La conservazione dei metadati in Exchange Online ed Entra ID

Nell’era digitale in cui viviamo, la privacy dei dati informatici dei lavoratori è diventata un argomento di crescente importanza e dibattito. Con l’avvento della tecnologia cloud, dello smartphone e delle comunicazioni digitali sono comparse una serie di questioni etiche e legali che riguardano la raccolta, l’archiviazione e l’uso dei dati personali dei dipendenti da parte dei datori di lavoro. Se i nostri sistemi informativi si basano sul cloud Microsoft cosa devo sapere?

La regolamentazione italiana

Uno degli aspetti più critici di questa problematica riguarda l’utilizzo di piattaforme di produttività e comunicazione aziendale, come Microsoft 365, che gestiscono una vasta quantità di dati sensibili dei lavoratori, tra cui email, tracce dei messaggi, navigazione web e log di accesso. Mentre queste piattaforme offrono una serie di vantaggi in termini di collaborazione e efficienza lavorativa, è fondamentale comprendere le politiche di conservazione dei dati adottate da tali servizi e il loro impatto sulla privacy dei dipendenti. Su questo ambito il garante della privacy ha emanato un regolamento ed una nota che vengono ben descritti in questo articolo e, aggiornato a giugno 2024, in questo.
Le aziende devono definire chiaramente gli scopi per cui vengono conservati i dati ed esplicitare le tempistiche congrue per la loro gestione. Successivamente i lavoratori devono essere messi al corrente di queste politiche accettandole tramite accordi sindacali oppure accettazione esplicita di linee guida per il trattamento dei dati personali.

I matadati delle email in transito in Microsoft 365

Le politiche di conservazione dei dati di Microsoft 365 hanno cominciato a farsi serie dal 2014 con questo annuncio e dal quel giorno s’è potuto regolare l’accesso alla consultazione ma ma non abbiamo mai potuto cambiare i tempi di custodia. Pur avendo a disposizione i tracciati delle email (rigorosamente senza contenuto o allegati) fino a 90 giorni, sono necessari permessi specifici e metodologie diverse per la loro consultazione. Questo articolo spiega bene le logiche in Exchange Online mentre questo regola l’Exchange Onprem dove è possibile, invece, controllare anche i tempi ed i modi di mantenimento. E’ normale che nel server OnPrem si possano gestire facilmente questi parametri ma è molto più complesso in un ambiente condiviso di Software as a Service dove le nostre caselle condividono un’infrastruttura molto più grande.

Non solo email ma per la nostra sicurezza

Altri logs di notevole importanza sono gli accessi dell’utente, in ogni sua forma o applicazione, che vengono conservati per 7 o 30 giorni in base alla licenza. Questo articolo lo spiega molto bene. Microsoft 365 mantiene questi dati e li incrocia con gli indirizzi IP pubblici e gli audit delle applicazione per identificare sospetti casi di violazione. Sono la base della sicurezza informatica e ci vuole esperienza e studio per comprenderne appieno il significato. Questo articolo è un punto di partenza. Da notare che, quanto una serie di eventi inducono un incidente di sicurezza, questo viene mantenuto per 6 mesi all’interno di Microsoft 365 perchè comincia la sua gestione in Defender, nel tenant del proprietario, ma partecipa anche ad un’intelligenza collettiva per l’autodifesa dei dati, delle applicazioni e delle identità nel cloud Microsoft. A tutela di ciò Microsoft rilascia di continuo i report sulla CyberSecurity che tutti possiamo scaricare e studiare per imparare a proteggerci al meglio

  • Report sulla Difesa Digitale Microsoft scaricabile qui.
  • Cyber Signals (IT e OT) scaricabile qui.

Conclusioni

Tutti i matadati di accesso ed uso di Microsoft 365 vengono conservati automaticamente senza possibilità di cambiarne la durata. Sono fondamentali per la sicurezza informatica e tutti dobbiamo saperlo. Nell’ottica della privacy, ogni lavoratore deve essere messo a conoscenza di queste informazioni e sottoscriverle sempre con cognizione di causa.