Analisi dei requisiti organizzativi e di sicurezza per
l’utilizzo di Skype in ambito aziendale.
Utente: _________________
Version 1.1

Utilizzo di Skype in azienda
Skype e funzionalità erogate in ambito aziendale
L’utilizzo di Skype in azienda è importante che sia consentito in modo illimitato esclusivamente
per le seguenti funzionalità principali di Messaggistica e Telefonia peer to peer.
E’ invece opportuno che siano regolate da politiche aziendali la gestione amministrativa dei
servizi di telefonia SkypeIN, SkypeOUT ed SMS .
Si consiglia di inibire, a causa delle potenziali pesanti conseguenze in termini di violazione della
riservatezza e del patrimonio informativo aziendale, le seguenti funzionalità:
• Scambio Files
• Installazione di applicazioni Skype

Installazione e configurazione di Skype in azienda
Installazione di Skype
L’installazione di Skype in autonomia dovrebbe essere vietata, autorizzando esclusivamente
l’utilizzo della versione di skype fornita dal dipartimento IT dell’azienda.
Tale installazione per portare alla compliance con le politiche aziendali di utilizzo di Skype e
permette di utilizzare il sistema attraverso i proxy server aziendali.
Configurazione di Skype
Skype richiede un setup e la fornitura di un insieme di informazioni sull’utilizzatore.
Le generalità fornite nel setup di Skype dovrebbero essere veritiere e complete, includere tutti i
dati di riferimento aziendali quali indirizzo email su caselle aziendale, numero di telefono
aziendale, stanza, edificio e indirizzo fisico per essere raggiunti.
Lo username skype non dovrebbe riportare nomi di fantasia (nickname) e dovrebbe rispettare un
formato standard, come ad esempio:
nome.cognome.nomeazienda
Tutte le username skype abilitate dovrebbero essere raccolte e indicizzate da parte del
dipartimento IT dell’azienda.
Tutte le username aziendali dovrebbero essere allocate sotto l’account Skype Business aziendale.
Il dipartimento IT dovrebbe provvedere a invitare l’utente ad accedere all’account Skype Business.

Skype e telefonia internazionale
Si consiglia di vietare esplicitamento l’acquisto di traffico voce, numerazioni telefoniche o servizi a
pagamento utilizzando carte di credito aziendali in modo indipendente.
Il traffico telefonico e i servizi telefonici dovrebbero essere erogati dal dipartimento IT dell’azienda
che dovrebbe provvedere, su richiesta degli utilizzatori interni e sulla base della verifica della
compliance dell’utilizzo di Skype, ad abilitare i servizi richiesti e/o accreditare il credito richiesto sul
proprio account skype.
Acquisto di numerazioni SkypeIN
Tutte le richieste di acquisto di numerazioni entranti dovrebbero essere effettuate al dipartimento IT il
quale dovrebbe quindi provvedere all’acquisto, la registrazione, la contabilizzazione nei centri di
costo più opportuni ed alla allocazione del numero alla utenza skype interna richiedente.
Acquisto di traffico SkypeOUT / SMS
Tutte le richieste di acquisto di credito telefono dovrebbero essere effettuate al dipartimento IT, il
quale dovrebbe quindi provvedere all’acquisto, la registrazione, la contabilizzazione nei centri di
costo più opportuni ed alla allocazione del credito telefonico richiesto alla utenza skype interna
richiedente.
Acquisto di abbonamenti traffico illimitato
Tutte le richieste di acquisto di abbonamenti telefonici illimitati dovrebbero essere effettuate al
dipartimento IT, il quale dovrebbe quindi provvedere all’acquisto, la registrazione, la
contabilizzazione nei centri di costo più opportuni ed alla allocazione dell’abbonamento alla utenza
skype interna richiedente.

Skype e la sicurezza
Sicurezza delle telefonate
Al contrario di quanto sia pubblicizzato da parte di Skype, le telefonate effettuate attraverso questo
software non sono da considerarsi sicure e nessuna informazione confidenziale dell’azienda dovrebbe
viaggiare attraverso queste forme di comunicazione.
Per la comunicazione sicura è opportuno utilizzare strumenti di telefonia sicura punto-punto, che
dovrebbero essere forniti dal dipartimento IT.
Sicurezza delle chat
Al contrario di quanto sia possa immaginare le chat di skype non sono sicure, sono conservate sui
sistemi di skype ed è mantenuta una copia locale delle chat stesse sui computer degli interlocutori.
Dovrebbe essere fatto diviedo assoluto di comunicare informazioni confidenziali dell’azienda
attraverso il sistema di messaging di skype.
Per la comunicazione sicura testuale è opportuno utilizzare strumenti dedicati, che dovrebbero essere
forniti dal dipartimento IT.
Identità degli interlocutori
Una conversazione telefonica tradizionale permette di chiamare un numero di telefono con la
conoscenza a priori che tale numero è effettivamente di pertinenza del destinatario.
Tuttavia su Skype chiunque può registrarsi con generalità assolutamente false e inventate, per cui
qualcuno potrebbe presentarsi con il nome e cognome del proprio responsabile, richiedere
l’esecuzione di azioni o l’invio di informazioni confidenziali.
Dovrebbe essere fatto divieto assoluto, a meno che non si sia verificato in modo certo e inconfutabile
l’identità di un proprio contatto, ricevere ordini o fornire informazioni ad utenze Skype.

Scheda Tecnica per il deployment in ambito aziendale
L’azienda dovrebbe fornire Skype esclusivamente tramite deployment della versione Skype
Business attraverso Active Directory.
Le configurazioni non modificabili di Skype installato tramite active directory dovrebbero
impedire:
- Lo scambio di files attraverso Skype (porterebbe ad un eccessivo rischio di data loss)
- L’installazione di applicazioni e plug-in Skype
Inoltre la configurazione di rete di Skype dovrebbe essere staticamente impostata come segue:
- Utilizzo del Proxy Server aziendale
- Utilizzo esclusivo delle comunicazioni attraverso TCP
- Divieto del nodo skype di tramutarsi in supernodo
Questo al fine di contenere l’utilizzo delle risorse da parte di skype ad un livello accettabile ed
avere comunque tutte le comunicazioni in transito attraverso il proxy server senza avere la
necessità di creare pericolosi buchi sui firewall aziendali.
Maggiori informazioni sul deployment di skype in ambito aziendale e configurazione delle
politiche di sicurezza e utilizzo:
http://www.skype.com/security/network-admin-guide-version2.2.pdf
http://www.skype.com/security/Skype-v1.5.adm - Group Policy Template

Scheda Amministrativa per l’utilizzo di crediti Skype in
ambito aziendale
L’azienda dovrebbe abilitare una propria utenza aziendale Skype Business.
Con tale funzionalità Skype si potrebbe quindi gestire:
Acquisto di credito skype
Attraverso utenze Skype business è possibile acquistare credito skype sia con bonifico bancario
che tramite molteplici carte di credito.
L’azienda dovrebbe gestire centralmente gli acquisti e il caricamento di credito Skype, da
distribuire poi ai suoi utilizzatori.
Assegnazione di credito skype e servizi alle utenze interne
Tutti i servizi skype a pagamento (SkypeIN, SkypeOUT, SMS, Abbonamenti) dovrebbero essere
forniti dalla azienda centralmente e secondo procedure di dettaglio interne da stabilirsi.
L’azienda, tramite il pannello di gestione Skype Business, assegnerebbe quindi tali servizi ai
propri utenti interni.
Revisione compliance configurazione utenze skype
L’azienda, tramite Skype Business, dovrebbe verificare che le utenze siano configurate in
conformita delle politiche aziendali.
Revisione dei tabulati di traffico
L’azienda, tramite skype Business, dovrebbe verificare il corretto utilizzo dei crediti Skype
assegnati attraverso la disponibilità e accesso di tutti i tabulati di traffico telefonico dei suoi
utenti.

Supporto clienti
KHAMSA SA
info@khamsa.ch
Via Giacometti 1
Svizzera: +41 (0)91 2206441
6900, Lugano
Italia: +39 02 911930890
Switzerland