info@dimitto.com   +39 800 629661

Dimitto Certification Services

Organismo di Certificazione ISO e Marcature CE

data breach: la minaccia in azienda

La norma ISO 27001 aiuta a prevenire i data breach provocati dai tuoi dipendenti. È importante che lo standard sia ben integrato con tutti i processi aziendali.

«I clienti non vengono per primi. I dipendenti vengono prima. Se ti prenderai cura dei tuoi dipendenti, loro si prenderanno cura dei tuoi clienti». Cosa diamine c’entra questa frase di Richard Branson con la norma ISO 27001 sulla sicurezza delle informazioni? In base a una ricerca condotta da Verizon, il nocciolo del problema sta proprio qui. Puoi allestire il più blindato e sofisticato sistema di sicurezza, ma se non curi al meglio i rapporti coi tuoi dipendenti, bang, il sistema salta.

Nel 2018, i responsabili del 15% di data breach (violazione dei dati), sono stati i dipendenti aziendali. L’altro dato che fa riflettere è che le aziende continuano a rifiutare la realtà.

Ma come fa un dipendente ad agire come un Cavallo di Troia? Che la responsabilità sia involontaria o volontaria, la questione si collega al concetto con cui ho aperto l’articolo. Ed è la stessa norma a mettere in guardia le imprese. Cito testualmente: «L’alta direzione deve dimostrare leadership e impegno nei riguardi del sistema di gestione per la sicurezza delle informazioni (…) fornendo guida e sostegno alle persone per contribuire all’efficacia del sistema stesso». Le parole chiave sono «guida» e «sostegno». Adesso capirai perché.

Secondo il Verizon Insider Threat Report 2019, in quel 15% rientra il profilo di quattro dipendenti:

  • il lavoratore distratto: è chi, ad esempio, scarica sul pc aziendale programmi non autorizzati. Oppure lascia collegata una penna usb, con dati sensibili, a un computer non sicuro esterno all’azienda. È un errore che possiamo commettere tutti. Ma ora che lo sappiamo, abbiamo una giustificazione in meno.
  • L’agente infiltrato: magari non si tratta di un agente segreto come quelli che vediamo nei film, ma nelle grandi aziende non è un’ipotesi da scartare.
  • Il dipendente insoddisfatto: alzi la mano chi di voi non ha mai sentito qualcuno sbottare dicendo: «Ora gliela faccio pagare». Purtroppo l’insoddisfazione può spingere al tentativo di danneggiare l’organizzazione per cui si lavora. E anche qui ritornano le parole del buon Branson: «Forma le persone abbastanza perché possano andarsene, trattale sufficientemente bene affinché possano restare». E ancora: «Trattate bene i vostri dipendenti e loro tratteranno bene la vostra azienda».
  • Partner incompetente

Questi quattro profili, indirettamente, confermano ciò che la norma ISO contempla: «È importante che il sistema di gestione per la sicurezza delle informazioni sia parte integrante dei processi e della struttura gestionale complessiva dell’organizzazione e che la sicurezza delle informazioni sia considerata nella progettazione dei processi, dei sistemi informativi e dei controlli». In questo virgolettato, la parola chiave è «processo». 

Un processo non è solo un insieme di passaggi da seguire e non è nemmeno l’ultimo programma di protezione dati. Me ne faccio ben poco di un costoso software se manca la visione strategica e la formazione delle persone. E non si tratta solo di processi e formazione tecnica. No, la sicurezza deve essere ben inserita in tutti i processi aziendali. Anche in quelli relativi al benessere dei lavoratori. Per capire quanto sia importante il benessere dei lavoratori, puoi leggere questo articolo che rimanda alla norma ISO 9001. Ecco perché la parola processo deve essere intesa sotto il suo aspetto più ampio.

A tal proposito, oltre all’articolo che ti ho appena linkato, ti riporto una ricerca del Top Employers Institute: chi investe sulle risorse umane migliora titoli azionari, performance e fatturato. Qui puoi trovare tutti i numeri.

Cosa puoi fare oggi

Puoi cominciare a selezionare le risorse da dedicare al sistema di gestione per la sicurezza delle informazioni. E poi:

  • Comincia a valutare la vulnerabilità del tuo sistema.
  • Analizza le minacce.
  • Metti a punto soluzioni adeguate.

Se hai bisogno di aiuto, CHIAMAMI. Non è semplice gestire un sistema per la sicurezza delle informazioni e prevenire i data breach. Tranquillo, sarò al tuo fianco. 

Ps. Per approfondire l’argomento puoi leggere anche:

  1. ISO 27001 e il nuovo petrolio
  2. Ai cyber attacks si risponde con la ISO 27001

Share on LinkedIn Share on WhatsApp Share on Telegram

Ti consiglio la lettura di questi articoli

ISO 27001 contro gli attacchi informatici
Ai Cyber attacks si risponde con la ISO 27001
Le certificazioni e il futuro del lavoro
Arriva la Rivoluzione: prepariamoci
Protezione dati personali e cybercrime
Certificazione ISO 27001 e il nuovo petrolio
Cyber security: ecco cosa serve davvero - 2
ISO 27001 gestione sistema sicurezza dati
Evitare riscatti milionari con la ISO27001
Gdpr-sicurezza dati-io 27991
La Sicurezza delle Informazioni nelle PMI
Fare risk management con ISO 27001
Sicurezza informatica: occhio alla valutazione del rischio
Avatar photo

Nunzio Morrone

Fonda Dimitto nel 2006, crede che le certificazioni siano lo strumento per ridurre sprechi e creare progresso. Quando non lavora ama farsi spiegare dai figli come utilizzare al meglio lo smartphone.

Il pensamento del giovedì

Ogni Giovedì mattina un gruppo di imprenditori illuminati riceve una mail. Puoi riceverla anche tu, gratis. Applicare i consigli che contiene richiede coraggio, il tuo.

Corso di Aggiornamento

ISO/IEC 27001:2022

Sistema di Gestione della Sicurezza delle Informazioni

Iscriviti ora

Corso qualificato
N° 392 del Registro dei corsi qualificati.

8 ore – live streaming
Giovedì 6 luglio
dalle 9.00 alle 18.00