Nel corso dei primi mesi dell’attività operativa di Observere è emerso chiaramente che uno dei principali problemi della aziende, cruccio della proprietà e del management, flagello dell’imprenditoria nazionale, sia l’infedeltà dei dipendenti.

Si sa, la maggior parte delle aziende italiane producono non solo beni, ma innovazioni, progetti, idee, brevetti, si misurano con le realtà internazionali promuovendo nuove linee, nuovi prototipi.

Il Made in Italy è sinonimo di bellezza, creatività, laboriosità, esperienza e sudore.

Per questo ci si deve proteggere dal furto delle informazioni che spesso coincide con l’infedeltà dei dipendenti.

Un tempo bastava un impianto di video sorveglianza, una porta blindata, una cassaforte ed un po’ di disciplina per contrastare questa disdicevole pratica lavorale, ma nell’Era digitale tutto cambia e se da un lato i processi sono semplificati e con un click ci connette con l’altra parte del mondo, si pagano gli stipendi, si mandano ordini; dall’altro l’imprenditore si sente impotente di fronte all’incapacità di operare un controllo.

Occorre pertanto affidarsi a personale qualificato che implementi una strategia idonea a proteggere le informazioni attraverso l’adozione di policy in linea con il diritto e che utilizzi una tecnologia ad impatto (quasi) zero con operatività dell’azienda.

Per fare tutto questo, però, non può prescindere la completa conoscenza dell’impresa e del suo core business. Da qui passa la conoscenza delle diverse tipologie di personale alle dipendenze dirette ed indirette (veggasi tutti gli external personnel che quotidianamente, per svariate ragioni, passeggiano per gli uffici).

CARATTERISTICHE DEL DIPENDENTE INFEDELE

La figura è solitamente caratterizzata da un forte senso di insoddisfazione verso l’azienda, i titolari o i colleghi.

I dati sottratti illecitamente solitamente vengono utilizzati per i seguenti scopi:

  • creare nocumento all’azienda attraverso la cancellazione o modifica di talune informazioni;
  • vendita delle informazioni ad una azienda concorrente in cambio di un compenso economico oppure di una offerta lavorativa migliore (quest’ultima circostanza quasi sempre non si realizza perché nessuno assumerebbe un dipendente infedele);
  • estorsione di denaro verso i legittimi proprietari dei dati (soprattutto se trattasi di informazioni afferenti la vita privata);
  • riutilizzo dei dati sottratti per fornirli ad una società parallela spesso violando patti di non concorrenza;
  • divulgazione senza scopo di lucro al fine di creare un danno d’immagine all’azienda, che spesso si trasforma in notevoli perdite di profitto.

Esistono varie forme di “acquisizione delle informazioni” in ambito lavorativo. La prima e più antica è quella del cd. dumpster diving che consiste nel rovistare tra le varie scrivanie. Si badi che il medesimo principio può estendersi al digitale. Spesso, infatti, le aziende effettuano il file sharing con cartelle condivise. Circostanza certamente pratica ma spesso poco sicura.

Quasi sempre i dipendenti mantengono privilegi pur essendo trasferiti da un ufficio ad un altro.

Quando il dipendente è chiamato direttamente a gestire informazioni difficilmente le divulgherà perché il rischio di essere scoperto è direttamente a lui imputabile.

Di contro, in caso di disallineamento tra privilegi/responsabilità di fatto e quelle digitali, procederà al diving perché non direttamente imputabile di eventuali fughe di informazioni.

Segue certamente il tailgating, accedere alla postazione del collega durante la sua assenza oppure in aree restricted o forbidden (laboratorio, centro elaborazioni dati, etc).

In questo caso solitamente vengono effettuati velocissimi backup di qualsiasi informazione da elaborare in un momento successivo.

Il personale deve essere sensibilizzato a proteggere la propria sfera di competenze soprattutto se ha accesso ad aree “delicate”.

LE CONTROMISURE PREVENTIVE

I profili dell’infedele sono pochi rispetto agli innumerevoli scenari in cui questi possono operare. Le contromisure da adottare in un’azienda possono quindi variare in relazione alla quantità e tipologia dei dati che vengono trattati, agli spazi in cui questi vengono gestiti (avere ambienti open space può inficiare molto la “riservatezza”, ad esempio), ai turn-over interni ed esterni del personale, all’utilizzo di sistemi informativi obsoleti, etc etc.

Il primo passo verso la prevenzione è stabilire precisamente le regole del gioco: è buona condotta avere una policy aziendale interna che permetta di poter stabilire ruoli e competenze, accessibilità ai dati trattati (sistema di privilegi minimi) e condotte concesse all’interno del posto di lavoro (primo fra tutti l’utilizzo dei dispositivi privati, come supporti di massa esterni, telefoni cellulari, registratori portatili).

Le policy stabiliscono ciò che è concesso o non concesso fare al personale. Occorre tuttavia trovare un giusto equilibrio tra rigidezza delle regole interne e qualità del lavoro.

Il segreto per partire bene è racchiuso in tre principi: integrità, disponibilità e confidenzialità.

Occorre,

  • assicurare che i dati non abbiano subito nel corso del tempo alterazioni nella struttura e nei contenuti (integrità);
  • fruibilità dei contenuti ai soli addetti ai lavori preventivamente autorizzati alla consultazione (disponibilità);
  • non accessibilità dei dati ai terzi (confidenzialità).

Va altresì considerato un fattore comune denominatore per tutte le imprese del bel Paese, il cd. tempo 1, ovverosia il momento dell’adozione/implementazione della policy che è sempre il più difficili perché il personale è (molto) poco avvezzo ai cambiamenti.

Un altro elemento da non sottovalutare è l’allineamento delle regole alle leggi dello Stato, agli orientamenti della giurisprudenza ed ai pareri delle Autorità e dei sindacati.

Si passa poi all’aspetto tecnico informatico che in prima battuta richiede l’utilizzo di software sicuri, di una infrastruttura di rete protetta e monitorata (possibilmente dall’esterno ed in modo esclusivo perché il controllore deve essere terzo ed indipendente).

Non da sottovalutare è poi l’aspetto della cifratura dei dati, tanto importante quanto rischioso. Come per una cassaforte la cifratura funziona a mezzo di una chiave che ne permette l’operazione in un senso e nell’altro (decifratura).

Perdere le chiavi di cifratura è molto peggio di smarrire le chiavi della cassaforte o quelle di casa, è un rischio che va contemperato affidandosi a professionisti ed a prodotti enterprise.

 

COME SCOVARE GLI INFEDELI

Implementate le giuste regole, conosciute e sottoscritte dai dipendenti, le attività, nei limiti imposti dalla privacy e dallo statuto dei lavorati (etc, etc), possono essere molteplici e cambiano da azienda ad azienda.

Lo strumento utilizzato, però, deve permettere non solo di scovare la prova del misfatto ma anche garantirne la cornice di affidabilità probatoria dinanzi ad un Giudice chiamato a risolvere eventuali controversie.

Parliamo della cd. forensics attraverso la quale è possibile effettuare l’analisi sui dispositivi in utilizzo ad un dipendente: computer, smartphone, tablet, hard-disk esterni,  navigatori e qualsiasi strumento elettronico.

E’ possibile verificare, ad esempio, quali dispositivi USB sono stati collegati ad un PC aziendale, ed accertarne la presenza di spyware (software spia) oppure programmi per l’accesso ed il controllo remoto.

Aspetti cruciali, al di là dell’evitare che il personale possa venire a conoscenza dell’attività “investigativa” in corso, sono l’utilizzo di software forensics riconosciuti validi dagli ordinamenti e la fase di acquisizione/verbalizzazione.

Un verbale (o rapporto) delle operazioni fatto male può rendere vana tutta l’attività vedendosi non solo disconosciute le prove ma anche soccombenti in Tribunale.

CONCLUSIONI

L’infedeltà è un comportamento umano vecchio quanto il mondo e come tale è cruccio di tante (rectius, tutte) realtà aziendali mondiali.

Per difendersi occorre ricorrere alle armi del giurista dapprima e dell’informatico poi.

In molti casi non è possibile “scovare” comportamenti improbi passati perché le norme che tutelano la sfera personale di ciascun individuo sono prioritarie rispetto a tutto il resto (segretezza della corrispondenza, della vita privata e delle informazioni personali – veggasi da ultimo il GDPR).

Affidarsi a professionisti del settore è la giusta ricetta per dormire sogni tranquilli soprattutto quanto le questioni in gioco sono economicamente e strategicamente importati.

Di Nicola Tigri

© 2018 Observere Srl P.Iva 10220640964

logo-footer