privato per bypassare tutte le policy aziendali sulla privacy dei dati. Consentire ai dipendenti di utilizzare la posta elettronica personale per lavoro significa, inoltre, correre il pericolo di un furto d’indirizzo IP. Ne conseguono una violazione della privacy della società e dei clienti e una messa a rischio delle operazioni di rete.
4. Comprendere i rischi e le implicazioni dell’utilizzo di account personali per le imprese non è sempre semplice, finché non si conducono indagini per reperire e recuperare le informazioni rilevanti all’interno degli account personali. Questa ricerca non è sempre agevole dato che le e-mail individuali tendono a esulare dalle procedure legali standard. Alcuni provider vietano la scansione esterna della posta degli utenti, pertanto l’azienda è tenuta a chiedere all’utente stesso di eseguirla da solo, correndo comunque il rischio di sanzioni per non aver rispettato le normative in vigore. Anche se un dipendente ha utilizzato un indirizzo personale per inviare e-mail di lavoro con un device aziendale, non significa necessariamente che l’organizzazione abbia il diritto di analizzare e copiare sui server aziendali i suoi messaggi.
5. L’utilizzo dell’email personale compromette i segreti aziendali e potenzialmente espone la corrispondenza della società alla ricerca e all’estrazione incontrollata di dati da parte di agenzie di sicurezza autorizzate. Per esempio, secondo il Foreign Intelligence Surveillance Act in vigore negli Stati Uniti, la NSA può registrare i dati di entrambi gli endpoint di una conversazione e-mail se uno di questi coopera con le sue procedure. I grandi provider di posta elettronica personale lo fanno e quindi permettono di eseguire la scansione e la memorizzazione di qualsiasi e-mail sui server dell’Agenzia per la Sicurezza Nazionale Americana. Ciò significa che chiunque riceva una e-mail da questi account possa essere sorvegliato, pur non avendo accettato Termini e Condizioni del fornitore. Così, se il dipendente utilizza la posta elettronica personale per inviare un progetto a un cliente, il cliente perde inconsapevolmente la propria privacy. Basta pensare al caso WikiLeaks per capire come la mancanza di sicurezza nell’ambito della raccolta dei dati abbia messo in difficoltà interi governi, figuriamoci se le imprese possono aspettarsi maggiori tutele per sé o i propri clienti.
6. Altro problema è rappresentato dalla continuità. Se il dipendente lascia l’azienda, le e-mail gestite dal suo indirizzo personale e le informazioni aziendali correlate non restano patrimonio aziendale. Se poi ha utilizzato questo account per impostare azioni aziendali critiche come l’acquisto di un dominio o di un servizio di rete, la sua assenza rischia di impattare sulla capacità di fare affari di tutta l’azienda.
7. Infine la credibilità. Gli indirizzi e-mail personali, magari anche un po’ originali nel testo, non aiutano certo l’immagine di un’azienda.
