IT Security a rischio in azienda: secondo una recente ricerca condotta da BalaBit, la gran parte del personale IT delle aziende non adotta comportamenti conformi alle policies aziendali, addirittura, compiendo attività illecite: il 74% abusa del proprio ruolo per accedere ad informazioni riservate degli altri lavoratori, mentre il 54% viola le policy aziendali scaricando contenuti illegalmente.
A rispondere al questionario anonimo sulla sicurezza informatica in azienda sono stati tutti i professionisti IT, compresi CIO, CSO, amministratori o manager di sistema.
Il pericolo vero (e la tentazione) sta nella condivisione di password e l’accesso condiviso con più colleghi a sistemi e applicazioni aziendali per attività di amministrazione. Tutto questo espone a seri rischi, perché in caso di incidenti diventa difficile trovare il reale responsabile.
Forse per questo solo l’8% degli intervistati si è dichiarato contrario al monitoraggio del proprio lavoro, mentre il 92% del campione non si è dimostrato affatto contrario. Più in particolare il 34% ne sarebbe addirittura contento ed il 58% non avrebbe nessun problema.
Eppure esiste un 74% che sarebbe già stato licenziato se l’azienda avessere delle registrazioni video del proprio “operato”: solo il 36% dichiara infatti di non aver mai effettuato nessuna attività illecita!
In media chi ha infranto le policies IT lo ha fatto almeno due volte, tra le attività illegali più gettonate c’è il download di contenuti illegali praticato dal 54% dei responsabili IT; la creazione di regole eccezionali nei sistemi IT come firewall per ragioni personali (48%); il prelievo di informazioni aziendali (29%); la visione di file riservati relativi ai colleghi presenti nei server dell’azienda, come buste paga etc. (25%); la lettura delle email dei colleghi (16%); la cancellazione o modifica dei file di gestione dei log (15%).
Con una situazione del genere viene quindi spontanea la domanda: e in questi casi, come poter risolvere? Se ad esempio volessimo andare sul “facile” la soluzione potrebbe essere la monitoraggio di tutto quello che fanno i dipendenti, incorrendo però nel rischio di andare a ledere oltre al diritto alla privacy di ognuno anche la tranquillità personale dell’individuo, sempre sottoposto ad uno stress accessorio come se sotto esame continuo.
Per quanto concerne il settore privacy e, in particolare, la sicurezza informatica, riteniamo che il vero problema derivi dal poco controllo effettuato fino ad ora dagli organi competenti e soprattutto dalla sensazione che il fattore “privacy e sicurezza dei dati” fosse visto dai responsabili del trattamento e dai datori di lavoro solo come una scocciatura per mettersi a norma più che una vera e propria occasione di fornire un servizio migliore per il cliente in primis ma anche più efficiente per le aziende stesse.
Sotto questa luce, quindi, il nuovo regolamento europeo sulla privacy non fa altro che mettere i responsabili del trattamento di fronte ad un’occasione unica: la creazione di una struttura efficiente e sicura.
Fino a questo momento, infatti, l’ultima firma apposta sia sul documento programmatico sulla sicurezza sia sulle attività svolte per le misure minime di sicurezza era sempre del titolare del trattamento, che spesso sbrigava la formalità giusto per adempiere ad un obbligo senza poi realmente sapere se la propria struttura (specie se di grandi dimensioni) fosse realmente a norma e sicura.
Con l’introduzione del Privacy Officer come figura di consulente privacy certificato e figura professionale iscritta ad un preciso albo, sarà il professionista ad apporre la propria firma sulla documentazione e a prendersi carico e responsabilità di una struttura efficiente e che garantisca i requisiti minimi di sicurezza come da attuale allegato B, fornendo però una certificazione reale, oggettiva e professionale, mettendo da parte tutti quei presunti consulenti improvvisati che hanno operato in maniera sommaria fino a questo momento, coadiuvati da una normativa che non prevedeva una precisa regolamentazione.
Ci auguriamo quindi che l’Italia possa quanto prima uniformarsi agli altri stati europei, prendendo magari come esempi positivi la Germania e l’Austria, leaders innovativi sotto il profilo privacy che però hanno a loro disposizione una rete di aziende e pubblica amministrazione all’avanguardia sotto il punto di vista della tutela dei dati degli utenti.
Fonti utilizzate pmi.it/tecnologia/infrastrutture-it/news/10116/responsabili-it-trascurano-sicurezza-e-privacy.html
È anche vero che se le leggi sulla privacy e sulla documentazione necessaria fossero un po’ più chiare, forse magari la gente e noi ditte sapremmo come potersi muovere e cosa fare. Se poi i dipendenti fanno furto di notizie e dati non credo ci sia privacy che tenga!!!
Sig. Francesco questo sicuramente è vero, non c’è poi una grande informazione a riguardo e spesso si corre ad informarsi o quando si hanno sanzioni in arrivo o quando “per sentito dire” si viene a sapere qualcosa. Il problema grosso è che spesso sono altre figure che già collaborano con le aziende a dare informazioni sommarie, e confidando nella buona fede del cliente, spesso si assiste a consulenze non particolarmente curate.
È sicuramente per quello che noi consigliamo la figura del consulente privacy certificato, oltre che per ragioni lavorative nostre, soprattutto per il fatto che un consulente certificato dà la sicurezza di ottenere un lavoro valido in modo oggettivo e soprattutto mette al riparo il datore di lavoro da spiacevoli conseguenze. Anche a livello giuridico, infatti, un conto è la propria parola, ed un conto è avere una relazione di un professionista che certifica come la figura giuridica avesse fatto tutto quello che poteva per garantire protezione dei dati (che poi si sa, contro azioni poco limpide anche le normali azioni spesso posso fallire).