Quante volte ci siamo chiesti: “Quand’è opportuno utilizzare la mail personale per scopi lavorativi?”. Secondo Barracuda Networks, fornitore leader di soluzioni di storage e sicurezza in ambienti cloud, la risposta più giusta a questa domanda è MAI, ma spesso i proprietari delle aziende, i dipendenti fuori sede e i consulenti esterni tendono a farlo, senza pensare ai pericoli che l’impresa corre in questi casi. Eccoli:
- Gli account personali non sono controllati dal dipartimento IT dell’azienda di riferimento. Non sono soggetti a backup, archiviazione, sicurezza o governance, quindi utilizzarli per motivi di lavoro è una chiara violazione delle normative di conformità.
- Le e-mail personali non vengono memorizzate sui server aziendali generando rischi legali per l’organizzazione. Consentire ai dipendenti l’utilizzo del proprio indirizzo di posta elettronica in affari equivale a memorizzare informazioni aziendali su server al di fuori del controllo dell’impresa e collocati in qualsiasi parte del mondo, perciò impossibili da tracciare.
- Le e-mail personali non sono coperte dalle politiche di sicurezza dell’azienda. Un dipendente può aver accettato termini e condizioni di un provider di posta elettronica che consente ricerche di contenuti nelle e-mail anche se il suo datore di lavoro non l’ha fatto. Basta così premere il tasto invio da un indirizzo privato per bypassare tutte le policy aziendali sulla privacy dei dati. Consentire ai dipendenti di utilizzare la posta elettronica personale per lavoro significa, inoltre, correre il pericolo di un furto d’indirizzo IP. Ne conseguono una violazione della privacy della società e dei clienti e una messa a rischio delle operazioni di rete, a causa di exploit che possono essere implementati su computer non protetti dalle politiche di sicurezza aziendali.
- Comprendere i rischi e le implicazioni dell’utilizzo di account personali per le imprese non è sempre semplice finché non si conducono indagini per reperire e recuperare le informazioni rilevanti all’interno degli account personali. Questa ricerca non è sempre agevole dato che le e-mail individuali tendono a esulare dalle procedure legali standard. Alcuni provider vietano la scansione esterna della posta degli utenti, pertanto l’azienda è tenuta a chiedere all’utente stesso di eseguirla da solo, correndo comunque il rischio di sanzioni per non aver rispettato le normative in vigore. Anche se un dipendente ha utilizzato un indirizzo personale per inviare e-mail di lavoro con un device aziendale, non significa necessariamente che l’organizzazione abbia il diritto di analizzare e copiare sui server aziendali i suoi messaggi.
- L’utilizzo dell’email personale compromette i segreti aziendali e potenzialmente espone la corrispondenza della società alla ricerca e all’estrazione incontrollata di dati da parte di agenzie di sicurezza autorizzate. Per esempio, secondo il Foreign Intelligence Surveillance Act in vigore negli Stati Uniti, la NSA può registrare i dati di entrambi gli endpoint di una conversazione e-mail se uno di questi coopera con le sue procedure. I grandi provider di posta elettronica personale lo fanno e quindi permettono di eseguire la scansione e la memorizzare di qualsiasi e-mail sui server dell’Agenzia per la Sicurezza Nazionale Americana. Ciò significa che chiunque riceva una e-mail da questi account possa essere sorvegliato, pur non avendo accettato Termini e Condizioni del fornitore. Così, se il dipendente utilizza la posta elettronica personale per inviare un progetto a un cliente, il cliente perde inconsapevolmente la propria privacy. Basta pensare al caso WikiLeaks per capire come la mancanza di sicurezza nell’ambito della raccolta dei dati abbia messo in difficoltà interi governi, figuriamoci se le imprese possono aspettarsi maggiori tutele per sé o i propri clienti
- Altro problema è rappresentato dalla continuità. Se il dipendente lascia l’azienda, le e-mail gestite dal suo indirizzo personale e le informazioni aziendali correlate se ne vanno con lui. Se poi ha utilizzato questo account per impostare azioni aziendali critiche come l’acquisto di un dominio o di un servizio di rete, la sua assenza rischia di impattare sulla capacità di fare affari di tutta l’azienda.
- Infine la credibilità. Gli indirizzi e-mail personali, magari anche un po’ originali nel testo, non aiutano certo l’immagine di un’azienda.
E allora come evitare che si ricorra alle e-mail personali?
Prima di tutto impostando politiche di sicurezza molto severe e motivandole. Questo non sempre basta, anzi tende a incontrare una certa resistenza da parte del personale. Una soluzione utile è semplificare l’accesso alle e-mail aziendali dei dipendenti attraverso i loro device personali. Lo stesso vale per i consulenti esterni e i collaboratori che è bene dotare di un indirizzo corporate. In conclusione, i dipartimenti IT delle aziende devono assumere un atteggiamento al contempo proattivo e severo per mantenere il controllo e la visibilità sui messaggi di posta elettronica mandati per ragioni di business.