Soluzioni per la protezione delle informazioni
Stiamo progettando la famigerata “fase 2” relativa alle misure che è necessario intraprendere per reagire più attivamente all’emergenza epidemiologica e superarla. Stiamo pensando ad una stratificazione di interventi che consentano una sorta di “reazione sistemica al virus”, che in un primo momento – e forse neppure così con lungimiranza – ci aveva portato ad una chiusura totale e incondizionata.
E se è vero che è passata con lentezza esasperante la fase1, è altrettanto concreto il rischio che le esperienze trascorse non vengano capitalizzate e analizzate per produrre correttivi e soluzioni utili all’immediato futuro.
Una prima e importante questione si pone relativamente agli applicativi informatici di “prima necessità” che ci sono stati utili per rispondere alla smaterializzazione delle collaborazioni e dei team di lavoro: non è infatti un’eresia che la necessità di comunicare sia stato il bisogno primario delle aziende e delle loro risorse umane e che la risposta applicativa principale e di più largo uso sia stata, ahinoi, la posta elettronica.
Email non protette
La crisi epidemiologica ha colpito l’evoluzione degli strumenti di comunicazione proprio in un momento in cui la “crescita generazionale” degli applicativi era ancora ben lungi dall’essere completamente implementata.
Solo le aziende più strutturate e quelle che possono disporre di nozioni di information technology più evolute avevano iniziato la migrazione verso la seconda generazione della posta elettronica e ancor di meno quelle che, adottando politiche di “zero email”, avevano verticalizzato tutta la propria comunicazione verso strumenti di “collaboration”.
Quindi tutti, o quasi, colpiti all’improvviso dalla necessità di eseguire in remoto la propria collaborazione, hanno migrato in modo acritico la propria postazione di lavoro dall’ufficio alla scrivania, magari compiacendosi del non dover utilizzare minuti preziosi della propria vita su mezzi pubblici e godendo di qualche comodità ulteriore rispetto al proprio ufficio nel permettersi di leggere con più agio sul proprio divano la posta dei colleghi.
Pochi si sono accorti della differenza dell’utilizzo nella comunicazione, inviando la medesima posta da ufficio a ufficio – spesso a pochi metri – invece che da appartamento ad appartamento, distante anche qualche chilometro.
Pochi hanno pensato che i loro messaggi e relativi allegati non viaggiassero più attraverso potenti reti aziendali via cavo, protette da firewall dipartimentali e da connettività internet garantite da tunnel VPN, ma bensì semplicemente attraverso reti wireless, sistemi di encryption con configurazioni di base e originate direttamente dal provider, modem con connessioni dsl condivise con playstation network, netflix e sistemi di comunicazione dei familiari, intenti instancabilmente a sessioni “zoom” o “meet”.
La posta elettronica tradizionale, seppur obsoleta, viene ancora validamente utilizzata dalle aziende presso i propri siti perché protetta da sistemi di sicurezza esterni all’utilizzo degli applicativi stessi ma rimane comunque strumento intrinsecamente pericoloso se utilizzata al di fuori della lan aziendale e in modo indiscriminato.
L’evoluzione della posta pneumatica
Per spiegare la questione è forse utile una similitudine: l’utilizzo della posta elettronica è sviluppato dalla stragrande maggioranza delle aziende come una (fantastica) evoluzione tecnologica della vecchia “posta pneumatica” che collegava i vecchi uffici posta con tubi a pressione spinta e bussolotti che venivano utilizzati per smistare documenti e plichi.
La posta pneumatica, in astratto e per assurdo, avrebbe ancora senso, come la maggior parte dei comuni sistemi di posta elettronica aziendali, se non fosse che i bussolotti contenenti informazioni aziendali non hanno mai raggiunto altri siti aziendali o l’abitazione dei propri dipendenti.
Come i tubi a vuoto spinto, la posta elettronica tradizionale difetta di alcune caratteristiche che oggi sono fondamentali in uno strumento di comunicazione: la sicurezza, la razionalità dell’utilizzo, la certificazione intrinseca dei contenuti.
Si parta da un presupposto fondamentale: le nostre email contengono due tipi di informazioni: quelle riservate e quelle che sono utili ad un hacker per impadronirsi di quelle riservate.
Consegneremmo mai ad un bussolotto queste informazioni?
Valore e integrità dei dati aziendali
Per queste ragioni - e non solo - la nuova frontiera sono gli strumenti di collaboration, che consentono di poter gestire ogni tipo di informazione in modo più razionale e rapido, con una genetica capacità di gestire anche i documenti allegati (o meglio le sole informazioni contenenti quei documenti).
Molte aziende, da tempo, hanno attivato proprie policy di riduzione della posta tradizionale, ideando al proprio interno o adottandoli da produttori di mercato sistemi di comunicazione basati su framework peraltro di immediato utilizzo o portali di comunicazione molto simili a quelli che vengono utilizzati su piattaforme commerciali come whatsapp, wechat o telegram.
Gli strumenti di collaboration consentono la sicurezza dei dati che certamente la posta non può garantire oltre che la drastica diminuzione delle brecce cagionate dai così detti malware.
Punti fondamentali di questa evoluzione sono:
- La capacità di trasmettere i dati in forma crittografata. Questo permette di garantire che persone o entità non coinvolte nel dialogo siano in grado di venire a conoscenza del contenuto. Tipicamente chi cerca di trafugare le comunicazioni lo fa con uno scopo malevolo. Questo può essere di ordine strategico (per conoscere o anticipare le mosse della concorrenza), di tipo economico (per trafugare denaro o creare difficoltà finanziarie), di tipo relazionale (per “rubare” risorse valide ad aziende concorrenti) e anche di tipo personale (furto di identità, sostituzione di persona digitale).
- La possibilità di tracciare e garantire l‘identità di mittente e destinatario. Questa funzione permette di fare conto su determinate informazioni, espressioni o decisioni. Il destinatario è certo che il mittente abbia dichiarato o comunque inviato qualcosa, e non può, in un secondo momento, far perdere di valore al messaggio.
- La conoscenza precisa del momento in cui la comunicazione ha avuto luogo. Questa conoscenza permette di serializzare le interazioni e determinare in modo corretto i nessi di causa ed effetto. In tal modo si riduce inoltre ogni rischio di cattiva interpretazione delle interazioni.
- La garanzia che i dati trasmessi non vengano alterati o perduti. È fondamentale che i messaggi ed i dati trasmessi siano ricevuti in modo integrale ed esatto. Ogni alterazione può indurre errate decisioni o valutazioni, far perdere denaro, fare affidamento su informazioni false e quant‘altro una mente criminale può disegnare per creare danno. Purtroppo è frequente, su questo punto, riscontrare molti casi in cui l‘attore dell‘alterazione non è spinto da guadagno personale o di chi lo finanzia, non dall‘affermare posizioni politiche, religiose, sociali o filosofiche “contro” la vittima, ma spesso anche solo per dimostrare di esserne capace o per lo sterile gusto di causare danni.
La progettazione dei sistemi più evoluti di comunicazione non prescinde mai da queste valutazioni.
È però evidente che anche da parte delle aziende e dei professionisti che si trovano a selezionare questi strumenti deve essere ben presente l‘obiettivo di verificare e capire come una soluzione meglio di un‘altra copra le esigenze di sicurezza, oltre a quelle di efficacia funzionale, e farsi carico della comprensione, in primo luogo, e poi – soprattutto - della corretta formazione degli utenti coinvolti.
È infatti ben noto che una percentuale elevata (70% circa) dei problemi di sicurezza deriva da errori umani interni alle organizzazioni. Questi errori possono solo in parte essere evitati con l‘utilizzo di strumenti ben progettati. La consapevolezza degli utenti e l‘adesione a policy di utilizzo adeguate è la chiave per garantire che i dati aziendali mantengano valore ed integrità.