Il contesto economico e sociale moderno amplifica in misura consistente i rischi a cui sono esposte le aziende, soprattutto quando si fa riferimento alle comunicazioni riservate. In un mondo in cui il lavoro ibrido non è più l’eccezione ma pressoché la regola, con la collaborazione a distanza che sta diventando una costante, diventa fondamentale saper proteggere la comunicazione, sia interna che esterna: non è più unicamente un tema IT, ma una questione di governance. Le organizzazioni devono fare i conti con pericoli consistenti, determinati anche dal fatto che in molti casi file riservati vengono trasmessi tramite canali non riservati; che si tratti di documenti legali, di informazioni che contengono dati personali o di file dedicati a trattative strategiche, è in ogni caso essenziale saper prevenire conseguenze potenzialmente negative.
La strategia di data protection
Questo è il motivo per il quale, nello scenario di una strategia di data protection, occorre implementare sistemi per la trasmissione e la ricezione di email sicure, in linea con le peculiarità e i bisogni del business attuale. Non solo perché le aziende usano la posta elettronica come strumento prioritario per la propria attività, ma anche perché ognuno di noi ogni giorno ha a che fare con numerose mail di spam, non sempre facili da identificare in maniera immediata: ecco spiegata la ragione per la quale i messaggi di posta elettronica possono essere considerati un vettore significativo di violazioni di dati. A fronte di un volume di mail tanto elevato, i lavoratori non hanno a disposizione il tempo che sarebbe necessario per valutare l’affidabilità di ognuna di esse e trattarle in maniera appropriata. Parecchi attacchi di phishing hanno successo anche per questo, complice la diffusione della posta elettronica fondata sul cloud.
I servizi di e-mail encryption
Una delle risorse su cui le aziende possono fare affidamento per contrastare e prevenire i rischi è rappresentata dalla cifratura: i servizi di e-mail encryption sono garanzia di sicurezza e protezione poiché consentono di definire e stabilire chiavi di cifratura personali sui messaggi e – ovviamente – sui loro allegati: l’accesso, così, è permesso unicamente a coloro che sono in possesso di tali chiavi. Così, lo scambio di messaggi di posta elettronica che contengono informazioni riservate, tramite la cifratura end-to-end, è esente da rischi, in quanto unicamente i diretti interessati hanno la possibilità di accedere ai contenuti delle mail.
I pericoli
Boot malevoli, phishing, spam, server di posta elettronica vulnerabili, attacchi DDoS: sono numerose le minacce a cui si deve prestare attenzione. Le aziende B2B, per esempio, sono fortemente esposte agli attacchi DDoS ai server mail, in quanto la maggior parte delle loro vendite avviene proprio via posta elettronica, mentre le aziende B2C, che si servono del proprio sito web per generare vendite, devono far fronte agli attacchi DDoS ai server web. È chiaro che una lacuna nella sicurezza di un server mail è potenzialmente foriero di situazioni negative, poiché consentirebbe a eventuali malintenzionati di infettare con facilità i sistemi IT e di muoversi nella rete interna, accedendo a tutti i messaggi di posta elettronica.
Le tecnologie di riferimento
Sono molteplici le risorse tecnologiche su cui si può puntare per la sicurezza e la protezione delle mail. Si pensi, in particolare, all’implementazione dei protocolli SPF, DKIM e DMARC, per mezzo dei quali viene assicurata l’autenticità dei messaggi di posta elettronica, con una concreta riduzione del rischio di spoofing. Il protocollo DMARC, in particolare, si serve dell’allineamento dei domini al fine di verificare sia l’autorità che la legittimità dei messaggi inviati da un dominio. Detto della crittografia PGP, vale la pena di citare anche l’autenticazione a due o più fattori, che offre un livello di sicurezza in più, ostacolando l’accesso non autorizzato.
Gli strumenti per la protezione delle informazioni
La sicurezza delle informazioni è indispensabile per la competitività di un’azienda, e ciò spiega perché sia fondamentale proteggere i segreti aziendali. La formazione dei dipendenti prevede, a tal proposito, di sensibilizzare i lavoratori a proposito del valore della riservatezza e delle pratiche di sicurezza che è necessario attuare. Il controllo degli accessi presuppone una limitazione dell’accesso alle informazioni riservate, che deve essere consentito unicamente al personale autorizzato; le fughe di informazioni possono essere prevenute attraverso l’impiego di software di monitoraggio. Insomma, quel che occorre è un approccio integrato che contempli il ricorso a misure tecnologiche di protezione, che però da sole non sono sufficienti se non supportate da pratiche organizzative e strumenti giuridici. La salvaguardia delle informazioni strategiche limita la probabilità di perdere il know-how a favore di concorrenti disonesti e garantisce la longevità aziendale. Resta sottinteso che un dipendente che si renda protagonista di una violazione degli obblighi di riservatezza non solo può essere licenziato per giusta causa, ma può andare incontro a conseguenze sia penali che civili, venendo costretto a risarcire i danni eventualmente causati.