Credo sia opportuno condividere, con i Lettori di questo quotidiano, una mia recente esperienza che sembrerà uscita dalla fantasia di Walt Disney.
Durante una visita ad una azienda, interessata ad essere da me assistita in qualità di “direttore dei lavori” nell’ambito di un progetto di continuità operativa, mi è accaduto di osservare alcuni fatti che mi hanno fatto riflettere sulla reale preparazione di questa azienda alla protezione dei dati personali.
Infatti, dopo aver ascoltato dal management quale impegno notevole l’azienda aveva affrontato, in termini di risorse umane ed economiche, ai fini di essere il più possibile allineata con tutti i requisiti del regolamento, mentre percorrevo gli ambienti della sede principale, al piano direzionale, ho notato alcune “leggerezze” dal punto di vista della sicurezza. Ed esattamente quanto segue: in una sala riunioni vi erano tre fogli ed uno di questi era la copia del documento di identità di una figura apicale (poi ho saputo che era di un cliente); la stanza della segreteria del personale era incustodita e su una scrivania si vedevano presenti dei curricula, e gli armadi contenenti i fascicoli del personale erano aperti. In un corridoio, una persona esterna stava rifornendo una macchina distributrice di bevande (e chiaramente poteva avere accesso alle stanze li vicine); due persone esterne percorrevano un corridoio non accompagnate da una persona interna all’azienda e comunque non dotate di badge; una porta che immette all’esterno, non presidiata, non era chiusa a chiave; in un corridoio, accessibile a chiunque, vi era un armadio contenente i collegamenti della Lan aziendale e non era chiuso a chiave.
Credo che si possa condividere l’impressione che il progetto sulla protezione dei dati personali, da poco terminato, non abbia sortito gli effetti attesi.
Se con una visita breve si sono potute notare una serie di debolezze, non si può non pensare che un audit più approfondito ne potrebbe indicare tante altre e ben più gravi. L’azienda, nell’ambito del progetto, aveva introdotto la criptazione dei contenuti di tutti i dispositivi informatici, dal personal computer al server, allo smartphone, alle chiavette USB; tutto ciò con un dispendio di risorse anche economiche non indifferenti e con impatti non trascurabili sulla continuità del business, almeno nel primo periodo di implementazione.
Corsi erano anche stati finanziati ai fini della sensibilizzazione di tutti alla gestione delle e-mail, onde limitare la possibilità di cadere in una delle tante trappole quotidiane di phishing.
Però, la mancata gestione delle persone esterne in locali contenenti dati riservati, della protezione di apparati informatici, dell’ adozione della buona pratica del clear desk, ovvero la chiusura di una stanza in caso di assenza prolungata, o, peggio, nella dovuta attenzione nella gestione di documenti di identità, sono tutti elementi che costituiscono una debolezza assai grave. A mio parere, ciò indica anche una debole convinzione da parte del top management.
Purtroppo, molto spesso si ritiene che l’avere adottato degli strumenti sofisticati possa proteggere l’organizzazione da possibili danni economici e dalla perdita di reputazione. Non ultimo, in un mercato estremamente competitivo, non proteggere adeguatamente informazioni riservate, può comportare la perdita di una gara, o di una commessa.
Ciò che a mio parere troppe aziende non capiscono (o non vogliono capire) è che il processo per la mitigazione di possibili rischi parte da una seria ed ampia analisi di impatto, dalla comprensione della organizzazione “reale” esistente, dall’apprezzamento della cultura del personale, e infine nella stesura di un piano adeguato e condiviso nel quale la sensibilizzazione di tutto il personale è al primo posto.
Mi domando e vi domando: quante altre aziende sono nella stessa situazione? Quante amministrazioni pubbliche?
