In aggiunta all’aumento nel numero, tipologia e conseguenze dei crimini informatici, le organizzazioni devono ora tenere conto anche della minaccia terroristica, che può articolarsi in modi imprevedibili e sempre nuovi (vedi ad esempio i recenti attacchi a Parigi e le continue aggressioni ai cittadini nelle strade di Israele). E’ infatti di questi giorni l’ennesimo allarme delle Autorità per possibili attentati in Italia.
Che cosa stanno facendo le aziende a protezione dei lavoratori?
Una nostra indagine telefonica presso un campione (non statisticamente significativo) di aziende medio-grandi, ha rivelato che tutte hanno dei piani, ma, alle successive domande più dettagliate, hanno risposto affermando che “stanno provvedendo”.
Abbiamo chiesto ad esempio: “avete avvisato il personale su come comportarsi in caso di allarme bomba, o di persone armate nei pressi o addirittura già all’interno dell’edificio? Avete realizzato un sistema di allarme specifico per queste eventualità (che non sia l’allarme antincendio! Altrimenti tutti corrono incontro ai terroristi o all’auto bomba!)? In caso di attentato, le persone all’interno dell’edificio sanno cosa fare? Se l’attentato è avvenuto in città, è previsto un piano su cosa fare per accertarsi che non siano coinvolti dei propri collaboratori? In caso affermativo, è previsto come comportarsi? Come gestire la comunicazione nei confronti dei familiari, dei colleghi e della stampa?”.
La risposta, come anzi detto, in generale è stata positiva: “ci stiamo lavorando”.
Un grande gruppo bancario internazionale ha ampiamente risposto a tutte le nostre domande. Hanno previsto e testato tutte le eventualità. I piani sono semplici, flessibili, attuabili, proprio per tenere conto dell’effetto sorpresa che tanto amano i criminali.
Per quanto riguarda le banche italiane, queste sono già da tempo in contatto con le Autorità locali e nazionali tramite l’associazione bancaria. ANSSAIF sta ora fornendo collaborazione all’ABI proprio nell’ambito di quanto riportato sopra in tema sia di terrorismo sia di physical crime security.
Ma le altre aziende, che stanno facendo? Non solo per il pericolo terroristico, ma anche in tema di cyber crime?
Leggiamo da recenti indagini che oltre il 50% dei crimini digitali è causato da persone operanti all’interno di una organizzazione (dipendenti, collaboratori esterni, ecc.). Tra i reati, la sottrazione di informazioni riservate o segrete, l’alterazione dei dati o il blocco dei sistemi.
Ciò vuol dire che, oltre ad essere minacciati i dati è a rischio lo stesso lavoratore e finanche il suo posto di lavoro. C’è chi se ne occupa in modo concreto?
Quale ruolo e responsabilità ha il Physical Security Manager nella prevenzione dei reati e nel limitare i danni provocati da personale operante all’interno dell’azienda? Che livello di collaborazione esiste fra le funzioni di Risk Management (ove esiste), Physical e Logical Security? Sono rispettate le rispettive conoscenze, competenze ed abilità?
A fronte del rischio cyber e del terrorismo, la prevenzione ed il controllo sono sotto la costante attenzione del Vertice Aziendale? Quest’ultimo è al corrente che la mancata introduzione di opportuni controlli può configurare un reato a carico dell’azienda?
Scrivemmo diversi mesi fa su questa rubrica, a proposito del dovere di protezione dei dipendenti, in particolare quanto segue: “la responsabilità di omicidio colposo oppure lesioni gravi o gravissime, potrebbe non solo coinvolgere penalmente il datore di lavoro, ma estendersi all’organizzazione che, in caso di condanna, subirebbe un considerevole danno economico, generato direttamente dall’applicazione di sanzioni pecuniarie e dall’interdizione dell’attività, e indirettamente da un danno di immagine.
L’azienda deve quindi poter dimostrare di aver attuato adeguatamente un Modello di Organizzazione e Gestione efficace atto a prevenire il fatto.
Qualora questo si verifichi, si deve provare che il reato non sia stato commesso a vantaggio dell’azienda stessa, ad esempio con il risparmio economico derivante dal mancato impiego delle risorse necessarie per applicare i controlli, bensì che il controllo predisposto e funzionante sia stato evaso in modo fraudolento”.
Dobbiamo pensare che le aziende, per ragioni di risparmio, non stanno realizzando misure preventive e di gestione dell’emergenza atte a proteggere i collaboratori e coloro che frequentano i suoi edifici, nonché a limitare le conseguenze derivanti da possibili atti terroristici? E’ ciò possibile?
Le organizzazioni sindacali se ne sono interessate? Hanno contezza di quanto realizzato dall’azienda, in quanto hanno a cuore la sicurezza dei loro assistiti?
Ci piacerebbe avere una risposta. Grazie.
