In questo ultimo anno, complice lo smart working massivo, abbiamo assistito ad una forte accelerazione nell’utilizzo di dispositivi mobili e comunicazioni esterne al perimetro aziendale e professionale: il loro utilizzo consapevole è però fondamentale quando comporta il trasferimento di informazioni, con un giusto equilibrio tra IT Security e conformità legale (GDPR e Statuto dei lavoratori), anche in ottica privacy. Ecco dunque alcuni suggerimenti operativi per imprese e professionisti per mettere in sicurezza messaggistica ed email oltre che per i sistemi di gestione dei device mobili, che si radicano nella predisposizione a monte di istruzioni e politiche interne, redatte in modo chiaro e comprensibile, affinché tutti coloro interagiscono con le informazioni di business si rendano consapevoli e soprattutto responsabili. Anche perchè si parte sempre dal presupposto che:
- il fattore umano (malevolo, negligente o solo inconsapevole) è spesso l’elemento debole del sistema di sicurezza;
- un sistema, soprattutto se connesso a Internet, non è mai sicuro al 100%, le tecnologie sono in continua evoluzione e questo comporta sempre nuove vulnerabilità.
Sistemi di messaggistica
Negli ultimi anni si è assistito al proliferare di programmi di messaggistica non solo per le comunicazioni private ma anche per intrattenere un dialogo con clienti, dipendenti e partner commerciali. Sono però noti i dubbi e gli interventi da parte del Garante Privacy in merito al corretto trattamento dei dati svolto da Facebook tramite l’applicazione Whatsapp. In questi ultimi mesi sta prendendo piede anche l’applicazione Telegram, tuttavia quel che ad oggi sembra lo strumento più sicuro ed in linea con il GDPR sembra essere Signal, app sviluppata da un’organizzazione non profit che, salvo il numero di telefono, non conserva altri dati e utilizza un sistema di criptazione forte per le comunicazioni, anche per le web conference o i gruppi chat.
V’è tuttavia da suggerire di ridurre al minimo, comunque, l’utilizzo di tali strumenti ai fini della trasmissione di informazioni, documenti, immagini, video o altro per ragioni di lavoro, soprattutto se tali comunicazioni coinvolgono dati personali, dati di categorie particolari di dati, dati giudiziari. Ricordiamo infatti che lo smartphone non è nato come un dispositivo di sicurezza e implica di per sé stesso un livello di rischio medio-alto (non soltanto può essere compromesso da una qualche applicazione terza a cui non si è fatto attenzione nell’installarla, ma può essere sottratto, alterato, perso, ecc.).
Sistemi di mail sicura
Quando si devono inviare informazioni confidenziali e riservate è opportuno utilizzare lo strumento della email. In condizioni aziendali o professionali non particolarmente articolate ci sono alcuni software che possono essere utilizzati per garantire la sicurezza delle comunicazioni. Per esempio, nel caso in cui si utilizzi lo strumento web di Gmail è possibile applicarvi un’estensione (Mailvelope) che, una volta autorizzata, permetterà di inviare messaggi (e allegati) criptati a chi possiede la chiave pubblica per decifrare la comunicazione.
Anche l’applicazione Fairmail è particolarmente utile, anche nel caso si possiedano account Google. È un software di gestione posta, soprattutto per smartphone, che tiene in considerazione sicurezza e privacy con:
- riformattazione automatica dei messaggi per prevenire le pratiche di phishing;
- richiesta di conferma per la visualizzazione delle immagini nei testi dei messaggi o per l’apertura dei link
- riconoscimento e disattivazione dei meccanismi di tracking nelle email.
Tra l’altro, utilizzato insieme a OpenKeychain (software gratuito per creare le coppie di chiavi crittografiche pubblica/privata) può inviare e ricevere (anche da e per Mailvelope) email criptate.
=> Protezione aziendale e minacce informatiche: occhio ai dipendenti
Il Mobile Device Managment
Concludiamo questa breve disamina di suggerimenti prendono in considerazione una situazione aziendale di una certa complessità. In questo caso, pur se quanto indicato sin ora risulta senz’altro applicabile, potrebbe essere opportuno adottare soluzioni più strutturate, eventualmente a pagamento. In particolare, ci soffermiamo sull’utilizzo e i rischi connessi ai sistemi mobile (smartphone, tablet, notebook), che presentano maggiori rischi di violazione. Per minimizzare i problemi che potrebbero sorgere è consigliabile adottare un sistema di Mobile Device Management, ossia un insieme di applicazioni, certificati aziendali e infrastruttura di back-end a supporto per la gestione dei dispositivi mobili. Si tratta, sostanzialmente, di un software integrato che prevede una serie di funzionalità per la sicurezza dello strumento:
- utilizzo di VPN (Virtual Private Network);
- cancellazione remota dei dati aziendali o dell’intero dispositivo (in caso di perdita o furto);
- l’utilizzo di un browser predefinito per la navigazione Internet;
- la gestione delle autorizzazioni inerenti al download delle sole applicazioni consentite;
- policy di utilizzo e condivisione dati;
- interventi e patch e di sicurezza da remoto.
Ovviamente, l’adozione di un sistema del genere deve essere fatto nel pieno rispetto delle normative in tema di controllo a distanza dei lavoratori e in tema di trattamento dei dati personali. Ricordiamo infatti che nel primo caso trova applicazione l’art. 4 dello Statuto dei lavoratori e, d’altra parte, ai sensi dell’articolo 88 del GDPR, il datore di lavoro deve garantire il rispetto dei diritti fondamentali all’interno di un rapporto di lavoro. Tuttavia, sistemati adeguatamente questi aspetti giuridico-gestionali (adozione di accordi, anche sindacali, procedure, policy ed istruzioni intere), si avrà un sistema che permette, grazie anche alla possibilità di intervenire in modo tempestivo in caso di necessità, un adeguato grado di sicurezza anche in un’ottica di rispetto del principio di accountability imposto dal GDPR.
Sono programmi il cui utilizzo è abbastanza facile ed intuitivo. Probabilmente l’aspetto più difficile è quello di educare e disciplinare dipendenti, clienti e partner ad utilizzare questi sistemi. Una sicurezza consapevole e diffusa è una tutela per tutti ed è anche per questo motivo che l’adeguata formazione su questi aspetti è elemento centrale anche del GDPR che espressamente la richiama all’art. 32.