L’art. 32 del GDPR impone al titolare di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che riguardano non solo gli asset tecnologici, ma anche le risorse umane.

Le misure organizzative non devono, quindi, limitarsi alla semplice modifica dell’organigramma con l’inserimento delle divisione privacy.

Il dipendente è, molto spesso, “l’anello debole della catena” nella protezione dei dati in azienda.

L’errore umano, infatti, può essere dovuto ad una mancanza di idonea cultura e formazione o mancanza di chiare istruzioni da parte del titolare (carenze organizzative), altre per disonestà o per spirito di ritorsione nei confronti dell’organizzazione aziendale.

Quest’ultima affermazione merita indubbiamente una considerazione a sé stante in quanto, secondo il Verizon Insider Threat Report, i dipendenti sono spesso gli autori di data breach rendendosi colpevoli consapevolmente o meno, di azioni illecite quali: accessi abusivi; violazione e diffusione di dati comuni e particolari mettendo a repentaglio le misure di sicurezza adottate dall’azienda.

Il report di Verizon ha messo in evidenza che, tra altre cause (negligenza, distrazione, competenze non idonee, scopi di lucro), l’insider che abusa dei privilegi di accesso per compire azioni illecite è spesso un dipendente insoddisfatto, che si ritiene in qualche modo leso nei suoi diritti, o non sufficientemente considerato e, di conseguenza, desideroso di arrecare danno all’organizzazione.

Il contratto di assunzione non è solo una formalità burocratica e una definizione di qualifica, job description, retribuzione che regola solo aspetti economici, ma ha forti ripercussioni psicologiche sul soggetto assunto che si forma aspettative di carriera in sede di assunzione piuttosto che durante l’esecuzione del rapporto o durante gli avanzamenti di carriera.

Pertanto, una promessa disattesa, la mancanza di prospettive di carriera, di avanzamenti o incrementi salariali, o, nel peggiore dei casi, oggetto di mobbing/bossing generano insoddisfazione e, per l’effetto, un potenziale inside hacker.

L’utilizzo di molestie psicologiche per indurre un dipendente alle dimissioni è espressione di una carenza culturale e organizzativa ed opera in base a modelli che enfatizzano valori estremamente accentrati ai vertici in modalità top-down suscettibile, peraltro, di conseguenze significative per il datore di lavoro e per l’ente sul piano civile e penale.

In casi come questi, ci troviamo di fronte, quasi sempre, a modello organizzativi obsoleti, spesso funzionali con enfatizzazione di ruoli di comando e di potere, molto gerarchici, con numerosi ruoli di staff privi di ogni iniziativa decisionale e compiti di ausilio operativo, mansioni ripetitive e alienanti. Il modello organizzativo funzionale è il più “datato” ma anche il più conosciuto ed adottato specie dalle PMI, tuttavia, è destinato ad entrare in crisi con il GDPR.

Per avere una catena solida a livello di sicurezza e di valore occorre rafforzare gli “anelli deboli”.

Questi vengono sfruttati, infatti, dai pirati informatici come vulnerabilità e le azioni intraprese da questi criminali possono riguardare, anche, la corruzione dei dipendenti scontenti.

È necessario, pertanto, riprogrammare l’organizzazione, cominciando  dall’analisi di clima condotta attraverso l’ausilio di consulenti esterni che abbiano un approccio “olistico” e competenze che  spaziano dall’organizzazione aziendale, alla gestione risorse umane fino ad una approfondita conoscenza del  GDPR.

 

di Nadia Zabbeo

 

Oggi Bill ha installato una nuova app sul suo smartphone: dicono possa prendere il suo volto e renderlo più vecchio, una sorta di predizione del futuro.

La installa senza indugio e si diletta con essa per giorni; usa le sue foto da bambino, quelle di lui alle medie e, perché no, anche quelle odierne; vuole vedersi da vecchio e pensare che sarà un uomo tutto sommato bello, ancora affascinante.

Il giorno dopo essersi sbizzarrito, però, Bill viene a scoprire dei retroscena spaventosi, a dir poco allarmanti: l’app, con sede in San Pietroburgo, utilizza le sue foto in modo “perpetuo, planetario, irrevocabile, senza obbligo di pagare alcuna royalty”.

Bill si collega dunque su Facebook e legge molti stati colmi di terrore e di rabbia scritti da utenti che, nel proprio profilo, specificano orientamento sessuale, data di nascita, indirizzo, dove studiano, cosa studiano, i locali e le persone che frequentano, i film che guardano, i partiti che votano.

Bill nota che c’è una grande attenzione da parte del pubblico inerente la questione, tanto da fargli credere che gli internauti abbiano preso più coscienza circa la rilevanza della propria privacy.

Ecco quindi che scorre la home di Facebook alla ricerca di qualche post che tratti dell’inquietante scoperta effettuata da alcuni ricercatori della Microsoft, i quali hanno dimostrato come i siti pornografici raccolgono i dati di navigazione degli utenti per poi venderli a Google e Facebook, o della sconcertante scoperta che Youtube (leggi Google, ndr) effettua un’indebita profilazione dei minori al fine di renderli oggetto di marketing diretto, ma, con grande rammarico, non ne trova nessuno.

La sorella di Bill appare preoccupata: “Chissà che fine orribile faranno le foto mie e delle mie amiche, una volta nelle mani dei russi!”. Bill prova dunque a spiegarle che le sue foto sono già in giro per il Pianeta da quando partecipò alla “Ten Years Challenge” qualche tempo fa, ma non riesce: la sorella è troppo impegnata a chiedere ad Alexa la posizione della farmacia più vicina che venda farmaci per combattere la candida.

Bill allora manda un messaggio a un suo amico che ha appena pubblicato uno stato carico di odio contro i russi e FaceApp; cerca di spiegargli che non è sensato imbracciare la vecchia carabina del nonno per ottenere giustizia per questo indecente attentato alla propria riservatezza, se prima non smette di sbloccare il suo smartphone tramite il riconoscimento facciale.

Bill sa che i suoi dati più sensibili sono già stati abbondantemente carpiti in malafede dalle multinazionali della Silicon Valley, le quali si autoproclamano gli araldi della tutela della privacy del mondo intero e che impongono termini di utilizzo del tutto simili a quelli di FaceApp .

Bill sa che quando si utilizza un servizio gratuito la moneta di scambio sono i suoi dati personali, pertanto usa questi strumenti con molta attenzione, ma non chiude il cancello ora che il bue è scappato.

Sii come Bill.

 

di Giordano Serra