Mail personale al lavoro? I sette rischi per le imprese

I dipartimenti IT delle aziende devono assumere un atteggiamento al contempo proattivo e severo per mantenere il controllo e la visibilità sui messaggi di posta elettronica mandati per ragioni di business

La vicenda delle mail di Hilary Clinton, che rischiano di comprometterne la candidatura alle elezioni USA, ha riportato alla luce una tematica quantomai di attualità. Quante volte ci siamo chiesti: "Quand'è opportuno utilizzare la mail personale per scopi lavorativi?". Secondo Barracuda Networks, fornitore leader di soluzioni di storage e sicurezza in ambienti cloud, la risposta più giusta a questa domanda è MAI, ma spesso i proprietari delle aziende, i dipendenti fuori sede e i consulenti esterni tendono a farlo, senza pensare ai pericoli che l'impresa corre in questi casi. Eccoli:
1. Gli account personali non sono controllati dal dipartimento IT dell'azienda di riferimento. Non sono soggetti a backup, archiviazione, sicurezza o governance, quindi utilizzarli per motivi di lavoro è una chiara violazione delle normative di conformità.
2. Le email personali non vengono memorizzate sui server aziendali generando rischi legali per l'organizzazione. Consentire ai dipendenti l'utilizzo del proprio indirizzo di posta elettronica in affari equivale a memorizzare informazioni aziendali su server al di fuori del controllo dell'impresa e collocati in qualsiasi parte del mondo, perciò impossibili da tracciare.

3. Le email personali non sono coperte dalle politiche di sicurezza dell'azienda. Un dipendente può aver accettato termini e condizioni di un provider di posta elettronica che consente ricerche di contenuti nelle email anche se il suo datore di lavoro non l'ha fatto. Basta così premere il tasto invio da un indirizzo privato per bypassare tutte le policy aziendali sulla privacy dei dati. Consentire ai dipendenti di utilizzare la posta elettronica personale per lavoro significa, inoltre, correre il pericolo di un furto d'indirizzo IP. Ne conseguono una violazione della privacy della società e dei clienti e una messa a rischio delle operazioni di rete, a causa di exploit che possono essere implementati su computer non protetti dalle politiche di sicurezza aziendali.
4. Comprendere i rischi e le implicazioni dell'utilizzo di account personali per le imprese non è sempre semplice finché non si conducono indagini per reperire e recuperare le informazioni rilevanti all'interno degli account personali. Questa ricerca non è sempre agevole dato che le email individuali tendono a esulare dalle procedure legali standard. Alcuni provider vietano la scansione esterna della posta degli utenti, pertanto l'azienda è tenuta a chiedere all'utente stesso di eseguirla da solo, correndo comunque il rischio di sanzioni per non aver rispettato le normative in vigore.

Anche se un dipendente ha utilizzato un indirizzo personale per inviare email di lavoro con un device aziendale, non significa necessariamente che l'organizzazione abbia il diritto di analizzare e copiare sui server aziendali i suoi messaggi.
5. L'utilizzo dell'email personale compromette i segreti aziendali e potenzialmente espone la corrispondenza della società alla ricerca e all'estrazione incontrollata di dati da parte di agenzie di sicurezza autorizzate. Per esempio, secondo il Foreign Intelligence Surveillance Act in vigore negli Stati Uniti, la NSA può registrare i dati di entrambi gli endpoint di una conversazione email se uno di questi coopera con le sue procedure. I grandi provider di posta elettronica personale lo fanno e quindi permettono di eseguire la scansione e la memorizzare di qualsiasi email sui server dell'Agenzia per la Sicurezza Nazionale Americana. Ciò significa che chiunque riceva una email da questi account possa essere sorvegliato, pur non avendo accettato Termini e Condizioni del fornitore. Così, se il dipendente utilizza la posta elettronica personale per inviare un progetto a un cliente, il cliente perde inconsapevolmente la propria privacy.

Basta pensare al caso WikiLeaks per capire come la mancanza di sicurezza nell'ambito della raccolta dei dati abbia messo in difficoltà interi governi, figuriamoci se le imprese possono aspettarsi maggiori tutele per sé o i propri clienti
6. Altro problema è rappresentato dalla continuità. Se il dipendente lascia l'azienda, le email gestite dal suo indirizzo personale e le informazioni aziendali correlate se ne vanno con lui. Se poi ha utilizzato questo account per impostare azioni aziendali critiche come l'acquisto di un dominio o di un servizio di rete, la sua assenza rischia di impattare sulla capacità di fare affari di tutta l'azienda.
7. Infine la credibilità. Gli indirizzi email personali, magari anche un po' originali nel testo, non aiutano certo l'immagine di un'azienda.
E allora come evitare che si ricorra alle email personali?
Prima di tutto impostando politiche di sicurezza molto severe e motivandole. Questo non sempre basta, anzi tende a incontrare una certa resistenza da parte del personale. Una soluzione utile è semplificare l'accesso alle email aziendali dei dipendenti attraverso i loro device personali.

Lo stesso vale per i consulenti esterni e i collaboratori che è bene dotare di un indirizzo corporate. In conclusione, i dipartimenti IT delle aziende devono assumere un atteggiamento al contempo proattivo e severo per mantenere il controllo e la visibilità sui messaggi di posta elettronica mandati per ragioni di business.