Sicurezza IT, privacy e monitoraggio dei lavoratori: le soluzioni per minimizzare i rischi - Cyber Security 360

L'ANALISI

Sicurezza IT, privacy e monitoraggio dei lavoratori: le soluzioni per minimizzare i rischi

I protagonisti della digital transformation devono saper rendere la transizione fluida, offrendo per quanto possibile un’esperienza unificata e adottando strumenti e soluzioni idonee per minimizzare i rischi in termini di sicurezza IT, privacy e monitoraggio dei lavoratori. Ecco perché

14 Dic 2020
R
Andrea Ratzenberger

Vicepresidente Sales e Marketing di Sherpany

Le aziende sono sempre più globali, e i loro dipendenti, manager, dirigenti, amministratori, azionisti e stakeholder sono spesso dislocati in regioni – per non dire Stati o continenti – diversi e spesso molto lontani fisicamente: per questo, gli strumenti della tecnologia possono aiutare le aziende ad “accorciare” le distanze e, soprattutto, a minimizzare i rischi in termini di sicurezza IT, privacy e monitoraggio dei lavoratori e più in generale degli utenti aziendali.

Ad oggi, quasi il 70 per cento della popolazione è dotato di almeno un mobile device. È ormai chiaro che la distanza, per come la intendevamo nel suo senso tradizionale, è morta. La possibilità di raggiungere le persone è data dalla connettività, diventata un elemento cruciale. E il processo è ormai globale.

Oggi è necessario considerare l’esperienza legata alle emozioni (emotional experience), per rendere ottimale la comunicazione fra i diversi stakeholders e per facilitare il coordinamento del dialogo e lo scambio di materiali (DMS, messaggistica, e-mail ecc.).

Da qui il ruolo centrale delle tecnologie e il loro potenziale. I protagonisti della digital transformation devono saper rendere la transizione fluida, offrire per quanto possibile un’esperienza unificata e adattarsi alle capacità e alle competenze digitali degli stakeholder.

Sicurezza IT, privacy e monitoraggio dei lavoratori: i tool per minimizzare i rischi

Chiaramente, per gestire al meglio la digital transformation le aziende devono dotarsi dei necessari strumenti software o di piattaforme dedicate, prestando la massima attenzione alla scelta delle caratteristiche che non può assolutamente mancare a questi tool.

In particolare, nella scelta di questi software il focus deve concentrarsi sui bisogni societari: cosa vuole raggiungere la società? È possibile adattare la piramide dei bisogni di Maslow al valore funzionale di un software: il cambiamento deve portare innovazione nella società ed essere scalabile, vale a dire che deve poter trarre il massimo dalle risorse a disposizione.

La solidità del prodotto è dunque centrale.

Al software è richiesto di aiutare la società nella performance e nel risparmio dei costi, abbattendo – ad esempio – i rischi relativi alla sicurezza e alla violazione dei dati personali. Una domanda da porsi sempre è: il software si integra al contesto societario? Lo strumento deve essere tagliato sullo scopo e sul contesto di utilizzo.

Un altro elemento cruciale è quello delle facilitazioni che la soluzione porta al daily business e alle sue diverse (ma interconnesse) dimensioni: produttività e risparmio di tempo, sicurezza e accessibilità delle informazioni, operatività e semplificazione dei processi.

E poi c’è l’importantissima componente relazionale: gli strumenti digitali devono essere al servizio delle persone, migliorare la loro capacità di connessione e di comunicazione.

La componente individuale deve essere valorizzata, e lo strumento deve configurarsi come un aiuto agli individui, alle loro capacità, al loro progresso: a livello di competenze, di conoscenze, di capacità di networking e più in generale di possibilità di avanzamento personale.

Come amiamo ripetere: “la persona è al centro”: per noi il vero e proprio mantra di un approccio illuminato. L’umanizzazione degli strumenti agevola anche la componente “inspirational”: è sempre necessario chiedersi se la soluzione adottata contribuisce alla visione della società e ai valori che la guidano.

I rischi più frequenti nel passaggio alla digitalizzazione

Una consolidata esperienza nel settore delle tecnologie digitali e dei processi che guidano il passaggio dall’analogico al digitale è senza dubbio fondamentale per individuare i rischi più frequenti in termini di sicurezza IT, privacy e monitoraggio dei lavoratori.

Si tratta, infatti, di rischi che le aziende fronteggiano comunemente nel transito verso la digitalizzazione delle loro riunioni di CdA, della direzione e delle assemblee, così come a livello di condivisione e attuazione delle decisioni strategiche. E che possono essere gestiti con idonei strumenti e specifiche competenze.

Uno dei rischi più frequenti in fatto di sicurezza riguarda la documentazione. Le riunioni del Consiglio di Amministrazione e dirigenziali tradizionali e non digitali seguono di solito un processo analogico in cui i documenti riservati vengono stampati e distribuiti fisicamente. In questo caso, assegnare la proprietà e la responsabilità di una pila di documenti fisici è relativamente semplice: la persona in possesso del materiale deve garantire la riservatezza e l’integrità delle informazioni.

Nel mondo digitale, questo aspetto diventa più complesso. Una delle ragioni principali è che esistono più parti e più software coinvolti nella messa in sicurezza del materiale riservato. Ci sono ancora i soggetti “tradizionali” che preparano i materiali, li distribuiscono e li sottopongono all’incontro, ma oltre a questo abbiamo il fornitore che fornisce i dispositivi, l’IT che li gestisce, e chi fornisce la soluzione digitale.

Ciascuna di queste entità gioca un ruolo significativo all’interno del processo: una maggiore complessità che si traduce in un diverso panorama di rischio.

Mentre, ad esempio, il pericolo di dimenticare i documenti fisici in un treno può essere mitigato attraverso la filigrana o la protezione con password nel caso di documenti salvati nel pc, nello spazio digitale il rischio di ingegneria sociale è più elevato. Dove per rischio di ingegneria sociale intendiamo: manipolazioni di hackers con minacce oppure offerte fraudolente, inganni che approfittano della vulnerabilità e della scarsa preparazione delle persone, fattori che costituiscono il vero anello debole della sicurezza informatica.

L’importanza dei consulenti IT e corporate per minimizzare i rischi

C’è da dire, comunque, che anche i consulenti informatici e aziendali possono non essere sufficienti a ridurre al minimo questi rischi, se queste figure sono intese come isolate. Proprio perché nel mondo digitale le insidie sono diversificate, sono necessarie diverse competenze, sempre in reciproca integrazione.

Particolare attenzione deve essere data alla gestione di informazioni altamente riservate e alle figure che garantiscono questa competenza, davvero cruciale nel contesto attuale.

È dunque fondamentale possedere il know-how necessario per garantire la riservatezza, l’integrità e la disponibilità dei dati che trattiamo. Nel caso in cui si fornisca consulenza IT e corporate, occorre progettare la propria tecnologia, i propri processi e le proprie policies con il preciso obiettivo di essere i migliori della categoria nella protezione dei propri clienti dai rischi relativi alla sicurezza.

Nel caso degli strumenti dedicati alla gestione delle riunioni, ad esempio, è importante che tutte le informazioni sensibili scambiate nel corso delle riunioni del Consiglio di Amministrazione, del management e di tutto il consiglio direttivo non escano da un unico spazio protetto.

Questo scongiura il rischio di intrusione e di dispersione delle informazioni durante il processo di riunione, perché si prevede un’unica soluzione altamente controllata e monitorata a cui poter accedere.

Un’altra misura necessaria è data dall’autenticazione a due fattori, che permette di scongiurare i rischi di data breach connessi all’utilizzo delle tradizionali password di accesso agli account.

E ancora, garantire il monitoraggio: un buon software monitora costantemente le attività interne, per poter rapidamente rilevare attività sospette e intervenire in maniera tempestiva.

Una dimensione importante, e spesso non citata, riguarda i diversi livelli di sicurezza da prevedere a seconda del tipo di documentazione societaria e del grado di riservatezza dei materiali. In alcuni casi è infatti consigliabile blindare e limitare la possibilità di stampare e salvare i documenti al di fuori del software. Ma anche viceversa: per documenti meno sensibili, deve essere offerta la possibilità di renderli disponibili, agevolando l’operatività e la flessibilità da parte dell’utente.

In generale, è senza dubbio importante la responsabilizzazione dei soggetti e l’incremento di consapevolezza sul loro ruolo nel trattamento sicuro dei materiali.

In ultimo: è fondamentale gestire i diritti di accesso e i ruoli delle persone che utilizzano il software, per evitare di incorrere in responsabilità in termini di visione dei documenti.

Un approccio integrato che coinvolga consulenti legali, IT e corporate

Monitorare queste decisioni sotto il profilo legale, e assicurarsi che i cambiamenti siano attuati il più rapidamente possibile dopo l’approvazione di nuove leggi e regolamenti, sono priorità. Il coinvolgimento dei consulenti IT e aziendali è decisivo, per poter stabilire le modifiche da implementare al meglio in conformità con i processi interni e l’IT.

Dato il momento delicato dal punto di vista della sicurezza dei dati, è fondamentale che un’azienda consideri la privacy come una questione irrimandabile.

Non c’è dubbio che la violazione dei dati si sia, negli ultimi anni, configurata come un’emergenza in escalation esponenziale, con casi di impatto significativo sull’opinione pubblica e sui media (Unicredit, Ospedale San Raffaele di Milano, Luxottica).

La fase attuale legata alla pandemia da Covid-19 ha, come è chiaro, esasperato una tendenza già in atto: secondo monitoraggi dedicati, nel luglio 2020 si è registrato un aumento del 250% dei crimini informatici. Un dato che non ha bisogno di commenti.

In questo quadro, parlando di sicurezza IT, privacy e monitoraggio dei lavoratori, una strategia appropriata dovrebbe poter garantire una solida rete di contatti legali, da coinvolgere in caso di variazione ed evoluzione normativa.

Questo per avere la possibilità di aggiornare i clienti riguardo ai cambiamenti che hanno un impatto sulle loro attività, e per far loro mantenere un alto livello di controllo su tutti gli apparati relativi alla sicurezza informatica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3