La flessibilità dei flussi documentali offre vantaggi sul piano organizzativo, amministrativo e di sostenibilità. Tuttavia, comporta rischi che è bene conoscere e prevenire. Le minacce, infatti, in relazione alla protezione delle informazioni e delle infrastrutture aziendali, possono far breccia facilmente laddove l’ambiente di lavoro virtuale si allarga per consentire la condivisione dei documenti.
Una oculata strategia di gestione dei permessi rende la propria azienda compliant al GDPR e, oltre a garantire maggiori tutele sui fronti data protection e cyber security, semplifica anche le attività documentali.
Indice degli argomenti
Documenti condivisi, quali rischi per le aziende
I rischi che si corrono nel contesto della condivisione dei documenti sono in via principale legati alla mancanza di governance.
Paradossalmente, la condivisione dei documenti supporta modalità di lavoro più semplici, agili e collaborative, “ma non sempre si ha il controllo sulle attività e spesso non si conosce quanti documenti sono effettivamente stati condivisi, a chi e per quanto tempo, con il rischio che l’azienda si ritrovi vittima di un’esposizione dei dati”, ha commentato Jean-Pierre Onorato, presales consultant di HornetSecurity.
Una situazione che può presentarsi involontariamente: “Senza la dovuta attenzione sul fronte della governance dei flussi documentali, esponiamo l’azienda a rischi spianando la strada al furto, alla sottrazione o alla perdita di dati – prosegue Onorato -. Non c’è nemmeno bisogno di un attacco cyber perché si verifichino questi incidenti, perché le condizioni si creano direttamente all’interno dell’azienda non attuando un corretto controllo delle condivisioni documentali”.
I rischi sono ingenti, su più fronti: “Per esempio, quando manca la governance, può accadere che documenti con dati parziali siano pubblicamente esposti e che questo porti alla diffusione di informazioni non corrette – spiega Onorato -. Bisogna domandarsi cosa contengono i documenti che andiamo a condividere: può capitare che per errore si girino a soggetti esterni informazioni sulle proprie reti, sulle infrastrutture, creando rischi anche lato OT oltre che IT e privacy”.
Le conseguenze di una cattiva gestione delle condivisioni
Le conseguenze della mancanza di governance sulla condivisione dei dati hanno impatti negativi non solo sulla propria organizzazione: “L’esposizione dei dati riguarda anche le informazioni relative ai propri clienti e a tutta la supply chain, quindi bisogna considerare che non si espone solo la propria azienda ma anche le altre imprese, con importanti impatti sulla percezione di affidabilità e di reputazione”, spiega Onorato.
Una situazione che può comportare anche l’interruzione di rapporti professionali.
Un altro aspetto da considerare è quello delle eventuali violazione della privacy, che possono comportare sanzioni ingenti: “Un’azienda può fare causa per l’esposizione dei propri dati o può intervenire l’authority. In autunno inoltre, con l’entrata in vigore della direttiva NIS 2, ci sarà un importante cambiamento sul fronte della normativa sulla sicurezza”.
Le conseguenze però riguardano anche i competitor: “Se i dati esposti riguardano ad esempio promozioni, prezzi, nuovi prodotti, l’azienda può essere copiata o, comunque, i competitor avranno informazioni da usare a proprio vantaggio”.
Perché la gestione dei permessi è vantaggiosa
Emerge la necessità di adottare una soluzione per la governance delle condivisioni. È necessario infatti “fare un salto qualitativo a livello di gestione dei documenti condivisi. C’è poca consapevolezza su questo aspetto ma è causa di vulnerabilità enormi, è indispensabile dotare l’azienda di uno strumento che consenta di aumentare il controllo e sapere esattamente a chi sono stati condivisi i documenti, quali sono e dove si trovano”, commenta Onorato. Questo permette “di attuare le proprie policy in materia di sicurezza in modo controllato e di essere compliant alle normative di settore, anche nel corso del tempo e in caso di aggiornamenti”.
Una soluzione di questo genere comporta per l’azienda un contenimento di costi che, altrimenti, dovrebbero per forza essere allocati per mettere in sicurezza ogni singolo documento condiviso dall’azienda: “Quando manca una soluzione dedicata alla governance, spesso sono richiesti tempi e risorse ingenti per il ripristino di una situazione di controllo”, dichiara Onorato.
Gestione permessi, come funziona 365 Permission manager
La piattaforma 365 Permission manager di HornetSecurity risponde alle necessità di governance della condivisione di documenti realizzati con la suite Microsoft 365, “la più diffusa tra le aziende e in continua crescita – spiega Onorato -. Quando si attiva il servizio, cosa che si può fare in pochi minuti, in primis si può scaricare un report per avere il quadro completo della propria situazione e capire cosa si sta condividendo e se con soggetti esterni o interni. Una funzionalità semplice e user friendly, cliccando un solo pulsante posso avere una sintesi di tutti i dati”.
La piattaforma 365 Permission manager consente di individuare tutte le condivisioni attuate, anche relative a ogni singolo utente: “La soluzione consente di creare delle regole di sicurezza che si possono applicare ai documenti. Ad esempio, è possibile definire una policy individuando documenti specifici come riservati, altri invece che possono essere condivisi all’esterno. Il sistema una volta assegnate le regole stabilite dall’azienda classifica tutti i documenti aziendali e segnala di volta in volta se si sta violando detta policy – racconta Onorato -. Si tratta di un passaggio molto importante perché le aziende di qualsiasi dimensione, anche le più piccole, hanno migliaia di documenti. Oltre a verificare se tali documenti sono in violazione delle policy, la soluzione offre una funzione che permette di eliminarle in caso fossero riscontrate”. Ciò avviene “in automatico, il sistema individua le violazioni e le rimuove, dopo aver chiesto il permesso all’azienda, rendendo compliant il documento. In questo modo si ha il controllo di ciò che viene condiviso e in che modo questo viene fatto”.
La soluzione di HornetSecurity è una piattaforma in cloud, Saas: “Ha una grande velocità nel setup, non servono grandi competenze per usufruire del servizio. Con grande semplicità si passa quindi da una situazione di totale mancanza del controllo a una di piena governance – conclude Onorato -. Si tratta di un servizio modulare che si può dunque usare autonomamente, ma è possibile includerla in pacchetti che permettono di coprire più aspetti di sicurezza”.
Contributo editoriale sviluppato in collaborazione con Hornet Security
