Linkedin Page
MDWI - Network Partner

MakeDealWhereIs

MakeDealWhereIs / Legale  / Smartworking protezione delle informazioni
a

Smartworking protezione delle informazioni

Lo smartworking  rientra fra le misure urgenti adottate fin da subito dal Governo per il contenimento del contagio da virus COVID-19. Dalla raccomandazione iniziale al “massimo utilizzo di modalità di lavoro agile”, si è giunti con il DPCM 22 marzo 2020 alla necessità e urgenza di organizzare il lavoro in tale modalità in strutture che fino a ieri consideravano il lavoro da remoto solo sulla carta ma non lo applicavano all’interno dei propri sistemi di gestione aziendale (o degli studi professionali).

Connessioni VPN, condivisioni di banche dati online, conference call su piattaforme gratuite o a pagamento, uso di strumenti “privati” (BYOD) sono alcune modalità per consentire la connessione fra le risorse umane e la continuità dei servizi. L’utilizzo incrementale di queste tecnologie favorisce inevitabilmente il “settore” del crimine informatico. Si segnalano infatti nuove campagne di phishing, diffusione di malware e attacchi informatici che possono sfruttare anche il mancato presidio dei consueti ambienti di lavoro.

Lo scenario che si delinea traccia due principali direttive, in molti casi strettamente connesse fra loro:

Ø  la sicurezza delle informazioni aziendali

Ø  la protezione dei dati personali.

Fermi gli aspetti di cyber security che meriteranno un separato approfondimento, ci soffermiamo – seppur brevemente – sulle minacce per l’organizzazione aziendale.

Lo scopo è di fornire una preliminare griglia di analisi dei rischi più frequenti.

a)           Sicurezza delle informazioni

E’ prioritario gestire le informazioni strategiche e riservate, che rappresentano per molte imprese e studi professionali il valore più rilevante rispetto alle azioni sul mercato, alla competitività e alla continuità aziendale. Gestire vuol dire controllare il flusso di informazioni e mantenerlo in protezione (quella protezione adeguata che ciascuna impresa deve saper definire rispetto alle proprie necessità) per tutti i processi che impattano su tali informazioni e rispetto a tutti i soggetti coinvolti, sia interni che esterni.

La mancata definizione/analisi dei rischi inerenti al lavoro agile in una situazione di emergenza, come quella che stiamo vivendo, sgretola il concetto stesso di gestione e amplifica i rischi in termini di riservatezza, integrità, disponibilità. Ancora, la mancata gestione della sicurezza nei processi aziendali può concretizzarsi nella violazione di accordi di riservatezza sottoscritti con terze parti, con conseguente obbligo di risarcimento del danno o pagamento di penali.

Da dove partire nella valutazione di queste minacce?

1.           E’ utile fare un inventario degli accordi di riservatezza sottoscritti per tipologia di cliente, fornitore o partner, verificare quali sono i vincoli di comunicazione a terze parti, verificare quali sono le procedure richieste per la comunicazione delle informazioni ai dipendenti (es. obbligo di sottoscrizione di specifico patto di riservatezza), analizzare le clausole relative all’inadempimento.

2.           Verificare i contenuti del regolamento sul sistema informativo aziendale, valutare se sia opportuno applicare protocolli di sicurezza integrativi o procedure di gestione e controllo dei dati (es. per lo smistamento della PEC, per la gestione delle banche dati, per il supporto tecnico da remoto).

3.           Se non è presente un regolamento SIA, definire procedure e protocolli di gestione dei dati con regole chiare che possano essere applicate da remoto in tempi brevi.

4.           Valutare l’adeguatezza del piano di disaster recovery rispetto al mutato scenario degli asset in uso e alle responsabilità o deleghe che necessitano di essere definite.

5.           Valutare brevi interventi di formazione e istruzione alle risorse sull’uso dei dispositivi o dei software da remoto, sensibilizzare le risorse umane e mantenere una comunicazione empatica all’interno del team di lavoro.

b)          Protezione dei dati personali

Il Sistema Privacy può richiedere una revisione del registro dei trattamenti (o della mappatura dei dati) e l’aggiornamento dell’analisi dei rischi in relazione agli strumenti in uso e all’intervento di soggetti terzi. Oltre alle minacce per la riservatezza, integrità, disponibilità dei dati, devono essere considerati i rischi rispetto ai diritti e alle libertà delle persone fisiche (siano esse dipendenti, clienti, fornitori, professionisti), che possono subite un pregiudizio a causa del mancato rispetto delle prescrizioni di sicurezza e delle misure organizzative che richiede la normativa di settore, Regolamento (UE) 679/2016 in primis.

Quali sono gli ambiti preliminari di indagine per valutare questi rischi?

1.           Valutare e, se del caso, ridefinire ruoli e responsabilità dei soggetti interni ed esterni.

2.           Verificare se il regolamento sul sistema informativo aziendale fornisce informazioni adeguate ai soggetti autorizzati rispetto ai “nuovi” trattamenti correlati al lavoro agile e se è stata definita una adeguata policy BYOD.

3.           Verificare se è opportuno modificare la procedura per data breach per garantire il rispetto dei termini di notifica previsti dagli artt. 33 e 34 del Regolamento (UE) 679/2016.

4.           Verificare se le richieste di accesso o esercizio dei diritti degli interessati sono opportunamente presidiate.

5.           Rispetto a nuovi strumenti di comunicazione e gestione del rapporto con i clienti (es. nella gestione delle commesse o nella consegna dei prodotti), verificare se l’informativa privacy già consegnata deve essere integrata o se è necessario ottenere il consenso dell’interessato.

6.           Valutare se le misure sul trasferimento dei dati in paesi EXTRA UE sono rispettate.

7.           Verificare se è necessario procedere con una valutazione di impatto ex novo o ad integrazione delle analisi già svolte.