E-mail base della sicurezza aziendale

Sicurezza

Per garantire la sicurezza aziendale occorre una corretta strategia che tenga
conto della tutela sia della segretezza sia della comunicazione

Ancora una volta parlando della sicurezza aziendale verrebbe da dire: nonsoloposta. Effettivamente i canali e le abitudini quotidiane dei dipendenti in grado d’impensierire i responsabili della sicurezza aziendale non si limitano all’uso della posta elettronica ma spaziano dall’utilizzo di siti P2p a quello dei messanger. Quindi, accanto all’utilizzo lecito dell’e-mail per scopi lavorativi si stanno sempre più diffondendo pratiche di impiego dannose per l’azienda. Programmi scaricati da Internet, apertura di allegati e-mail indesiderati, scambi di programmi, partecipazioni incaute a sessioni di instant messaging e trascuratezza nella gestione delle password e della protezione anti-virus sono tutti fattori che contribuiscono a mettere a repentaglio la sicurezza delle reti. In particolare la posta, rappresenta lo strumento più utilizzato in azienda e oltre all’account ufficiale fornito dal datore di lavoro i dipendenti affiancano spesso quello personale utilizzato via Internet. Oltre ai rischi legati alla diffusione di dati strategici legati all’azienda, si raddoppiano quelli normalmente legati all’utilizzo quotidiano della posta elettronica, in quanto gli account personali utilizzati tramite Internet scavalcano in un certo senso i controlli e i filtri predisposti dai responsabili It.

Contromisure basilari

Un primo passo da compiere è sicuramente quello di aumentare il grado di consapevolezza presso i propri dipendenti relativamente ai pericoli insiti per il sistema informativo aziendale, in ogni contenuto letto, inviato o ricevuto via Internet. Da una recente ricerca Idc sui principali rischi It emerge che uno dei pericoli più temuti dalle aziende italiane (per il 73% degli intervistati) riguarda il rischio derivante dall’introduzione di virus nella rete aziendale, il cui veicolo di propagazione maggiore è come noto, la posta elettronica. I rischi potenziali di una scorretta gestione sono molteplici: dall’appropriazione o manipolazione di informazioni allo sfruttamento del sistema finalizzato alla propagazione di un attacco di tipo DoS che rende l’azienda perseguibile legalmente per danni. I problemi di sicurezza legati alla posta elettronica aziendali sono comunque molteplici e non si limitano alla possibile introduzione di un virus a causa dell’inopportuna apertura di un allegato sconosciuto. I messaggi inviati dai dipendenti potrebbero infatti contenere dati sensibili legati all’azienda che se intercettati potrebbero tradursi in perdita di competitività o in un danno economico. Per questo motivo è attualmente accesa la battaglia sulla legittimità da parte del datore di lavoro d’intercettare e analizzare il contenuto dei messaggi e-mail dei dipendenti inviati attraverso il sistema di posta elettronica aziendale. I messaggi inviati e ricevuti dal dipendente sono, salvo casi particolari, nella disponibilità dell’azienda, e quindi tecnicamente potrebbero essere intercettati e letti anche prima che il dipendente li riceva. I principi contenuti nell’art. 15 della Costituzione nel quale si afferma l’inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione, la legge n. 547 del 1997 sui reati informatici e il Dpr n. 513 del 1997 sul documento elettronico, formano il background legislativo più importante in materia; tuttavia stabilire inequivocabilmente quale utilizzo può essere fatto dall’azienda di questi messaggi è ancora, e almeno in Italia, una questione alquanto dibattuta. Negli Stati Uniti invece, l’analisi della posta dei dipendenti da parte del datore di lavoro sta quasi diventando prassi comune. Lo strumento della posta elettronica crea quindi notevoli problematiche dovute al fatto che l’azienda deve contemporaneamente garantire la privacy dell’utente e tutelarsi da un’eventuale uso improprio degli strumenti di comunicazione. Con la posta elettronica il problema della privacy acquista un’importanza ancora più grande, in quanto tecnologia sempre più diffusa, alla quale spesso si affidano notizie riservate ovvero comunicazioni personali e confidenze intime. Tuttavia in linea generale ?Soluzioni di firma digitale, crittografia e strong authentication con l’utilizzo di device quali smart card, token, telefoni Gsm, nonché soluzioni di log certificati dei file di posta aziendale potrebbero essere in grado di tutelare l’utente e l’azienda da eventi di uso illecito/improprio dello strumento, anche in termini di garanzie dell’identità di tutti gli attori (utenti, amministratori, auditor, ecc.) e della tracciabilità e non ripudiabilità degli eventi.

Metodi d’intercettazione delle e-mail

Bisogna valutare se un eventuale utilizzo dei sistemi di crittografia applicati alle mail personali in uscita è un comportamento ammissibile. Ma come è possibile sia a livello aziendale, sia da parte di malintenzionati intercettare ed esaminare le mail inviate e ricevute dai dipendenti? Il metodo più semplice per leggere le e-mail di qualcuno è quello di approfittare delle copie di mail residenti sul computer del mittente o del destinatario. Diversamente le e-mail potrebbero essere intercettate mentre sono in viaggio verso una destinazione. Il viaggio di una e-mail si compone tipicamente di tre tappe principali: dal computer del mittente al server del suo provider; dal server del provider del mittente al server del provider del destinatario; e infine dal server del provider del destinarlo al computer del destinatario. Un altro metodo per intercettare un e-mail in viaggio è di procurarsi un accesso ad uno dei server (del provider del mittente o del destinatario) e installarvi un programma che intercetti le e-mail mentre sono temporaneamente memorizzate sull’hard disk del server. Ancora, i messaggi in transito possono essere intercettati con programmi cosiddetti packet sniffer che, installati su un computer connesso alla rete sul quale le e-mail transitano, sono in grado di selezionare e riordinare i pacchetti di dati che formano i messaggi e-mail in transito su quella porzione di rete. Infine, gli stessi amministratori della rete aziendale e i responsabili It in possesso delle password aziendali e dei diritti di administrator possono accedere direttamente ai messaggi e-mail aziendali. Per riassumere, l’e-mail ha caratteristiche comuni ad altre forme di comunicazione. La comunicazione avviene in tre distinte fasi: emissione, transito e ricezione. Ci sono quindi diverse possibilità che uno dei passaggi chiave sia compromesso. Per quanto riguarda le intercettazioni della posta da parte del datore di lavoro, secondo uno studio pubblicato dall’American Management Association le società che svolgerebbero un controllo attivo dei propri dipendenti sarebbe passato dal 45% del 1998 al 75% del 1999, mentre il controllo effettuato sull’invio/ricezione delle mail riguarderebbe quasi la metà delle aziende. In un altro studio pubblicato dalla Privacy Foundation emerge che un terzo dei dipendenti statunitensi (circa 14 milioni di persone) che utilizzano computer e internet per lavoro sarebbe monitorato, spiato, indagato dai propri superiori, dato questo che supera di gran lunga quello di tutti gli altri paesi occidentali. D’altra parte viene anche sottolineato che questa tendenza trova terreno fertile nella legislazione statunitense che consente al datore di lavoro, salvo non sia espressamente indicato il contrario, di controllare tutte le attività del lavoratore. Anche in Italia sebbene sia ancora piuttosto complicato reperire dati precisi e aggiornati, il problema è in costante crescita.

Conclusioni

Insomma, il vero tallone d’Achille di ogni azienda moderna è costituito dalle e-mail. Da una parte i messaggi di posta elettronica rappresentano uno degli strumenti di lavoro fondamentali in grado di comunicare con fornitori, clienti e partner, dall’altra costituiscono una possibile via di entrata per trojan, virus e worm. Inoltre, le mail elettroniche non rappresentano un rischio per l’azienda solo in termini di virus & C, infatti un loro utilizzo scorretto da parte dei dipendenti potrebbe esporre l’azienda a gravissimi rischi d’immagine. Il dilemma di non ?tarpare’ eccessivamente uno strumento di lavoro indispensabile senza compromettere eccessivamente la sicurezza aziendale resta uno dei problemi principali di ogni responsabile It. Sicuramente una doverosa e corretta formazione dei dipendenti può contribuire a limitare significativamente i rischi di sicurezza legati all’utilizzo delle e-mail. In ogni caso l’educazione dei dipendenti da sola non basta a eliminare tutti i problemi legati alle e-mail aziendali. Resta infatti lo spinoso problema dell’utilizzo privato da parte del dipendent di uno strumento appartenente all’azienda. In questo caso il datore di lavoro, così come sembra avvenga normalmente negli Stati Uniti, potrebbe intercettare le e-mail dei dipendenti. In questo caso, e almeno in Italia, il problema è ancora ampiamente dibattuto e controverso. Forse, per risolvere definitivamente il problema servirebbe uno sforzo in più da parte delle Istituzioni in generale e del Garante Privacy in particolare, con la definizione precisa e definitiva di diritti e doveri.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore