Slack è sicuro? Come proteggersi mentre si collabora

Marko Grujic
Marko Grujic
Da: Marko Grujic Tempo di lettura: 10 minuti Aggiornamento: 10-03-2022
Slack chat su mobile
Clicca qui per un riassunto di questo articolo
Slack è sicuro? Un breve riassunto

Milioni di utenti scambiano messaggi e file su Slack ogni anno. Aziende di tutte le dimensioni si affidano all’applicazione per facilitare la collaborazione tra colleghi, clienti e fornitori.

Slack include molte misure di sicurezza di livello aziendale per garantire un ambiente sicuro, comprese le certificazioni di sicurezza ISO e SOC, le certificazioni di conformità HIPAA e FINRA, e un robusto programma di gestione dei dati GDPR.

Gli utenti aziendali o individuali possono prendere ulteriori precauzioni per garantire ulteriormente la sicurezza dei dati inviati su Slack:

  1. Evitare la condivisione di informazioni confidenziali come password e pratiche commerciali riservate.
  2. Utilizzare l’autenticazione a due fattori (2FA).
  3. Sviluppare solidi protocolli di inserimento e disinserimento dei dipendenti.
  4. Formare i dipendenti sulle migliori pratiche per Slack.
  5. Utilizzare i canali per gestire l’accesso degli utenti esterni.
  6. Fare attenzione all’integrazione di app di terze parti.
  7. Imparare a riconoscere i tentativi di phishing.
  8. Installare un buon programma antivirus.

Leggi il nostro articolo completo qui sotto per saperne di più sulla sicurezza di Slack.

Più di 8 milioni di persone scambiano messaggi, file e immagini su Slack ogni giorno. Molte piccole e medie imprese hanno abbracciato Slack dal suo debutto nel 2014, soprattutto grazie alla sua facilità di implementazione e di utilizzo.

Non sono solo le piccole aziende ad amare Slack. Quando IBM ha scelto Slack come strumento ufficiale di messaggistica istantanea e collaborazione per i suoi oltre 350.000 dipendenti, la cosa è stata vista da molti come una grande vittoria nella guerra tra Slack e Microsoft Teams.

Ma quanto è sicuro Slack? E cosa puoi fare per garantire che le informazioni inviate siano sicure e rimangano private? Che tu sia un datore di lavoro o un dipendente, ti diremo tutto quello che devi sapere su Slack e sulla sua sicurezza.

Preoccupazioni sulla sicurezza e sulla privacy di Slack

La privacy online e la sicurezza dei dati inviati attraverso la piattaforma sono preoccupazioni legittime, che tu stia usando Slack per desktop o l’app di Slack su un dispositivo mobile. Fortunatamente, Slack ha alcuni validi sistemi e politiche in atto per mantenere al sicuro i tuoi dati privati.

Come Slack gestisce i dati

logo di Slack

Slack non si tira indietro quando si tratta di proteggere i dati. Utilizza una sicurezza di livello enterprise per soddisfare i requisiti di conformità globale e proteggere le informazioni sulla piattaforma.

L’azienda ha ottenuto una serie di certificazioni relative alla sicurezza, tra cui ISO/IEC 27001, 27017, 27018 e 27701, SOC 2, SOC3, APEC per processori e APEC per controllori. Inoltre, Slack è conforme a HIPAA e FINRA. La compagnia ha anche implementato un programma di conformità GDRP.

Slack cripta i dati a riposo e in transito. Offre anche altre caratteristiche di sicurezza per salvaguardare i dati sensibili, come l’autenticazione a due fattori, limiti di durata della sessione e gestione della sessione. Tuttavia, non utilizza la crittografia end-to-end, e questo per dare agli amministratori la possibilità di accedere alle comunicazioni per scopi aziendali.

Come Slack gestisce le minacce alla sicurezza

Oltre a includere le robuste misure di sicurezza descritte, Slack combatte la minaccia dei criminali informatici attraverso il suo programma Slack bug bounty. Questo significa che chiunque può segnalare le vulnerabilità che ha trovato all’interno di Slack e ottenere una ricompensa per questo. Slack può quindi lavorare sulla patch delle debolezze e rafforzare il proprio software. Il programma bug bounty incoraggia l’identificazione delle falle di sicurezza di Slack prima che vengano sfruttate.

Molte vulnerabilità chiave sono state identificate attraverso il programma bounty, e Slack le ha risolte prima che potessero essere sfruttate. Dall’inizio del programma, Slack ha assegnato oltre 900.000 dollari ai ricercatori di sicurezza che hanno identificato potenziali vulnerabilità nella piattaforma.

Il modo in cui Slack gestisce le richieste del governo

Donna della giustizia con l'icona della bilancia legale e della spada

La politica sulla privacy di Slack afferma che l’azienda non rivela volontariamente le informazioni ai governi. Tuttavia, si conformerà alle richieste derivanti da un processo legale valido. Questo significa che l’azienda conserva le informazioni e le divulgherà se costretta dalla legge.

Ma chi o cosa può attivare un processo legale valido? La frase si riferisce a chiunque sia coinvolto in una controversia, quindi include qualsiasi tuo concorrente che faccia causa a te o alla tua azienda. Potrebbe chiedere al giudice di obbligare Slack a consegnare le informazioni contenute nei tuoi canali presenti sulla piattaforma. Tra queste potrebbero esserci informazioni critiche, che non vuoi far avere al tuo concorrente. Un simile scenario difficilmente si tramuterà in realtà, ma non può escludersi che accada.

In generale, l’idea che le comunicazioni interne della tua azienda possano essere lette da altri non è il massimo, anche se potrebbe essere necessario in alcuni casi. Ogni anno, Slack rilascia un report sulla trasparenza che riassume tutte le divulgazioni relative a richieste di processi legali validi. Anche se il numero di divulgazioni è basso, sono stati condivisi alcuni dati riservati.

Le tue chat su Slack sono private?

Se sei un dipendente aziendale, potresti essere preoccupato non tanto della vulnerabilità dei dati aziendali sensibili ma di quanto siano private le tue informazioni personali su Slack.

Come per la maggior parte degli strumenti aziendali, parti dal presupposto che tutto ciò che fai viene memorizzato ed è verificabile dal tuo capo, dal capo del tuo capo o dal dipartimento delle risorse umane. Slack non fa eccezione.

È possibile, tuttavia, controllare facilmente come e quali informazioni la tua organizzazione salva. Ecco come:

  1. Da Slack per desktop vai al tuo profilo, poi clicca su More (altro) > Account Settings (impostazioni account). Sarai reindirizzato a una pagina web di Slack.
  2. Clicca su About This Workspace (su questo spazio di lavoro) sul lato sinistro dello schermo. Potresti dover aprire prima il “Menu”.
  3. Clicca su Retentions & exports (importazioni ed esportazioni).
  4. Sotto What data can my admins access? (a quali dati possono accedere i miei amministratori?) c’è una descrizione delle informazioni che sono recuperabili.
  5. Puoi seguire il link Learn more (scopri di più) per vedere tutte le opzioni disponibili per il salvataggio e il recupero dei dati.

Schermata della pagina 'A quali dati possono accedere i miei amministratori?' sul sito web di Slack

La differenza tra canali pubblici, canali privati e messaggi diretti qui è particolarmente importante. Gli amministratori potrebbero essere in grado di esportare i dati solo dai canali aperti e pubblici, mentre i tuoi DM e i canali privati bloccati non possono essere condivisi al di fuori dei partecipanti a quelle conversazioni. Anche così, tieni presente che è sempre facile fare screenshot, anche dei messaggi privati.

Come regola generale, è buona norma evitare di inviare per iscritto qualsiasi cosa che non vorresti fosse resa pubblica. È sempre meglio riservare i commenti sarcastici sul tuo capo o le lamentele su un cliente a un incontro al bar dopo il lavoro.

Come rimanere al sicuro su Slack

Anche con le misure di sicurezza utilizzate, Slack è ancora un servizio basato sul cloud. Come tale, è vulnerabile a determinati criminali informatici. Ecco otto modi per massimizzare la tua sicurezza e mitigare i tuoi problemi di privacy su Slack.

1. Non condividere informazioni riservate

Non rivelare mai password o altre informazioni riservate o sensibili su Slack. Questo include l’invio di file che contengono informazioni private dell’azienda o dei clienti.

Se hai bisogno di comunicare una password a un collega, considera l’uso di un’app per la gestione delle password. 1Password offre un’opzione utile ai team per condividere le password a livello aziendale. Altre informazioni confidenziali e sensibili dovrebbero essere inviate tramite canali interni più sicuri che non siano facilmente accessibili agli hacker o in base a un ordine del giudice.

2. Richiedi l’autenticazione a due fattori

È sempre una buona idea usare l’autenticazione a due fattori (2FA) per l’accesso. Quando usi la 2FA, puoi accedere a Slack usando la tua password e un codice di verifica che ricevi sul tuo telefono. Questa autenticazione a più fattori rende molto difficile accedere a Slack con le sole credenziali di accesso.

Puoi impostare la 2FA su Slack attraverso un’app di autenticazione o un messaggio di testo SMS seguendo questi passaggi:

  1. Vai al tuo profilo, poi clicca su “Other” (altro) e vai su “Account settings” (impostazioni account).
  2. Clicca “Expand” (espandi) accanto a “Two-Factor Authentication” (autenticazione a due fattori) e scegli “Set Up Two-Factor Authentication” (imposta autenticazione a due fattori).
  3. Inserisci la tua password e clicca su “Confirm Password” (conferma password).
  4. Scegli “Use an app” (usa un’app) o “SMS Text Message” (SMS) a seconda del metodo preferito.
  5. Segui le istruzioni per collegare la tua app (attraverso un codice QR) o il tuo numero di telefono.
  6. Inserisci il codice che ricevi tramite testo o l’app, poi premi “Verify Code” (verifica codice). Ora puoi accedere tramite 2FA.

Tieni presente che questo è il processo per impostare la verifica in due passaggi su un solo account utente. Se vuoi adottare l’autenticazione a due fattori in tutta la tua azienda, assicurati che tutti i tuoi dipendenti attivino questa opzione.

Per le aziende che utilizzano un protocollo Single Sign On (cioè un protocollo ad accesso singolo), la 2FA può anche essere utilizzata per aumentare la sicurezza.

3. Imposta un sistema per gestire l’inserimento e il disinserimento dei dipendenti

Immagine Slack homepage

Per le grandi aziende, una delle maggiori difficoltà è tenere traccia di quali dipendenti hanno accesso a Slack. Per evitare accessi indesiderati da parte di lavoratori che non sono più in azienda e per garantire che i nuovi dipendenti abbiano un accesso tempestivo ai dati, è importante avere un processo documentato per l’accesso a Slack.

Assicurati che qualcuno nella tua organizzazione sia responsabile di concedere e negare l’accesso a Slack nel momento in cui c’è un cambiamento nella forza lavoro.

Mantenendo un accesso corretto e attuale a Slack, i datori di lavoro evitano il rischio di avere ex dipendenti che accedono a Slack e lo usano in modo improprio.

4. Forma gli utenti sulle migliori pratiche di Slack

Le aziende che utilizzano Slack per la collaborazione dovrebbero prendere tempo per garantire che tutti i dipendenti comprendano le politiche di utilizzo di Slack dell’azienda. Un modo per semplificare questo processo è quello di applicare le politiche di sicurezza della posta elettronica aziendale a Slack.

Indubbiamente, ci vuole di più che scrivere la policy da qualche parte. Le aziende dovrebbero integrare la formazione su Slack nel processo di inserimento dei dipendenti. Dovrebbero anche offrire corsi di aggiornamento periodici per garantire che le informazioni rimangano ben presenti a tutti.

5. Utilizza i canali per gestire l’accesso degli utenti esterni

Se stai collaborando con clienti o fornitori su Slack, limita l’accesso alle informazioni aziendali creando dei canali. Puoi usare Slack Connect per invitare gli utenti esterni e controllare le informazioni a cui possono accedere.

Assicurati di sapere esattamente a quali canali privati e pubblici hanno accesso gli utenti esterni. Cancella il canale una volta che il progetto è completo e l’accesso esterno scompare.

6. Fai attenzione all’integrazione di app di terze parti

Slack offre la possibilità di integrazione con numerose app, tra cui Google Drive e Dropbox. Questa comodità comporta rischi aggiuntivi. Con ogni app di terze parti collegata a Slack, il potenziale di vulnerabilità aumenta. Slack è sicuro solo nella misura in cui è sicura l’app più debole collegata.

Mentre le integrazioni più popolari sono generalmente sicure, è saggio mantenere tali connessioni al minimo. Gli amministratori dovrebbero essere gli unici ad approvare le integrazioni. Questo elimina il potenziale per i dipendenti di aggiungere app di terze parti rischiose per conto proprio.

7. Fai attenzione ai tentativi di phishing

Proprio come le email, Slack non è immune agli attacchi di phishing. Nel 2017, gli hacker hanno inviato falsi messaggi Slackbot a un gruppo di appassionati di criptovalute su Slack. Questi messaggi indirizzavano a un sito web fasullo che chiedeva informazioni finanziarie. Anche i messaggi diretti di Slack sono un metodo di phishing utilizzato per raggiungere gli utenti incauti della piattaforma.

Le persone in genere sanno come riconoscere i tentativi di phishing che arrivano sulla loro casella di posta elettronica, ma si lasciano insospettire meno dai pericolosi messaggi diretti che ricevono sulle nuove tecnologie come Slack. Gli hacker sfruttano questa soglia di sospetto più bassa per ingannare gli utenti ignari e indurli a divulgare informazioni riservate. Essere consapevoli dei trucchi spesso utilizzati nel phishing può già ridurre i rischi in questo caso.

8. Utilizza un buon programma antivirus

Ogni volta che vai online, c’è il rischio che il malware infetti il tuo dispositivo. Questo è anche il caso di Slack. È fin troppo facile cliccare accidentalmente su un link sospetto o per un dipendente aprire un allegato dubbio. Quando ciò accade, c’è un’alta possibilità che il contenuto dannoso finisca su un singolo computer o su un server dell’intera organizzazione. Una solida protezione antivirus identifica rapidamente queste minacce e si muove per sradicarle prima che creino problemi più grandi.

Per maggiori informazioni su come un programma antivirus può aiutarti a rimanere più sicuro online e trovare quello che funziona per te, controlla le nostre raccomandazioni per il miglior software antivirus del 2022.

Pensieri finali

Slack è uno strumento enormemente popolare per la comunicazione istantanea e la collaborazione. Tuttavia, accanto ai benefici di Slack ci sono anche i rischi per la sicurezza.

Per le aziende e gli individui che utilizzano Slack, è importante essere attenti alle minacce alla sicurezza e prendere provvedimenti per minimizzarle. Evita di inviare informazioni riservate su Slack. Utilizza l’autenticazione a due fattori per un ulteriore livello di sicurezza del login. Mantieni uno stretto controllo su chi ha accesso a Slack.

Le precauzioni di base combinate con i rigorosi protocolli di sicurezza della piattaforma rendono Slack un luogo sicuro e un efficiente mezzo di collaborazione e comunicazione.

Slack è sicuro? Domande frequenti

Vuoi saperne di più su Slack e sulla sua sicurezza? Dai un’occhiata alle nostre FAQ qui sotto. Se hai una domanda che non ha trovato risposta qui sotto, lascia un commento e ti risponderemo il prima possibile.

Quanto è sicuro Slack?

Slack utilizza misure di sicurezza a livello aziendale per proteggere l’integrità dei dati inviati e salvati. È anche conforme a FINRA e HIPAA e ha un robusto programma di conformità GDPR in atto. Tuttavia, qualsiasi servizio software basato su cloud è vulnerabile agli attacchi informatici, e Slack non fa eccezione.

Gli utenti possono prendere ulteriori misure per proteggere le loro informazioni, come utilizzare l’autenticazione a due fattori, evitare di inviare informazioni riservate tramite la messaggistica di Slack e diffidare di possibili tentativi di phishing inviati su Slack.

Qualcuno può leggere i miei messaggi su Slack?

Se il tuo capo o il dipartimento delle risorse umane possono vedere i tuoi messaggi diretti su Slack dipende da come hanno impostato Slack. È generalmente una buona pratica evitare di mettere per iscritto qualsiasi cosa che non vorresti fosse resa pubblica.

Leggi il nostro articolo completo per le istruzioni su come controllare facilmente ciò che la tua azienda sta monitorando su Slack.

Slack ha una crittografia end-to-end?

No, Slack non utilizza la crittografia end-to-end. Anche se cripta i tuoi dati mentre sono in transito e a riposo, lo fa solo per proteggere le informazioni da agenti esterni. Usare la crittografia end-to-end significherebbe che nessuno, tranne il mittente e il destinatario, può accedere al contenuto. Su Slack, i datori di lavoro e gli amministratori possono controllare i loro dipendenti. In altre parole, con Slack, non puoi essere sicuro che il tuo capo non stia leggendo i tuoi messaggi.

Chi è il proprietario di Slack?

A partire da luglio 2021, Salesforce possiede Slack e lo ha incorporato nella suite di software aziendali Salesforce. Salesforce è uno strumento di gestione delle relazioni con i clienti (CRM) che offre anche altre applicazioni complementari tra cui servizio clienti, automazione del marketing, analisi, e sviluppo di applicazioni. Salesforce ha sede a San Francisco, in California.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.
Altri articoli della "Aziende" sezione
Invia un commento
Invia un commento