In un mondo sempre più connesso e dipendente dai dati, immaginare come alcuni personaggi storici avrebbero affrontato le sfide della protezione dei dati personali e della cyber sicurezza offre una prospettiva intrigante.
In particolare, Napoleone Bonaparte, con la sua proverbiale “Vision” di grande stratega e la sua leggendaria e incomparabile leadership, avrebbe probabilmente adottato approcci innovativi e audaci per garantire la protezione delle persone e dei loro diritti fondamentali.
Ecco perché, senza alcuna pretesa ma quasi come un divertissement, attraverso l’analisi di alcune sue frasi celebri, questo articolo cerca di esplorare come Napoleone potrebbe aver concepito, all’interno di un’organizzazione, la definizione, lo sviluppo e la revisione di politiche interne volte a garantire la compliance alla normativa privacy, offrendo spunti unici e sintetiche lezioni che riteniamo possano essere applicate ancora oggi.
In linea con le intenzioni e l’approccio leggero, ci riferiremo a frasi e aforismi che sono comunemente attribuiti a Napoleone Bonaparte, anche se non possono essere direttamente collegati a specifici discorsi o documenti storici verificabili. Inoltre, per ogni frase abbiamo voluto riportare i controlli della ISO/IEC 27001:2022 che possono essere ricondotti al tema in esame, per evidenziare ulteriormente l’attualità del pensiero di Napoleone.
Indice degli argomenti
“Non ci sono cattivi reggimenti ma solo colonnelli incapaci”
Nell’ecosistema della data protection questa affermazione sottolinea la rilevanza critica di una leadership qualificata che è quanto mai necessaria per definire, sviluppare e riesaminare le politiche interne che garantiscono la compliance.
La massima napoleonica ricorda però anche la necessità che gli “Executive” della Privacy (cioè i DPO, i CISO, i Privacy Officer) siano persone molto competenti e dotate di soft skill.
Probabilmente Napoleone avrebbe insistito sulla formazione continua e sullo sviluppo delle competenze per dette professionalità, al fine di promuovere una specifica cultura aziendale. Non solo, presumibilmente avrebbe anche dotato gli Executive dei migliori strumenti disponibili, in linea con lo spirito innovativo che lo aveva portato a curare meticolosamente la dotazione e l’organizzazione delle sue truppe durante le guerre napoleoniche.
Napoleone strutturò la Grande Armée in “corpi” autonomi (i cc.dd. Corpi di Armata) ciascuno con una forza auto-sufficiente composta da fanteria, cavalleria e artiglieria. Questo permetteva una maggiore flessibilità e velocità di movimento in battaglia e scompaginava le truppe nemiche che erano costrette a fronteggiare multiple minacce simultanee. Il sistema dei “corpi autonomi” fu determinante in molte delle sue campagne, tra cui la battaglia di Austerlitz (1805) e quella di Jena-Auerstedt (1806).
Questo schema, calato specularmente in una prospettiva difensiva, all’interno della data protection, ricorda il principio della segregazione dei compiti (SoD: Segregation of Duty) secondo il quale è fondamentale distribuire le responsabilità, relative ad un processo, tra diversi soggetti all’interno di un’organizzazione per prevenire conflitti di interesse, frodi e errori.
Napoleone, inoltre, modernizzò l’amministrazione militare, introducendo sistemi meritocratici per le promozioni. È nota la sua frase “ogni soldato porta nel suo zaino il bastone di maresciallo”. Questi cambiamenti miglioravano l’efficienza dei reparti ed elevavano anche il morale delle truppe.
Pertinenti controlli ISO/IEC 27001:2022
- 5.3 Separazione dei compiti – Le mansioni e le aree di responsabilità in conflitto tra loro devono essere separate per ridurre la possibilità di modifiche non autorizzate o involontarie o di uso improprio delle risorse dell’organizzazione.
- 5.4 Responsabilità della direzione – Il Management richiede a tutti i dipendenti e appaltatori di applicare la sicurezza delle informazioni in conformità con le politiche e le procedure stabilite dall’organizzazione.
“Le sole conquiste che non lasciano nell’animo amarezza sono quelle che si vincono contro l’ignoranza”
L’attenzione di Napoleone Bonaparte verso la formazione e l’addestramento del suo esercito è stata una delle chiavi del suo successo militare. Questo approccio era radicato nella sua comprensione dell’importanza di una preparazione approfondita, sia degli ufficiali sia dei soldati, per garantire l’efficacia e la rapidità delle operazioni militari.
Durante il suo regno, Napoleone dovette adattare continuamente le tecniche di formazione per rispondere alle evoluzioni del campo di battaglia. Ad esempio, la formazione degli artiglieri fu intensificata con l’introduzione di nuove tecnologie e armamenti, come il cannone Gribeauval, che richiedeva operazioni di caricamento e puntamento più rapide e precise. Napoleone si assicurò che gli artiglieri ricevessero un addestramento specifico, aumentando così l’efficacia dell’artiglieria francese che si rivelò determinante nelle battaglie di Austerlitz (1805) e di Wagram (1809).
Invero, la lotta contro l’ignoranza è fondamentale anche nella protezione dei dati.
La lezione lasciata da Napoleone conferma che, anche nell’ambito delle sfide poste dalla protezione dei dati personali, le vittorie più significative e durature sono quelle ottenute attraverso la formazione e la sensibilizzazione. In effetti, l’ignoranza, intesa come mancanza di conoscenza o comprensione, rappresenta uno dei maggiori rischi per la sicurezza delle informazioni personali.
L’Alta Direzione gioca un ruolo fondamentale nella definizione delle politiche e dei principi di protezione dei dati. La loro comprensione e il loro impegno sono indispensabili per garantire che l’intera organizzazione adotti e promuova pratiche di Data Protection efficaci. I Manager, quando comprendono pienamente l’importanza della protezione dei dati possono guidare i loro collaboratori attraverso esempi e politiche chiare, stabilendo una cultura organizzativa che valorizza e protegge le informazioni personali.
La formazione del personale autorizzato si presenta così, non solo come un requisito normativo all’interno delle organizzazioni ma anche come una strategia proattiva per prevenire le violazioni dei dati. Attraverso sessioni di formazione regolari, le organizzazioni possono aggiornare i loro dipendenti sulle ultime minacce alla sicurezza, sulle migliori pratiche e sulle responsabilità legali relative alla gestione dei dati personali. Questo tipo di formazione aumenta la consapevolezza nonché l’efficienza e l’efficacia delle pratiche di sicurezza.
La conformità diventa così una “conquista” che le organizzazioni possono vantare come risultato di un impegno costante a sostegno della formazione e dell’aggiornamento delle pratiche aziendali.
In sintesi, la consapevolezza dell’importanza della privacy da parte dell’Alta Direzione e di tutte le entità all’interno delle organizzazioni, sia pubbliche che private, è il naturale presupposto per progettare e sviluppare processi aziendali conformi ai principi di protezione dei dati personali stabiliti dall’art. 5 del GDPR.
Nell’ambito di una strategia di protezione dei dati ben strutturata, ogni dipendente diventa così un custode dei dati personali e dei connessi diritti fondamentali.
Questo approccio diffuso e partecipativo può essere visto come un empowerment attraverso la privacy, che determina una vittoria senza amarezza, cioè senza danni collaterali, perché si basa sull’elevazione della conoscenza e della comprensione collettiva che sono elementi fondamentali per lo sviluppo di processi aziendali davvero rispettosi della dignità individuale.
Pertinenti controlli ISO/IEC 27001:2022:
- 6.3 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni – Tutti i dipendenti dell’organizzazione e, se del caso, gli appaltatori devono ricevere un’adeguata formazione e sensibilizzazione e aggiornamenti regolari delle politiche e delle procedure organizzative, in relazione alla loro funzione lavorativa.
- 5.27 Apprendimento dagli incidenti relativi alla sicurezza delle informazioni – La conoscenza acquisita dall’analisi e dall’a soluzione degli incidenti relativi alla sicurezza delle informazioni deve essere utilizzata per ridurre la verosimiglianza o l’impatto degli incidenti futuri.
“Nulla è fatto finché vi rimane qualche cosa da fare”
Questa massima evidenzia l’importanza dell’impegno e della persistenza nel progettare ed eseguire i trattamenti di dati personali. In un mondo davvero molto complesso, con sempre nuove minacce emergenti, la missione di proteggere i dati non è mai completamente realizzata.
Napoleone avrebbe quindi verosimilmente promosso un approccio continuo alla gestione dei rischi, con un impegno costante al miglioramento e alla revisione delle politiche. Una sorta di ciclo di Deming ante litteram.
Infatti, sia Napoleone che William Edwards Deming, pur operando in contesti storici e campi del tutto diversi, condividono una visione simile riguardo l’importanza della responsabilità, del coinvolgimento dei collaboratori, e dell’efficacia operativa.
Entrambi hanno messo in luce l’importanza di strutture organizzative efficienti, di un impegno per il miglioramento continuo e di una cultura organizzativa di coinvolgimento e responsabilità. Questi principi, sebbene applicati in ambiti molto diversi, hanno avuto un impatto profondo e duraturo nei loro rispettivi campi, dimostrando che le fondamenta del successo organizzativo sono universali.
Pertinente controllo ISO/IEC 27001:2022
- 5.8 Sicurezza delle informazioni nella gestione dei progetti – La sicurezza delle informazioni deve essere indirizzata nell’ambito della gestione dei progetti, a prescindere dal tipo di progetto.
“Il buon esito dei mezzi dipende dall’unità di azione”
Questa intuizione di Napoleone conferma che l’unità di azione è fondamentale nella gestione efficace dei trattamenti di dati personali.
L’unità di azione implica necessariamente una collaborazione effettiva tra funzioni aziendali e tra organi di controllo interno (DPO e OdV) oltre a una condivisione delle informazioni. Solo una concreta ed effettiva sinergia tra i team delle funzioni HR, IT, legali, e di comunicazione può creare un ecosistema robusto in cui le strategie di protezione dei dati sono comprese, supportate e messe in pratica da tutte le entità dell’organizzazione.
In sintesi, la frase, letta attraverso le lenti della protezione dei dati, evidenzia l’importanza di un approccio coerente, coordinato e collaborativo nella protezione dei dati, che coinvolge sia politiche e procedure ben strutturate che una forte collaborazione tra gli attori coinvolti.
Pertinente controllo ISO/IEC 27001:2022
- 5.7 Monitoraggio delle minacce – Il monitoraggio delle minacce deve essere raccolto ed analizzato per valutare possibili rischi ed impatti sull’organizzazione.
“La vittoria appartiene ai più perseveranti”
Questa frase rispecchia perfettamente l’ethos del famoso stratega francese, la cui carriera fu caratterizzata da una notevole tenacia e resilienza. Napoleone era noto per la sua capacità di mantenere la determinazione anche di fronte a grandi avversità, come dimostrato in numerose fasi delle Guerre Napoleoniche. Un chiaro esempio è la sua campagna in Russia nel 1812, dove, nonostante le enormi perdite e le condizioni ambientali disastrose, perseverò fino agli estremi limiti del possibile.
Questa stessa nozione di perseveranza è essenziale nel campo della sicurezza informatica e della protezione dei dati. In questo contesto moderno, le organizzazioni sono costantemente minacciate da attacchi informatici che evolvono in modo rapido e imprevedibile. Le minacce di sicurezza, come malware, phishing, e attacchi ransomware, cambiano continuamente, richiedendo una vigilanza costante e aggiornamenti regolari delle politiche e delle tecniche di sicurezza.
Così, analogamente alle campagne di Napoleone che richiedevano rapidi cambiamenti tattici in risposta alle dinamiche del campo di battaglia, la sicurezza informatica richiede una continua adattabilità.
Anche la capacità di Napoleone di pianificare e di considerare i vari possibili scenari delle battaglie trova eco nella necessità di avere robusti piani di risposta agli incidenti e di disaster recovery. Prepararsi per eventuali data breach può limitare i danni e accelerare il processo di ripristino.
La frase “la vittoria appartiene ai più perseveranti” serve quindi a ricordare che, sia nella guerra che nella sicurezza informatica, la tenacia e l’impegno continuo sono indispensabili per superare le sfide e raggiungere gli obiettivi desiderati.
Questo legame tra le strategie storiche di Napoleone e le pratiche moderne di sicurezza dei dati illustra come i principi di leadership e gestione del rischio siano universali e senza tempo.
Pertinenti controlli ISO/IEC 27001:2022
- 5.24. Pianificazione e preparazione per la gestione degli incidenti relativi alla sicurezza delle informazioni – Devono essere stabilite le responsabilità, le procedure ed i sistemi di reporting di gestione per assicurare una risposta rapida, efficace ed ordinata agli incidenti relativa alla sicurezza dell’informazioni.
- 5.30 Preparazione dell’ICT per la continuità operativa – Le misure per garantire la continuità operativa devono essere pianificate, implementate, manutenute e verificate sulla base degli obiettivi di continuità operativa.
Conclusione
Con questo audace articolo abbiamo voluto condividere la nostra convinzione secondo la quale le lezioni del passato, possono ancora illuminare le strategie future, anche in contesti complessi e in rapidissima evoluzione come quello della data protection.
Attraverso il filtro del pensiero Napoleonico abbiamo potuto apprezzare l’importanza della leadership qualificata, della formazione continua, della perseveranza nell’ottimizzazione dei processi aziendali e dell’unità di azione nell’ambito dell’ecosistema privacy.
Così, mentre le tecnologie e le minacce continuano a evolversi, i principi di Napoleone rimangono sorprendentemente pertinenti ed attuali, offrendo spunti utili anche per affrontare, con saggezza storica, le sfide moderne portate dalla grande complessità della protezione dei dati personali.
