Sicurezza aziendale: la minaccia viene dall’interno.


Il ruolo essenziale della formazione.

Negli ultimi mesi abbiamo spesso parlato di data breach, spesso riferendoci all’introduzione del Nuovo Regolamento Europeo per la privacy GDPR.

Quando si pensa ad una “minaccia” viene istintivo pensare che si tratti di un fenomeno esterno (per fare un esempio che risoluta ormai stereotipato, un hacker che cerca di violare i nostri sistemi) quindi è una sorpresa scoprire che una delle cause maggiori di una violazione dei dati è dato dal comportamento del personale aziendale.

Sicurezza aziendale


I tipi di minaccia interna

Uno studio di McAfee ha analizzato il comportamento di 1.500 lavoratori europei e rivela quanta ignoranza e quanta negligenza vi siano nel posto di lavoro quando si tratta di utilizzare le risorse IT dell’impresa.

Come risultato della ricerca McAfee ha individuato quattro tipologie di persone che, con il loro comportamento, possono causare problemi all’ambiente informatico:

  • Gli inconsapevoli. Questo gruppo comprende la maggior parte dei dipendenti. Essi hanno una conoscenza molto limitata della sicurezza e mettono a rischio la loro azienda usando il portatile aziendale a casa o permettendo ai familiari di utilizzarlo.
  • I patiti dei gadget arrivano in ufficio con i più diversi dispositivi tecnologici e li collegano alla rete dell’azienda. In questo modo non solo trasferiscono software dannoso o malware sulla rete, ma possono anche esporre le aziende al rischio di furti di dati.
  • Gli squatter sono quei dipendenti che utilizzano le risorse aziendali in modi non autorizzati, per esempio per scaricare contenuti e giocare on line.
  • I sabotatori, infine, rappresentano una piccolissima minoranza, ma ne basta uno solo per per provocare danni ingenti. Gli appartenenti a questo gruppo si introducono in aree dei sistemi informatici aziendali a cui non dovrebbero aver accesso o infettano deliberatamente la rete dall’interno.

I dipendenti, però, non sono le uniche minacce interne da tenere in considerazione ma è possibile definire almeno altre due fonti:

  • Il personale esterno: le attività concesse in outsourcing ad invididui di terze parti possono mettere a disposizioni di questi ultimi molte informazioni aziendali, spesso anche dati particolari.
  • Le applicazioni dannose: ovvero sistemi compromessi all’interno della rete che sono stati cooptati per eseguire altre attività malevole.

Quando il problema è l’errore umano, l’unica salvezza è la formazione.

Un’adeguata formazione sull’utilizzo corretto dei dispositivi non solo creerà personale più qualificato ma soprattutto più CONSAPEVOLE rispetto al proprio ruolo e ai rischi che ne derivano.

Fenomeni come il BYOD (Bring your own device) che permette ai dipendenti di usare i proprio dispositivi personali per lavoro, se da un lato aumentano la produttività, dall’altra fanno sì che i rischi possano subire un aumento. Anche in questo caso, però, è stato dimostrato che la maggior parte degli incidenti derivanti da dispositivi personali non si riferiscono a mancanze del dispositivo stesso ma all’errore umano.

GDPR e formazione

Con l’introduzione del Nuovo Regolamento Europeo, ogni azienda dovrà implementare misure di sicurezza idonee alla propria attività in modo da evitare i cosiddetti “data breach”.

Dunque sarà compito dell’azienda non solo prevedere dei limiti relativi al tipo e alla quantità di dati personali a cui hanno accesso i dipendenti – in base alle mansioni specifiche definite all’interno della struttura aziendale – ma anche garantire una formazione costante e sempre aggiornata di questi.

Nell’artt. 39, infatti, viene specificato che uno dei compiti del DPO consista nell’ “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”.

In tal senso l’esigenza voluta dal Legislatore europeo è quindi quella di voler sensibilizzare le aziende e, di conseguenza, i dipendenti sulla tematica della data protection mediante una formazione e un’istruzione periodica anche al fine di far in modo che un corretto e consapevole utilizzo dei mezzi messi a disposizione ai dipendenti possano evitare fenomeni di data breach.