File sharing e sicurezza: alcuni consigli per le aziende

file-sharing

L’impiego di servizi file sharing non conformi alle policy di sicurezza dell’azienda è diffuso.

Il problema di coniugare le normative di sicurezza delle aziende, ancora più rigorose nel cloud, con l’esigenza di flessibilità e praticità degli impiegati è una questione tutt’altro che secondaria nel panorama attuale.

L’utilizzo di servizi di condivisione file e quindi la pratica del file sharing è una delle abitudini “acquisite” della forza lavoro – che si aspetta di poterne usufruire all’occorrenza senza troppe restrizioni.

La soluzione alla delicata questione non è semplice ma può essere trovata adottando una strategia che si collochi metà strada tra le necessità dei dipendenti e dei piani alti.

Secondo l’editorialista Tom Grave, i pilastri essenziali di un’adeguata strategia sono i seguenti:

  • crittografia end-to-end. L’azienda dovrà non solo disporre delle chiavi (averne quindi il controllo e la gestione) ma adottare un servizio che garantisca latenze accettabili. Alcuni potrebbero optare per una soluzione in outsourcing , risparmiandosi quindi l’onere di gestire il tutto, ma questo comporterebbe una “perdita” di controllo sui dati –  ed in base alle normative vigenti del Paese di turno, un provider di terze parti potrebbe essere obbligato a fornire determinate informazioni ad enti governativi.Altri ancora potrebbero affidarsi ad hardware on premise, mantenendo quindi dati e metadati “on site”, in modo da avere il pieno controllo ed adattare rapidamente il sistema alle esigenze dell’azienda. Consentire al solo proprietario della chiave di cifratura di decrittare quelle chiavi su un servizio pubblico potrebbe essere un buon compromesso;
  • residency control. Con l’avvicinarsi dell’entrata in vigore del GDPR o Regolamento generale sulla protezione dei dati, per le imprese è sempre più importante essere in grado di scegliere l’area geografica in cui saranno archiviati i dati.Per le imprese più grandi e che dispongono quindi di uffici in vari  Paesi (es: Stati Uniti ed Europa) sarà cruciale adottare una soluzione che permetta di adattarsi rapidamente alle normative vigenti e/o rispettare tutte le varie direttive – a fronte dell’uscita del Regno Unito dall’UE un’azienda potrebbe essere costretta a rispettare sia il GDPR che le prossime regole stabilite oltremare – probabilmente differenti da quelle UE;
  • sistema di autenticazione per i collaboratori interni. L’obiettivo principale di un sistema d’autenticazione è quello di prevenire il furto di password. Un sistema di autenticazione a due fattori è in grado di ridurre i rischi derivanti dalla disattenzione e/o non curanza degli utenti che, forse troppo spesso, tendono ad utilizzare combinazioni troppo semplici e/o legate a dati personali (data di nascita etc.) facilmente reperibili online (es: consentire a tutti la visualizzazione dei propri profili social);
  • sistema di autenticazione per i collaboratori esterni. La condivisione di dati con partner, fornitori, clienti è alla base del successo di un’attività e non può essere evitata. La divisione IT giocherà in questo caso un ruolo centrale perchè dovrà essere a conoscenza di varie informazioni come le modalità di condivisione adottate, la lista dei collaboratori esterni e dei file che sono stati condivisi con ciscuno di essi, le date di inizio e fine condivisione di determinati dati, la possibilità di revocare l’accesso a determinati file/cartelle;
  • servizi di condivisione file sicuri. L’abitudine di utilizzare anche in ambito lavorativo servizi intuitivi ma non conformi alle normative di sicurezza aziendali (come Dropbox ed affini) è un problema non trascurabile per le aziende. La vera sfida è non solo quella di adottare strumenti “sicuri”, efficaci per la sincronizzazione/condivisione dei file ma anche quella di istruire i propri dipendenti a non ricorrere a strumenti “esterni” e non conformi alle policy aziendali.

Fonte: 1