La NIS2 e la Crittografia in Azienda
Il comma h) dell’art.21 della direttiva NIS2 lancia un messaggio preciso alle aziende: crittografate! Non si tratta solo di un consiglio ma di una misura indispensabile per proteggere la riservatezza delle informazioni aziendali. Questo comma in particolare ci guida su "politiche e procedure" per utilizzare la crittografia e, se necessario, la cifratura. Quando si parla di sicurezza informatica, infatti, non basta affidarsi a strumenti di messaggistica e email “presuntamente” sicuri: servono accorgimenti specifici e consapevolezza anche nel quotidiano.
La crittografia di WhatsApp è sufficiente?
Oggi, la messaggistica istantanea gioca un ruolo centrale nelle comunicazioni aziendali. WhatsApp è il canale più comune, grazie alla crittografia end-to-end dichiarata dal produttore che dovrebbe garantire che nessuno possa leggere i messaggi, nemmeno WhatsApp stessa. ⚠️ Però c’è un rischio sottovalutato: una crittografia solida non protegge dal furto fisico del telefono o da occhi indiscreti se il dispositivo resta sbloccato. In pratica, la crittografia funziona solo se viene supportata da comportamenti altrettanto attenti, come l’attivazione di password d’accesso, autenticazione a due fattori e blocchi schermo automatici. 💡 La NIS2 ci ricorda che, per stare davvero al sicuro, dobbiamo ragionare a 360 gradi e proteggere i dispositivi fisici, non solo i dati digitali.
Perché le email non sono sicure di default?
Le email sono spesso un anello debole nelle comunicazioni aziendali. I server di posta comuni, come Dovecot e Postfix, salvano i messaggi in chiaro
(senza cifratura), rendendoli vulnerabili a intrusioni interne ed esterne. La NIS2 spinge le aziende a crittografare le email, ma molti non sanno
che questa opzione è fattibile anche con server interni. Ecco due soluzioni pratiche per chi usa Dovecot e Postfix:
✅Dovecot: configura il modulo di cifratura dovecot-encrypt-plugin per salvare i messaggi sul server criptati.
✅Postfix: attiva il supporto TLS (Transport Layer Security) per criptare i dati in transito, e configura l'archiviazione con plugin di cifratura per la protezione sul server.
S Se, invece, l’azienda si affida a un provider esterno, è fondamentale verificare che i server del fornitore salvino i dati in modo crittografato e sicuro, prevenendo l’accesso da parte di dipendenti interni.
Come assicurarsi che anche i fornitori rispettino le norme?
Quando le email aziendali passano per un fornitore esterno, si aggiunge un ulteriore livello di vulnerabilità. È vitale quindi scegliere un provider che garantisca la conservazione dei messaggi crittografati e si impegni a proteggere la tua privacy. Qui entra in gioco anche il controllo sugli “insider” – i dipendenti del fornitore – che potrebbero accedere ai dati non crittografati se la policy dell’azienda non è rigida. Chiedi sempre al fornitore delle garanzie 📜, come politiche di conservazione criptata e limiti di accesso per i dipendenti.
🔒 Gestione delle email sicura: ora tocca te 🔒
La sicurezza dei dati aziendali richiede attenzione costante e soluzioni concrete. Controlla subito se il tuo sistema email è protetto adeguatamente e prendi provvedimenti per la cifratura. Cosa ne pensi? Hai già implementato misure simili in azienda?