Tempo di lettura: 6 Minuti
Sei certo che i dati della tua azienda siano al sicuro al di fuori del tuo ufficio? Tutte le aziende del mondo che raccolgono o trattano dati personali relativi a persone residenti nell’UE sono avvisate: il Regolamento generale sulla protezione dei dati (GDPR) entra in vigore questo mese. Scopri come proteggere la tua impresa leggendo i consigli degli esperti in materia di conformità al GDPR
Se ti affidi a lavoratori da remoto, potrebbe non essere necessario ricordarti quanto sia importante proteggere i tuoi dati, assicurandoti che non vengano usati in modo inappropriato, smarriti o sottratti. Sicuramente lo sai già. Ma questo mese (maggio 2018) entrerà in vigore il Regolamento generale sulla protezione dei dati (GDPR) ed è altrettanto importante che ti assicuri di soddisfare i severi requisiti previsti dal regolamento. Non farti cogliere impreparato perché potresti rischiare gravi danni dal punto di vista del portafoglio e della reputazione. Detto questo, vediamo insieme come puoi proteggere i tuoi dati in movimento senza rinunciare ai vantaggi di una forza lavoro veramente flessibile.
1. Educa e ri-educa i tuoi dipendenti
Nel linguaggio usato nel GDPR, la tua azienda è il "proprietario delle informazioni", mentre i tuoi dipendenti da remoto sono i "gestori delle informazioni". "Ciò significa che rivestono un ruolo importante e che hanno la responsabilità di proteggere i dati della tua azienda tanto quanto te", afferma John Slaughter, MD di Data Comply(1). Aggiunge: "La conformità al GDPR deve diventare una priorità nelle loro attività quotidiane, soprattutto quando lavorano da remoto. È indispensabile adottare linee guida chiare sull’uso di reti sicure, così come identificare e comunicare quali dati non devono assolutamente uscire da un ambiente protetto". John Slaughter consiglia alle imprese di non esitare a formare, riformare ed esaminare regolarmente i dipendenti per assicurarsi che abbiano compreso le problematiche esistenti e per accertarsi che le pratiche usate siano aggiornate.
Le aziende devono anche ricordare al personale che la rete WiFi pubblica non è assolutamente sicura. Può sembrare banale, ma repetita iuvant. "Nessuno dovrebbe effettuare operazioni bancarie tramite reti pubbliche, men che meno accedere a documenti di lavoro riservati", dice Andy Kays, CTO di Redscan, società specializzata in rilevamento e risposta alle minacce informatiche. "Incoraggiare i lavoratori a usare esclusivamente punti di accesso WiFi protetti o a connettersi alla rete aziendale solo mediante una connessione VPN sicura è un obbligo. Così come lo è collegarsi a Internet tramite 4G (o chiave di protezione), una tecnologia che offre ai dipendenti un collegamento sicuro e ottimale al fornitore di servizi".
2. Proteggi tutto, ma proprio tutto, con una password
Ai sensi del GDPR sarà possibile comminare sanzioni pari fino al 4% del fatturato globale di un’azienda nel caso in cui si verifichi una violazione significativa dei dati. L’unica eccezione è dimostrare che i dati erano crittografati in maniera adeguata.
"Non esistono sistemi di sicurezza infallibili: non bisogna dimenticare che persino la Nasa è stata oggetto di attacco da parte di hacker", afferma il rumeno Andrei Hanganu, autore di EU GDPR Documentation Toolkit(3). "Tuttavia, l’uso di password complesse e di soluzioni di crittografia adeguate può aiutare a proteggere i dati personali da utenti non autorizzati".
La stragrande maggioranza delle aziende si affida a software per crittografare le unità di memoria e tutti i file salvati su di esse. Questo però non accade automaticamente sui dispositivi remoti! Andrei Hanganu raccomanda di implementare il software di crittografia richiesto su computer portatili, dispositivi mobili e computer desktop personali. A quel punto gli utenti avranno bisogno di un PIN o di una password per poter accedere e visualizzare i dati in un formato leggibile. L’abitudine di proteggere con password qualsiasi cosa deve diventare un mantra per tutti i dipendenti.
3. La pulizia è fondamentale, non dimenticarlo
Anche virus e attacchi malware sono sotto la lente del GDPR per la loro capacità di raccogliere e monitorare i dati. "Purtroppo difendersi dai malware è talmente difficile che la maggior parte delle aziende è rassegnata: non pensa più al se ma al quando verrà colpita", sostiene Nigel Tozer, responsabile del marketing per le soluzioni EMEA in Commvault(4). A tal fine, consiglia di usare i sistemi operativi e i software anti-virus più aggiornati per proteggere i dispositivi dei dipendenti.
"Ormai è assodato, gli esseri umani sono l’anello più debole del sistema di sicurezza di un’azienda. Basta che un solo dipendente faccia clic su un link sbagliato o che non aggiorni il suo sistema per scatenare conseguenze devastanti", aggiunge Andy Kays. L’esperto continua: "È imperativo impegnarsi affinché i dipendenti siano consapevoli dei rischi relativi alla cybersicurezza organizzando regolarmente corsi di formazione, dedicati in particolare a chi lavorando da remoto può accedere a dati e servizi aziendali da un gran numero di dispositivi, posizioni e reti".
Le aziende potrebbero anche valutare l’idea di tenere costantemente sessioni con il reparto IT, durante le quali i dispositivi mobili dei lavoratori siano sottoposti a controlli di sicurezza, aggiornamenti e upgrade.
Sai che dovresti adottare una strategia che consenta alla tua azienda di proteggere i dati anche quando i dipendenti lasciano l’ufficio?
4. Sicurezza visiva sempre in primo piano
"In un mondo tecnologicamente avanzato come il nostro, è facile dimenticare che esistono ancora modi low-tech per rubare i dati aziendali", dice Orlagh Kelly, avvocato e amministratore delegato di Briefed GDPR Training and Consultancy Specialists(5).
Prendiamo come esempio un esperimento condotto da 3M, nel corso del quale un hacker sotto copertura è riuscito a rubare informazioni riservate semplicemente sbirciando lo schermo di un vicino nell’88% dei casi(6). Non male per essere low-tech!
Secondo Orlagh Kelly è necessario ricordare ai dipendenti di fare sempre molta attenzione alle persone che si hanno accanto quando si lavora fuori ufficio. Vale la pena prendere in considerazione l’uso di filtri per la privacy che basta applicare sullo schermo per impedire la vista laterale a chi è a caccia di informazioni. Semplice ma efficace!
5. Quali sono i limiti del cloud?
Uno studio del Ponemon Institute mette in evidenza due fatti allarmanti. Il primo è che il 44% dei dati aziendali archiviati in ambienti cloud non è né gestito né controllato dal reparto IT. Il secondo è che l’uso di servizi cloud, di conseguenza, può triplicare la probabilità di una violazione dei dati da 20 milioni di dollari(7).
Nigel Tozer ci ricorda che scegliere il fornitore di servizi cloud giusto è molto importante. E sottolinea: "Devi conoscere a menadito il modo in cui gestirà un’eventuale violazione dei dati, perché entrambi avete responsabilità in tal senso. Se tutti i dati restano nell’UE, il fornitore deve assicurarsi di conservarli in maniera conforme ai tuoi requisiti legali. Nel caso in cui dei dati escano dall’UE, devi verificare che siano protetti in modo appropriato e nel rispetto di quanto previsto dal GDPR".
Nigel Tozer evidenzia che in casi come questo, secondo quanto stabilito dal GDPR, sebbene il fornitore di servizi cloud sia l’elaboratore dei dati, tu continui a essere il controllore. "Questo significa che la responsabilità di verificare le credenziali del tuo fornitore e di assicurarti che offra garanzie sufficienti di implementazione di salvaguardie tecniche e organizzative appropriate che siano conformi al nuove regolamento UE è solo e solamente tua".
6. La privacy dei tuoi dipendenti è importante. Rispettala!
Nessuno vuole mettere in dubbio le tue buone intenzioni, ma se stai usando strumenti o tecnologie per il monitoraggio della produttività dei tuoi dipendenti che lavorano da remoto, non dimenticare che hai il dovere di proteggere la loro privacy, come afferma George Harris, consulente in materia di GDPR per DMPC Ltd(8). "Giustificare il monitoraggio del tuo staff in uno scenario aziendale standard non è per niente facile", continua.
Una volta che il GDPR sarà entrato in vigore, per monitorare i dispositivi di un dipendente (attraverso un keystroke logging o una tecnologia di tracciamento del mouse) senza violare il suo diritto alla privacy bisognerà essere dei maghi. Ai sensi del Gruppo di lavoro ex articolo 29 del GDPR: "Le tecnologie che monitorano le comunicazioni possono […] avere un effetto dissuasivo sui diritti fondamentali dei dipendenti a organizzarsi, tenere riunioni dei lavoratori e comunicare in maniera riservata (incluso il diritto alla ricerca di informazioni)(9)".
7. Tieni pronto un piano di azione in caso di violazione dei dati
James Walker, MD di Jaw Consulting UK ed esperto di cybersicurezza, protezione dei dati e privacy, spiega: "Con violazione dei dati si intende tutto ciò che va da un attacco malware circostanziato al portatile di qualcuno a un dipendente che dimentica il cellulare aziendale sul treno o che invia per sbaglio un’e-mail contenente dati a un gruppo usando la copia invece della copia nascosta.
Istintivamente ti senti in dovere di avviare procedure di controllo del danno, ed è senz’altro la cosa giusta da fare. Ma con il GDPR, quello che prima era solo un istinto, deve diventare qualcosa di più. Walker sottolinea: "Un’organizzazione ha 72 ore per comunicare sia alle persone coinvolte sia all’autorità di supervisione rilevante la violazione dei dati, includendo un’analisi delle possibili conseguenze derivanti dalla violazione e un elenco delle misure adottate o proposte al fine di mitigare gli effetti negativi della stessa".
Ricordi ancora quelle sanzioni del 4% di cui abbiamo parlato prima? La posta in gioco è alta se non riesci a conformarti subito al GDPR. Walker è chiarissimo su questo punto: "L’unica eccezione a questa dettagliata procedura di notifica richiede la dimostrazione dell’improbabilità che tale violazione metta a repentaglio i diritti e le libertà di persone fisiche". "Riuscire a provare di aver provveduto a crittografare i dati a regola d’arte sarebbe un ulteriore passo avanti che potrebbe persino portare alla rimozione della necessità di segnalare tale incidente come violazione dei dati".
Fonti:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
