Chi legge le mail aziendali? La domanda sembra scontata, eppure è proprio lì che si nascondono alcune delle falle più gravi nella sicurezza dei dati. In molte aziende esistono caselle di posta “condivise”: info@, amministrazione@, commerciale@.

Caselle condivise: una porta aperta per le fughe di dati

Dietro quei nomi impersonali si muovono più mani, ognuna con la possibilità di aprire, inoltrare, salvare, cancellare. Un forward automatico impostato anni fa, un allegato girato con leggerezza, un documento spedito al destinatario sbagliato: ecco servita la fuga di dati. E quando si parla di dati aziendali, non si tratta di semplici distrazioni: basta una mail inviata fuori posto per generare un incidente di sicurezza, un obbligo di notifica al Garante, una sanzione e, soprattutto, un danno di immagine che resta.

Potrebbe interessarti > Errore umano e email ancora tra le prime cause di Data Breach

E non parliamo dei computer aperti in spazi più o meno vasti, dove tutti i colleghi girano, parlano, spettegolano e si salutano. I video della serie Camera Cafè, lo sappiamo, sono abbastanza realistici. In questa situazione, considerate anche leggerezza, distrazione e superficialità, tutti possono leggere tutto. Magari anche la mail di un collega o di un possibile candidato che scrive di una sua patologia che dovrebbe essere valutata solo dall’effettivo destinatario delle risorse umane e non, chissà, dalla contabilità.

Accanto a questa dimenticanza ce n’è un’altra, ancora più pericolosa: gli accessi degli ex dipendenti. L’azienda cambia, i ruoli si spostano, i contratti finiscono. Ma gli account restano attivi. È come lasciare la porta di casa aperta e le chiavi in mano a chi non ci abita più. Non occorre immaginare un ex collaboratore malintenzionato: basta la sua disattenzione, una password debole, un computer non aggiornato. Da quell’account dimenticato può passare un attacco informatico che nessuno aveva previsto.

Il nodo è sempre lo stesso: non la tecnologia, ma la mancanza di regole scritte e preventive. Nelle aziende italiane c’è la tendenza a improvvisare, a lasciare queste decisioni “agli informatici”, a pensare che tutto si sistemi da sé. Invece, senza policy chiare, la posta elettronica diventa un colabrodo e i sistemi un terreno fertile per incidenti che non hanno nulla di accidentale.

Potrebbe interessarti > Cultura della privacy. Le micro-violazioni quotidiane

Una policy efficace deve essere scritta, chiara e conosciuta da tutti. Bisogna stabilire con precisione chi può leggere quali caselle e con quale finalità. Bisogna stabilire che i forward automatici vanno autorizzati e verificati periodicamente, non lasciati a marcire come residui di organizzazioni passate. E, soprattutto, bisogna avere regole precise per la chiusura degli account: il giorno stesso in cui un dipendente lascia l’azienda, il suo accesso deve essere disattivato. Non “fra qualche giorno”, non “poi ci pensiamo”. Subito.

La sicurezza non è un optional

È qui che entra in gioco il vero vademecum della sicurezza: non è una lista di buone intenzioni, ma un’abitudine. Si parte dal principio che ogni casella mail deve avere un responsabile identificato. Si prosegue verificando che ogni regola di inoltro sia giustificata, aggiornata e autorizzata. Si conclude ricordando che gli account non sono eterni: hanno una data di nascita e devono avere anche una data di chiusura. Non c’è nulla di complicato, è una questione di disciplina.

La sicurezza non si costruisce dopo un incidente, ma prima. È come la serratura di una porta: serve quando funziona, non quando si scopre che è rimasta aperta. Un’azienda che non sa chi legge le proprie mail o che lascia attivi gli account degli ex dipendenti non ha semplicemente un problema tecnico: ha un problema culturale, di organizzazione e di responsabilità.

E siccome nel mondo digitale la memoria è corta, ricordiamoci che ogni dimenticanza costa. A volte in sanzioni, a volte in reputazione, a volte in contratti persi. Prevenire non è uno slogan: è l’unico modo per non scoprire, troppo tardi, che qualcuno stava leggendo le nostre mail da mesi o che una chiave lasciata in tasca a chi non lavora più da noi è diventata l’accesso principale di un attacco informatico.