
La norma ISO 27001 aiuta a prevenire i data breach provocati dai tuoi dipendenti. È importante che lo standard sia ben integrato con tutti i processi aziendali.
«I clienti non vengono per primi. I dipendenti vengono prima. Se ti prenderai cura dei tuoi dipendenti, loro si prenderanno cura dei tuoi clienti». Cosa diamine c’entra questa frase di Richard Branson con la norma ISO 27001 sulla sicurezza delle informazioni? In base a una ricerca condotta da Verizon, il nocciolo del problema sta proprio qui. Puoi allestire il più blindato e sofisticato sistema di sicurezza, ma se non curi al meglio i rapporti coi tuoi dipendenti, bang, il sistema salta.
Nel 2018, i responsabili del 15% di data breach (violazione dei dati), sono stati i dipendenti aziendali. L’altro dato che fa riflettere è che le aziende continuano a rifiutare la realtà.
Ma come fa un dipendente ad agire come un Cavallo di Troia? Che la responsabilità sia involontaria o volontaria, la questione si collega al concetto con cui ho aperto l’articolo. Ed è la stessa norma a mettere in guardia le imprese. Cito testualmente: «L’alta direzione deve dimostrare leadership e impegno nei riguardi del sistema di gestione per la sicurezza delle informazioni (…) fornendo guida e sostegno alle persone per contribuire all’efficacia del sistema stesso». Le parole chiave sono «guida» e «sostegno». Adesso capirai perché.
Secondo il Verizon Insider Threat Report 2019, in quel 15% rientra il profilo di quattro dipendenti:
- il lavoratore distratto: è chi, ad esempio, scarica sul pc aziendale programmi non autorizzati. Oppure lascia collegata una penna usb, con dati sensibili, a un computer non sicuro esterno all’azienda. È un errore che possiamo commettere tutti. Ma ora che lo sappiamo, abbiamo una giustificazione in meno.
- L’agente infiltrato: magari non si tratta di un agente segreto come quelli che vediamo nei film, ma nelle grandi aziende non è un’ipotesi da scartare.
- Il dipendente insoddisfatto: alzi la mano chi di voi non ha mai sentito qualcuno sbottare dicendo: «Ora gliela faccio pagare». Purtroppo l’insoddisfazione può spingere al tentativo di danneggiare l’organizzazione per cui si lavora. E anche qui ritornano le parole del buon Branson: «Forma le persone abbastanza perché possano andarsene, trattale sufficientemente bene affinché possano restare». E ancora: «Trattate bene i vostri dipendenti e loro tratteranno bene la vostra azienda».
- Partner incompetente.
Questi quattro profili, indirettamente, confermano ciò che la norma ISO contempla: «È importante che il sistema di gestione per la sicurezza delle informazioni sia parte integrante dei processi e della struttura gestionale complessiva dell’organizzazione e che la sicurezza delle informazioni sia considerata nella progettazione dei processi, dei sistemi informativi e dei controlli». In questo virgolettato, la parola chiave è «processo».
Un processo non è solo un insieme di passaggi da seguire e non è nemmeno l’ultimo programma di protezione dati. Me ne faccio ben poco di un costoso software se manca la visione strategica e la formazione delle persone. E non si tratta solo di processi e formazione tecnica. No, la sicurezza deve essere ben inserita in tutti i processi aziendali. Anche in quelli relativi al benessere dei lavoratori. Per capire quanto sia importante il benessere dei lavoratori, puoi leggere questo articolo che rimanda alla norma ISO 9001. Ecco perché la parola processo deve essere intesa sotto il suo aspetto più ampio.
A tal proposito, oltre all’articolo che ti ho appena linkato, ti riporto una ricerca del Top Employers Institute: chi investe sulle risorse umane migliora titoli azionari, performance e fatturato. Qui puoi trovare tutti i numeri.
Cosa puoi fare oggi
Puoi cominciare a selezionare le risorse da dedicare al sistema di gestione per la sicurezza delle informazioni. E poi:
- Comincia a valutare la vulnerabilità del tuo sistema.
- Analizza le minacce.
- Metti a punto soluzioni adeguate.
Se hai bisogno di aiuto, CHIAMAMI. Non è semplice gestire un sistema per la sicurezza delle informazioni e prevenire i data breach. Tranquillo, sarò al tuo fianco.
Ps. Per approfondire l’argomento puoi leggere anche: