L’attenzione di tutti era rivolta a garantire la continuità dei servizi piuttosto che a valutare i rischi associati all’introduzione dei cambiamenti necessari. Anche i dipendenti non hanno avuto tempo di adattarsi al nuovo metodo di lavoro e, come emerso da molti studi, la diffusione del telelavoro durante la pandemia è stata accompagnata da un aumento di inadeguate pratiche di sicurezza dei dati. Dobbiamo notare che i metodi di lavoro si sono evoluti rapidamente, con un numero record di dipendenti che continuano a lavorare in modalità ibrida anche dopo essere tornati in ufficio all’indomani della pandemia.
Le aziende hanno introdotto e adattato i loro processi interni per evitare perdita di dati?
Il nuovo modello di lavoro espone le aziende a maggiori rischi di violazione di dati?
La risposta è sì, il mercato e la tecnologia è cambiato, ma come al solito serve un approccio adeguato ai tempi. Il 50% degli intervistati ritiene che il lavoro ibrido abbia aumentato le violazioni di informazioni sensibili così come le violazioni al GDPR (Regolamento generale sulla protezione dei dati). Se da un lato, i documenti cartacei non sono stati una priorità nelle politiche aziendali di protezione dei dati, dall’altro la rapida transizione al lavoro ibrido ha portato a migliaia di documenti in più che passano tra casa e lavoro ogni settimana. Questo fa emergere un’importante questione sui documenti cartacei riservati e su come proteggerli in una realtà dove molti dipendenti non lavorano più solo negli uffici aziendali. Abbiamo voluto esplorare come i dipendenti proteggono e distruggono i documenti cartacei nel modello di lavoro ibrido allargato e in che misura le organizzazioni si sono conformate ai requisiti del GDPR a quattro anni dalla sua entrata in vigore. Siamo impegnati a proteggere le aziende e gli individui in qualsiasi ambiente di lavoro, impedendo che i documenti cartacei sensibili finiscano in mani sbagliate. Sono stati condotti sondaggi per capire come vengono distrutti o gestiti i documenti “riservati”.
Il GDPR e la protezione dei dati in un ambiente di lavoro ibrido
Circa 8 su 10 hanno adottato il telelavoro a tempo pieno o parziale. Il lavoro ibrido, cioè una combinazione di lavoro in ufficio e da remoto, ha sicuramente portato maggiore flessibilità e varietà nella scelta del luogo di lavoro (la mia qualità di vita è migliorata grazie allo “smart working”), ma ha anche introdotto una nuova sfida per le aziende, cioè garantire che i dipendenti comprendano le regole sulla riservatezza dei dati e applichino le buone pratiche di protezione dei dati ovunque lavorino. Avere personale che ti dice “non sono esperto di computer”, ma lo usa per lavoro, fa comprendere come ci sia ancora tanto lavoro da fare. Non è necessario essere esperti per lavorare consapevoli dell’importanza di proteggere certi dati. Serve solo una corretta preparazione e professionalità, che non può essere considerata come “una perdita di tempo”. Che i dipendenti siano in ufficio, a casa, in spazi di lavoro comuni o altrove, le aziende devono essere in grado di gestire i rischi di sicurezza. Il primo passo consiste nello studiare le aree che possono esporre l’azienda a nuovi rischi. Le aziende dovrebbero, ad esempio, attuare rigorose politiche sull’uso di computer, tablet e smartphone personali a fini lavorativi non potendo controllare la configurazione e l’utilizzo di tali dispositivi come farebbero in ufficio. Certo, non possono complicare inutilmente le attività di accesso al dispositivo, in quanto rallenterebbero i lavori e invoglierebbero qualcuno a trovare il modo di bypassare le regole aziendali (annullando il valore delle protezioni stesse).
Un’altra area di attenzione sono le reti Wi-Fi pubbliche e private e l’uso di password deboli o ripetute. Queste sono infatti due aree di vulnerabilità comunemente sfruttate dai criminali informatici ed è importante comunicare istruzioni chiare ai dipendenti per garantire la protezione dei dati aziendali. Inoltre non sappiamo che i documenti cartacei sono uno dei rischi di sicurezza più sottovalutati dalle aziende. In un mondo del lavoro che viene spinto sempre più verso il digitale, talvolta le aziende dimenticano di includere i dati cartacei nelle loro politiche di sicurezza. È importante notare che la maggior parte delle aziende gestiscono ancora oggi ogni giorno un grande volume di informazioni cartacee sensibili. Portare a casa documenti di lavoro stampati, stampare documenti di lavoro a casa o fare entrambe le cose sembra una pratica normale e senza rischio. Quanti però gettano tali documenti nel cestino della spazzatura o nel contenitore del riciclaggio senza prima distruggerli? Inoltre, quanti di noi hanno visto colleghi lasciare documenti di lavoro riservati incustoditi? In azienda dovrebbe esserci un po’ di preoccupazione per questo, in realtà spesso nessuno si rende conto del valore dell’informazione nel nostro mondo. Anche se in generale le aziende europee hanno introdotto rigorose politiche sulle procedure di distruzione di documenti sensibili, spesso i dipendenti non seguono queste regole fuori dall’ufficio. Che si tratti di un ufficio aziendale o domestico, i documenti cartacei sensibili devono essere chiusi a chiave quando non sono utilizzati ed essere distrutti in modo sicuro quando non sono più necessari. Invece, che problema c’è se mia moglie vede o legge quel documento? Quali conseguenze possono esserci se mio figlio usa i fogli stampati su un lato per riciclare la carta?
In realtà, nonostante l’entrata in vigore del GDPR sono molte le aziende che ancora pensano sia solo un adempimento formale, uno scambio di informative, … In realtà dipende molto da cosa “manipoliamo” e capisco che per alcune piccole aziende sia anche difficile capire cosa succede. Informative di software lunghe chilometri che anche se uno vuole leggerle, ci vogliono 3 ingegneri per capire cosa stanno dicendo. Software particolari che devi usare per forza e non puoi rifiutarti di usarli perché l’unico disponibile o addirittura perchè sufficientemente economico per rimanere competitivi. Eppure le aziende che hanno deciso di mantenere un modello di lavoro ibrido in modo permanente devono agire subito. Le politiche aziendali devono essere riviste e aggiornate per riflettere i nuovi modelli di lavoro e contemplare i potenziali rischi di violazione dei dati. Una volta aggiornate le politiche, le aziende devono dotarsi di un robusto piano di implementazione delle giuste protezioni e di informazione e formazione specifica per i propri collaboratori.
7 PASSI PER ESSERE IN REGOLA CON IL GDPR
- AGGIORNARE LE POLITICHE che riguardano i dipendenti che possono utilizzare i loro dispositivi personali quando lavorano da casa. Evidenziare il pericolo delle reti Wi-Fi pubbliche e private e spiegare al personale come utilizzarle in modo sicuro.
Rivedere e adattare le politiche aziendali sulle procedure di stampa, conservazione e smaltimento dei documenti cartacei e integrare una sezione sulla conservazione e lo smaltimento dei documenti cartacei quando si lavora da casa.
Rivedere le politiche sulla sicurezza delle password. Si raccomanda l’utilizzo di frasi di accesso a tre parole (o passphrase) piuttosto che di password o comunque di criteri di costruzione della password che siano effettivamente validi. Non si può nel 2023 utilizzare ancora la data di nascita!
È inoltre opportuno utilizzare l’autenticazione a più fattori. Inoltre diventa importante specifica nella politica aziendale che, prima di procedere allo smaltimento, alla vendita o alla donazione di computer o dischi rigidi vecchi, è necessario che tutti i dati vengano cancellati in modo permanente dal disco rigido. (ci sono aziende che vendono o donano i vecchi pc, mentre l’hard disk li fanno distruggere fisicamente da ditte specializzate perché non sia possibile in alcun modo recuperare i dati) - ORGANIZZARE FORMAZIONE: non diamo per scontato che tutti conoscano il GDPR e i relativi obblighi. Formare tutti i dipendenti perché siano consapevoli del loro trattamento dei dati. La formazione deve essere impartita anche ai neoassunti e prevedere corsi di aggiornamento periodici sulla sicurezza dei dati.
Dove utile, si può fornire una lista di controllo ai dipendenti che operano nelle aree più esposte al rischio di violazione dei dati. Incaricarli di condurre un controllo sulla salute della sicurezza dei dati.
Assicurarsi che i programmi di formazione affrontino la gestione dei documenti cartacei sensibili. Specificare quali documenti e record possono essere conservati per determinati periodi di tempo e quali devono invece essere distrutti quando non sono più necessari.
Includere un modulo di formazione sulla sicurezza dei dati quando si lavora da casa, dove si spiegano in modo più approfondito i rischi e le misure da mettere in atto. - DOTARSI DI ATTREZZATURE: per evitare problemi si consiglia di investire in computer laptop piuttosto che da tavolo, per facilitare il trasporto dei dispositivi tra casa e ufficio. Investire in sistemi anti-virus e firewall all’avanguardia. Assicurarsi che il personale abbia accesso a un distruggidocumenti aziendale. Anche i dipendenti in telelavoro devono avere un piccolo distruggidocumenti personale.
Per i dati personali o strettamente riservati (quali indirizzi, fatture, bilanci, ecc.) optare per un distruggidocumenti a microframmento poiché la distruzione in frammenti rende impossibile la lettura o il recupero delle informazioni ed è quindi più sicura. - FARE COMUNICAZIONE: la diffusione delle informazioni è fondamentale, di conseguenza deve esserci una corretta comunicazione a tutti i livelli dell’azienda. Predisporre riunioni di aggiornamento sulla sicurezza dei dati che sia periodica in base alle effettive esigenze.
Diffondere a tutti le linee guida di corretta gestione dei dati, così come le informazioni su eventuali minacce di phishing o attacchi informatici (ricevuti o evitati) affinché tutti possano farvi attenzione. - RICONOSCERE I DATI SENSIBILI E COME PROTEGGERLI: qualsiasi documento contenente dati personali o record aziendali deve essere distrutto in modo sicuro, nel rispetto degli obblighi del GDPR. Il periodo di conservazione varia in base alle regole che ti sei dato, ma va comunque rispettato. Raggiunto il termine di conservazione, distruggere i documenti sia per liberare spazio di archiviazione che per proteggere la riservatezza. In genere, le ricevute, i certificati di deposito e gli estratti bancari possono essere distrutti dopo essere stati confrontati con la contabilità.
I documenti delle Risorse Umane devono essere verificati regolarmente e distrutti alla data di scadenza legale. - CONSERVARE O ELIMINARE I DOCUMENTI CARTACEI IN MODO SICURO: pensa prima di stampare. Oltre per una tutela ambientale (risparmiamo gli alberi), chiediti: è davvero necessario stampare questo documento? Potrebbe finire accidentalmente in mani sbagliate? Distruggiamo i documenti di volta in volta, ma se questo non è possibile, distruggi tutti i documenti cartacei sensibili prima di gettarli nella spazzatura o riciclarli, possibilmente evitando il trasporto tra casa e ufficio o viceversa (possono rubarti la borsa, o puoi fare un incidente dove i documenti vengono poi dispersi a raccolti da persone non autorizzate). Non lasciare in giro incustoditi documenti cartacei sensibili a casa o in ufficio. A fine giornata libera la scrivania e chiudi a chiave i documenti cartacei e tutti i supporti informatici rimovibili prima di lasciare la postazione di lavoro.
Periodicamente controlla i dati conservati e, se possibile, rendili anonimi quando non sono più necessari. - MANTENERSI AGGIORNATI SULLE POLITICHE E COMPLETARE I CORSI DI FORMAZIONE: ogni tanto escono dei corsi di formazione interessanti, sulle problematiche più recenti, per esempio la cybersicurezza. Imposta promemoria nel tuo calendario, alimenta lo scadenzario per non dimenticare le date importanti. Incoraggia i colleghi a partecipare ai corsi e ricorda le regole e le linee guida se noti comportamenti non conformi (ad es. lasciare documenti sensibili sulla scrivania, usare dispositivi personali, ecc.).
Conclusioni
La distruzione sicura dei documenti è essenziale per evitare che informazioni confidenziali finiscano in mani sbagliate e per ridurre i danni dovuti alla perdita di dati. Viviamo un’epoca in cui sempre più persone lavorano in modo ibrido tra l’abitazione e l’ufficio e la conformità al GDPR è più importante che mai, vista la mole di rischi per la sicurezza che questo stile di lavoro comporta. Non sottovalutiamo il rischio che malintenzionati possano acquisire informazioni tramite le nostre mancanze. Sono sempre più diffusi i furti di identità (i malintenzionati ci riescono tramite il controllo della spazzatura), oppure il furto dei dati bancari, gli hackeraggi dei profili social senza bisogno di “rubare” le password ma semplicemente usando dei software che riescono a ricavarle da poche informazioni inserite su di noi.
Qualcuno potrebbe pensare che sia meglio tornare alla carta, evitare i PC, gli smartphone, … La realtà è che orami non si torna indietro e si può solo lavorare per adeguarsi alla situazione. Se lo si fa diventare un’attenzione costante, alla fine diventa un’abitudine e non ci si pensa più
P.S. usare la stessa password per tutti gli accessi vi rende la vita facile, ma la rende facile anche ai malintenzionati. Pensate bene a cosa state facendo!
Ai posteri l’ardua sentenza