Consulente di sicurezza delle informazioni, lead auditor ISO27001, innovation manager e PM certificato. Socio e amministratore di Darnet Servizi srls, LegalEYE srl e Darnet UK LTD. Opera da oltre 20 anni nel settore IT, con particolare focus agli aspetti di sicurezza, non solo rispetto all’ambito tecnologico ma con particolare attenzione agli aspetti organizzativi e sistemici aziendali. Con l’azienda Darnet, svolge attività consulenziale verso diverse realtà strutturate del territorio e non per l’analisi del livello di sicurezza tecnico-organizzativa e per la progettazione e implementazione dei piani di gestione della sicurezza IT e di sviluppo della infrastruttura informatica aziendale. Ha progettato e operato come docente in diversi percorsi formativi e informativi in ambito di sicurezza delle informazioni e alla gestione di progetti con metodologie visuali, sia generalisti sia verticali, su specifiche tecnologie. E’ radioamatore e appassionato di fotografia.
In quale modo per il reparto delle risorse umane in azienda è importante conoscere le misure di cyber sicurezza? Quali sono le fondamentali azioni da adottare per garantire la conformità?
Volendo sintetizzare il GDPR in poche righe, possiamo dire che il Garante Privacy ci chiede di:
- essere consapevoli dei dati che andremo a trattare
- informare trasparentemente gli interessati sui trattamenti
- Identificare i rischi legati ai trattamenti
- progettare e applicare opportune misure tecnico / organizzative per proteggere tali dati, in relazione ai rischi suddetti
Questo approccio di buon senso si sposa anche con le tematiche della sicurezza delle informazioni, a maggior ragione nel contesto di un ufficio o funzione HR, ove il dato trattato è spesso strategico/delicato e comunque rientra con buona probabilità nel c.d. “dato personale”. E’ fondamentale innanzi tutto un approccio di tipo organizzativo, che parta da una analisi del contesto interno ed esterno (l’azienda, il mercato in cui opera, la struttura organizzativa, etc) e dalla identificazione dei processi di business, della loro criticità per le attività aziendali e dei rischi ad essi correlati. Solo a seguito di tale analisi, è possibile progettare un percorso di messa in sicurezza per l’azienda o per la singola funzione, al fine di garantire la riservatezza delle informazioni, la loro integrità e la disponibilità / continuità di servizio. Ricordandosi che la sicurezza in azienda non è un progetto, ma un processo, fatto di continui passi di miglioramento e consolidamento, senza mai cadere nel pericoloso bias di “falsa sicurezza” (ho fatto tutto quanto dovevo, ora sono al sicuro, e quindi inattaccabile). Il contesto interno ed esterno sono in continuo cambiamento e – anche nell’ipotesi di progettare e implementare correttamente le contromisure – ci saranno sempre affinamenti alle strategie difensive da mettere in atto, in particolare per contrastare le nuove minacce informatiche nel frattempo palesatesi.
Quali sono le principali minacce cibernetiche che le aziende possono affrontare nel contesto delle risorse umane, e quali sono le migliori pratiche per proteggere i dati sensibili dei dipendenti?
Le minacce più rilevanti sono oggi relative alla c.d. Social Engineering, ovvero l’utilizzo di tecniche di psicologia sociale, al fine di convincere ignari utenti ad aiutare l’attaccante nel colpire l’azienda. Con sempre maggior frequenza, si riscontra poca tecnologia e molta psicologia alla base di un attacco informatico. In pratica, tramite messaggi e-mail / sms / telefonate – che fanno leva su aspetti finanziari, reputazionali, personali, si tenta di convincere l’utente ad accedere a una determinata pagina Internet, piuttosto che cliccare su un link all’interno di una email. Con queste azioni, l’utente ignaro scarica sul proprio computer – e quindi sulla rete aziendale – un software malevolo, oppure condivide le proprie credenziali informatiche su siti che paiono affidabili ma in realtà sono realizzati ad arte per carpire gli accessi ai sistemi aziendali. Contro questi fenomeni, oltre alle tecnologie di protezione aggiornate, è necessario puntare fortemente sulla informazione, sensibilizzazione e formazione delle persone coinvolte nella gestione del dato, con modalità differenziate e misurabili, al fine di creare consapevolezza nelle risorse e quindi maggior attenzione alla sicurezza.
Come possono le aziende garantire la privacy dei dipendenti durante il processo di gestione delle risorse umane, come la raccolta di dati personali per fini di selezione del personale e di valutazione delle prestazioni fino alla gestione della fuoriuscita della persona?
È necessario partire dalla progettazione su carta del flusso di dati che si andranno a raccogliere e gestire. Solo avendo chiaro il “percorso” che il dato farà in azienda, e con una opportuna valutazione preventiva dei rischi, sarà possibile identificare i rischi più probabili e introdurre fin da subito le opportune contromisure e strumenti di controllo. Anche in questo caso, diventa fondamentale la formazione e la consapevolezza delle persone coinvolte. Non è possibile fare sicurezza in azienda, senza considerare prioritariamente il cosiddetto fattore H (Human);: le persone sono l’elemento cardine su cui agire, per costruire un progetto di sicurezza aziendale.
Quali sono le responsabilità specifiche del responsabile della protezione dei dati (DPO) o del responsabile della sicurezza delle informazioni (CISO) nei confronti del reparto delle risorse umane, e come possono collaborare per garantire la sicurezza dei dati?
Sono entrambe due figure relativamente nuove in azienda, in particolare il CISO (Chief Information Security Officer), sebbene sia un ruolo che è stato introdotto ben prima del DPO (Data Protection Officer), almeno oltre oceano. In entrambi i casi, si tratta di soggetti che dovrebbero essere visti in primis come una sorta di “consulenti aziendali”, da coinvolgere nelle varie attività già in fase di progettazione: è in questa fase che possono dare il massimo supporto all’azienda, fornendo suggerimenti utili per evitare da subito errori o vulnerabilità nella gestione del dato. Ricordiamoci che un intervento preventivo – in questo ambito – è molto meno costoso che di un intervento in corso d’opera, ed evita all’azienda il rischio di non rispetto delle normative vigenti in fatto di trattamento dati personali. Sono comunque soggetti che dovrebbero avere un ruolo di controllo e una indipendenza rispetto ai responsabili del trattamento del dato, e tipicamente – almeno nel caso del CISO – un proprio budget che garantisca la possibilità di azione autonoma. In particolare sono ruoli che non possono coincidere con coloro che poi devono “far funzionare” i sistemi (es. responsabile IT), Ricordiamoci che la nomina di un CISO o di un DPO non determina un trasferimento di responsabilità in capo al Titolare d’azienda verso tali soggetti, pur restando comunque indicatore di un approccio di attenzione alla sicurezza del dato (ev. Personale) trattato dall’azienda stessa. Nel caso di un reparto HR, ad esempio, la collaborazione con il DPO in fase di progettazione consentirà di non incorrere in errori tipici, quali:
- la conservazione del dato ad libitum, senza scadenza,
- la raccolta di più dati di quanto effettivamente necessario,
- l’accesso al dato da parte di soggetti che non hanno effettiva esigenza di consultazione,
- l’adozione di strumenti che trattino il dato al di fuori del territorio europeo
- L’assenza di valutazione dei rischi rispetto a trattamenti svolti da soggetti terzi
- La mancata trasparenza verso l’utente che ha comunicato i propri dati rispetto ai trattamenti svolti
Quali sono i passaggi chiave che un’azienda deve seguire in caso di violazione dei dati personali dei dipendenti, e quali sono le conseguenze legali e finanziarie di una tale violazione?
E’ fondamentale effettuare una attenta analisi, già nelle prime ore dall’incidente, per capire – per quanto possibile – cosa sia accaduto. Si tratta di analisi che devono essere svolte da personale preparato e multi-disciplinare, che consideri l’evento sotto diversi punti di vista (tecnico, organizzativo, legale, reputazionale, etc.). In particolare, il Garante Privacy ci chiede di analizzare l’impatto che tale violazione potrebbe avere rispetto agli interessati, e – nel caso di eventi di particolare rilevanza – procedere alla notifica dell’avvenuto incidente; tale notifica non è una banale segnalazione, ma una raccolta dettagliata di informazioni sull’incidente, sui dati coinvolti, sulle possibili conseguenze, etc. Nel caso di rilevante impatto, potrebbe essere necessario avvisare gli interessati (nel caso specifico, i dipendenti) con procedure e modalità che non possono essere improvvisate, ma che devono essere opportunamente predisposte prima del verificarsi dell’incidente. Ricordiamoci che il Garante prevede un massimo di 72 ore per la notifica sul proprio portale, da quando abbiamo evidenza dell’incidente. Considerato che spesso gli eventi avversi si verificano nel fine settimana o in momenti di ferie – ove l’azienda è meno presidiata e gli attaccanti possono operare con minori rischi – capiamo che non è un tempo così ampio da consentire e accettare “improvvisazioni” operative. Fondamentale comunque è adottare una comunicazione trasparente, questo sia rispetto al Garante (si corre altrimenti il rischio di ripercussioni, anche di natura penale), sia rispetto agli stakeholder. Attenzione infatti a non focalizzarsi solo su possibili ispezioni o sanzioni; i rischi per il business aziendale sono spesso relativi ai costi da sostenere per la gestione dell’incidente e la ripartenza – tipicamente iscritti in tre annualità di bilancio – , possibili azioni civili di terzi, e impatti sulla reputazione, aspetto fondamentale per costruire buone relazioni di business.