Molto spesso la violazione dei dati di azienda non proviene dal cyber crime  ma dagli stessi soggetti che prestano la propria attività lavorativa all’interno della medesima: a rivelarlo, il Verizon Insider Threat Report.

Il Verizon Insider Threat Report 2019 indica, infatti, che sono proprio di questo tipo il 20% degli incidenti legati alla cyber security e in particolare il 15% di data breach, secondo l’analisi del Data Breach Investigations report 2018.

I dipendenti infedeli

E’,infatti, risaputo che accessi abusivi, violazioni nei trattamenti dei dati personali, lettura e spesso diffusione incontrollata di notizie, informazioni e dati riservati sono azioni perpetrate prima di tutto da dipendenti infedeli piuttosto che da pirati informatici. Dunque, i dipendenti possono diventare vere proprie minacce alla sicurezza informatica aziendale.

Il profilo della personalità della minaccia.

L’indagine di Verizon ha individuato cinque generi di personalità che possono minacciare un’azienda dall’interno:

  • il lavoratore distratto: si tratta di un dipendente o un partner che si appropria indebitamente di risorse e gestisce i dati in modo sbagliato, installano applicazioni non autorizzate e soluzioni non approvate. Le azioni di questo genere risultano inappropriate ma non malevole, spesso rientrano nel mondo dello Shadow IT;
  • l’agente infiltrato: individui interni all’azienda reclutati o corrotti da esterni per sottrarre i dati;
  • il dipendente insoddisfatto: lavoratore che cerca di danneggiare la propria organizzazione volontariamente attraverso la distruzione dei dati o l’interruzione dell’attività;
  • la risorsa interna malintenzionata: dipendente o partner con accesso a risorse aziendali, che si serve dei privilegi esistenti per accedere alle informazioni allo scopo del guadagno personale;
  • la terza parte incompetente: partner commerciale che compromette la sicurezza a causa di negligenza, uso improprio o accesso o uso improprio agli asset aziendali.

Tuttavia, le imprese sembrano essere restie a riconoscere questa realtà. E non basta per una società sperare e affidarsi a una generica e generalizzata consapevolezza da parte dei dipendenti in merito alla astratta configurabilità di illeciti penali per questo tipo di azioni.

Cosa fare e come poter punire i trasgressori.

Se è vero che  la legge italiana prevede astrattamente queste fattispecie e le punisce – si ricordano ed esempio gli artt. 615 ter codice penale (accesso abusivo ad un sistema informatico o telematico) e  616 codice penale (Violazione, sottrazione e soppressione di corrispondenza) o ancora i vari illeciti penali legati al trattamento di dati personali previsti dal D. Lgs. 196/2003 (cd. Codice privacy) – è anche vero che per proteggersi occorre applicare in modo diffuso, anche dal punto di vista lavoristico, i principi di accountability (intesa come responsabilizzazione documentata) e di privacy by design e privacy by default previsti dal Regolamento UE 679/2016 (più conosciuto come GDPR). Per farlo occorre costruire in modo trasparente (anche nei confronti dei dipendenti) modelli organizzativi che mirino a prevenire questi illeciti con azioni formative, correttive e di controllo. Occorre di fatto applicare in modo combinato diritto e informatica e agire anche in termini di formazione. Perché la consapevolezza reale di un dipendente formato è la migliore arma a disposizione di un datore di lavoro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.