La gestione della casella di posta elettronica dei dipendenti è un argomento spesso trascurato da parte delle organizzazioni, nonostante lo strumento dell’e-mail sia largamente impiegato e comporti rilevanti impatti su privacy e security. Per quanto strumento di lavoro, infatti, una casella di posta elettronica individuale (e dunque: nominale e attribuita ad un singolo operatore) è considerata domicilio digitale del dipendente e, di conseguenza, richiede una ragionevole protezione a tutela di diritti, libertà fondamentali e dignità degli interessati coinvolti negli scambi delle comunicazioni (intestatario e soggetti terzi).
Questa complessità, riconosciuta non solo dalla giurisprudenza ma anche dalle autorità di controllo per quanto riguarda la normativa applicabile in materia di protezione dei dati personali, richiede pertanto una particolare attenzione nel coordinare gli aspetti di configurazione tecnica con misure organizzative quali istruzioni, policy e disciplinari d’impiego relativamente ad alias, gruppi, listi di distribuzione, caselle di funzioni e caselle individuali.
Sul piano pratico, l’adozione di un disciplinare interno per regolamentare l’impiego della posta elettronica rappresenta l’output di un ragionamento svolto a monte che deve prendere in considerazione requisiti tecnici e normativi per garantire la sicurezza dei sistemi, ivi incluso anche l’aspetto di continuità organizzativa degli stessi, e la protezione dei dati personali degli operatori e dei soggetti coinvolti nel flusso delle e-mail.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Motivo per cui cedere alla tentazione di fare ricorso a soluzioni one size fits all o copia-incolla selvaggi, non si rivela mai l’espressione di una scelta felice. E men che meno potrà fornire evidenze di alcun ragionamento né contribuisce alla capacità dell’organizzazione di adempiere alle prescrizioni in materia di protezione dei dati personali. Per meglio dire, semmai, rendiconta il ragionamento di qualcun altro che non è l’organizzazione che lo adotta. Il precipitato è di conseguenza quello di una serie di regole scollegate dal contesto, spesso poco efficaci, contraddittorie e poco comprensibili per gli operatori.
Progettare la redazione e l’adozione di un disciplinare è di conseguenza la principale misura organizzativa per mitigare sia i rischi di conformità normativa che di sicurezza.
Le linee guida per la progettazione di un disciplinare d’impiego della posta elettronica sono state fornite dal Garante Privacy già dal 2007, individuando la corretta modalità di redazione e diffusione formale in accordo con le indicazioni giuslavoristiche e i contenuti essenziali da fornire e i contenuti fondamentali.
Per quanto riguarda la forma, questa deve consistere in una serie di istruzioni specifiche e un linguaggio chiaro. Ciò significa prevedere, fondamentalmente, una struttura DO/DON’T indicando comportamenti da adottare e vietati. Affinché siano efficaci, devono poi essere diffuse o verso i singoli lavoratori o altrimenti tramite pubblicazione (in bacheca o intranet, nelle modalità previste dall’art. 7 dello Statuto dei lavoratori). Ma perché si mantengano efficaci nel tempo, è necessario che siano aggiornate e riesaminate periodicamente soprattutto al mutamento del contesto tecnologico ed organizzativo.
Per quanto riguarda i contenuti, una checklist utile da adottare è la seguente:
Tutto questo, beninteso, è necessario ma non sufficiente per disciplinare correttamente i comportamenti affinché siano conformi alla norma, alle buone pratiche di sicurezza e alle ulteriori istruzioni ricevute. Quel che occorre è infatti che sia riscontrabile un riferimento concreto ed attuale alle operazioni effettivamente svolte, senza formule generiche e, soprattutto, che si abbia contezza dell’effettiva comprensione del disciplinare da parte dei destinatari. Questo può prevedere anche un intervento di formazione mirata nel corso del quale raccogliere eventuali dubbi, obiezioni o spunti di miglioramento da parte dei lavoratori.
Disciplinare la gestione della posta elettronica non è utile, ma fondamentale. Motivo per cui occorre “metterci la testa” prima, per non pentirsi poi.
Altrimenti, quando emergeranno tutti quei problemi a valle che ben si sarebbero potuti evitare a monte ci si troverà ad affrontare una serie di costi operativi, strategici e finanziari.
Prevenendo quel sospirante se solo ci avessi pensato prima, trasversale tanto negli aspetti legali che di sicurezza.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cyberpolitica
Cybercrime
Cybercrime
Cybercrime