Soluzione di crittografia: cosa considerare?
A partire dal 25 maggio 2018, il Regolamento generale europeo sulla protezione dei dati (GDPR) renderà più severa la situazione: la crittografia dei dati personali via e-mail diventerà finalmente obbligatoria.
"Se non si utilizza la crittografia delle e-mail, può essere molto costoso perché non si sono implementate misure di sicurezza all'avanguardia per proteggere i propri dati", afferma Christian Heutger, amministratore delegato di Gruppo PSWal punto. L'esperto di sicurezza informatica consiglia di non farsi prendere dal panico: "Oggi la crittografia delle e-mail è praticabile e può essere implementata con poco sforzo. Idealmente, le aziende utilizzano una soluzione che si configura inosservata in background, cioè sul lato server. In questo modo, i dipendenti non devono cambiare i loro processi lavorativi".
Le aziende non dovrebbero inoltre trascurare il fatto che in futuro, in caso di violazione dei dati, saranno obbligate a segnalarla entro 72 ore all'autorità di controllo competente e, in caso di rischio elevato per i dati personali, alle persone interessate. Tuttavia, se i dati compromessi sono stati crittografati in modo tale da impedire a terzi di accedervi, le aziende possono almeno astenersi dal rivelarli alle persone interessate. "In questo modo si risparmia molto lavoro e si protegge la reputazione di un'azienda orientata alla protezione dei dati", osserva Heutger.
Crittografia sicura
Ma qual è una soluzione di crittografia non solo praticabile, ma anche sicura? "Nella crittografia delle e-mail si distingue tra crittografia del trasporto e crittografia del contenuto. Mentre nella prima variante l'e-mail viene praticamente solo inviata attraverso un tunnel crittografato nel tragitto da un server all'altro e viene memorizzata in chiaro sui server stessi, nella crittografia dei contenuti anche l'e-mail stessa viene crittografata", spiega Christian Heutger. Poiché i metadati come il mittente, l'oggetto del messaggio e il destinatario rimangono non criptati e quindi leggibili, nella pratica è opportuno combinare entrambe le procedure: "È consigliabile utilizzare protocolli standard. Ad esempio, S/MIME è adatto per la crittografia dei contenuti; un'alternativa potrebbe essere OpenPGP. TLS, invece, è il protocollo standard per la crittografia dei trasporti", consiglia Christian Heutger.
Con S/MIME e PGP, esistono sul mercato soluzioni per le quali i certificati e le chiavi sono requisiti obbligatori. Tuttavia, ciò richiede un'infrastruttura corrispondente e almeno un po' di conoscenze tecniche. In pratica, vale la pena di prendere in considerazione delle alternative. "Ecco perché le soluzioni gateway per la crittografia delle e-mail sono una buona scelta. Con essi, la crittografia e la firma delle e-mail vengono eseguite automaticamente e in modo centralizzato sul server", spiega il suggerimento dell'esperto.
Le soluzioni gateway non sono sempre la scelta migliore per le PMI
Tuttavia, Heutger sconsiglia alle piccole aziende le soluzioni gateway: "Rispetto alle soluzioni end-to-end isolate, l'impegno di configurazione è piuttosto elevato. Dovrebbero quindi prendere seriamente in considerazione una soluzione isolata e chiedere una consulenza individuale sulla soluzione più adatta a loro. Inoltre, molti gateway di posta elettronica non proteggono l'invio di posta interna all'azienda e, se necessario, la sicurezza interna deve essere ottenuta con un'altra soluzione."
Nella scelta di una soluzione di crittografia adeguata, non si devono assolutamente trascurare le interfacce con altri software di sicurezza, come ad esempio un antivirus per la scansione delle e-mail in arrivo alla ricerca di malware. Lo stesso vale per l'archivio delle e-mail: per indicizzare le e-mail, il sistema di archiviazione deve essere in grado di accedere al contenuto delle e-mail in testo normale. In caso contrario, sarà difficile ritrovare una determinata e-mail in un secondo momento. La scelta di una soluzione di crittografia adeguata deve essere fatta anche per un sistema che integra anche dispositivi finali mobili come smartphone o tablet. "Per rimanere flessibili e preparati al futuro, è necessario scegliere una soluzione compatibile con molti sistemi operativi e piattaforme", afferma Heutger.
Ulteriori informazioni sull'argomento qui
