Un sistema di monitoraggio dei comportamenti fraudolenti di dipendenti infedeli rappresenta un valido strumento di prevenzione dal furto di dati aziendali e riservati.
È importante, però, implementarlo nel rispetto della normativa privacy e dello Statuto dei lavoratori.
Indice degli argomenti
I paletti normativi
Partiamo dunque dal presupposto che uno dei punti più importanti di una rete aziendale è certamente il file server, dove risiedono dati aziendali anche di alto valore economico. Basti pensare alla proprietà industriale: il furto e il passaggio di interi archivi è una tentazione per molti dipendenti, specie quelli in via di dimissioni.
Senza entrare nelle motivazioni morali che portano certi dipendenti a commettere dei veri e propri illeciti, è chiaro che l’impresa, di qualunque dimensione, deve porsi il problema di come arginare questa piaga “nascosta”.
Anche alla luce dello Statuto dei lavoratori, all’articolo 4, attenuato dal Jobs act, il monitoraggio dei comportamenti degli utenti riveste quindi un ruolo chiave, attraverso l’utilizzo di sistemi di audit e classificazione automatica, che può essere effettuato adottando procedure IT che abbiano però un basso impatto sulle libertà e i diritti dei dipendenti.
Una possibile implementazione comporta un doppio percorso: uno legale, il quale deve essere preminente o almeno fungere da guida così da poter scegliere la soluzione tecnica, ovvero il secondo percorso, che soddisfi a pieno, o quasi, l’adeguamento ai dettami della privacy.
Mentre è certo che installare programmi di monitoraggio sulle singole postazioni è una violazione della privacy che nessun consenso prestato dal dipendente può mitigare, tenere sotto controllo i file presenti sui server di rete è un’altra cosa.
All’articolo 4 del citato Statuto dei lavoratori, è fatto divieto per l’azienda monitorare un dipendente al fine di controllare il suo operato utilizzando mezzi tecnologici come telecamere, ma anche controllare la navigazione Internet o sapere, attraverso lo smartphone, dove si trova il dipendente.
Grazie al Jobs act però, i vecchi limiti di controllo sono stati, per così dire, appiattiti in direzione di una maggior libertà di accedere a tutta una serie di monitoraggi che siano giustificati, ad esempio, da motivi di sicurezza o di tutela del patrimonio.
Anche se da un lato dobbiamo evitare di eseguire, se non accidentalmente, un controllo delle attività dei dipendenti dall’altro abbiamo però il diritto di salvaguardare il patrimonio aziendale.
Monitoraggio dei comportamenti fraudolenti: l’implementazione
Nel caso in esame, vogliamo monitorare le attività svolte su di un server di rete, non con lo scopo di “guardare” in un dato momento cosa fa un dipendente, ma di tenere traccia di quali dati aziendali siano “adoperati” dagli utenti per il loro lavoro, avendo cura di omettere la raccolta di informazioni che possa farci sconfinare in una violazione della privacy del dipendente.
Diversamente da un proxy di rete che effettua ricetrasmissione di dati in tempo reale tra un sito web e il programma di navigazione dell’utente, un file di rete può, con gli opportuni accorgimenti, essere paragonato ad un magazzino fisico.
Un operario sulla catena di montaggio riceve dal magazzino una serie di articoli che gli permetteranno di eseguire il proprio lavoro in direzione degli obiettivi a lui richiesti. Montare un orologio, costruire un’auto o assemblare un tavolo.
Similmente un utente della rete, aprendo un file presente sul server non fa altro che portare sulla sua scrivania virtuale un “oggetto” per lavorarlo e restituirlo al magazzino in un momento successivo che, normalmente, non corrisponde al termine dell’attività.
In effetti un qualunque programma office, come Word o Excel, salva e quindi riporta sul server il documento aperto più volte, ma questa operazione non è indice di alcuna attività specifica del dipendente tant’è che tale operazione potrebbe avvenire anche automaticamente da parte del programma.
Il file server può registrare tutte le attività dell’utente, o meglio del PC dell’utente perché potrebbero esserci delle operazioni automatiche fuori dal controllo dell’utente stesso, e salvarle nei propri file di log.
Considerato il sistema operativo “Windows Server” come tipico server di rete, ma in modo analogo attuabile in altri ambienti come Linux, esso può tranquillamente archiviare nei log di sistema le operazioni che riguardano file e cartelle presenti su sé stesso ma utilizzate in remoto dagli utenti. Queste operazioni si riassumono in creazioni, aperture, scritture e cancellazioni di file o cartelle.
Monitoraggio dei comportamenti fraudolenti: la fase di auditing
Esiste una funzione chiamata appunto Auditing (ascolto), facilmente attivabile, che ha proprio questa destinazione. Per renderla operativa basta selezionare una cartella condivisa ed entrare nelle sue Proprietà. Da lì, passando per la Sicurezza, si accede al pannello Avanzate nel quale è presente appunto la scheda Auditing nella quale decideremo che livello di registrazione vogliamo per i nostri fini: operazioni andate a buon fine; operazioni fallite.
Ma facciamo un passo indietro e capiamo quali dati siamo disponibili a raccogliere, valutando l’obiettivo del monitoring.
Quello che vogliamo è capire quando un utente, nel suo prelievo dal magazzino e dal successivo deposito, sta uscendo dal suo proprio seminato. Non vogliamo catalogare gli utenti, più che altro per evitare al minimo l’eventuale profilazione al quale li sottoporremmo.
All’articolo 5 del GDPR è prescritto, come uno dei principi cardine, la minimizzazione dei dati: applicandolo al nostro caso significa che dobbiamo raccogliere ma anche elaborare quanto basta e nulla più.
Una strada percorribile è quella di elaborare un profilo semplificato del nostro utente rispetto a sé stesso e non confrontarlo con gli altri utilizzatori, i quali potrebbero anche avere modalità di lavoro, ruoli e competenze profondamente diverse. Basta pensare ai mille modi con i quali individualmente approcciamo ai medesimi problemi.
Avremmo bisogno quindi di un sistema di raccolta dati che per ogni utente tenga traccia del diverso numero di file aperti giornalmente, li sommi per ottenere un totale settimanale e che poi il sistema, in autonomia, li confronti con un numero imprecisato di settimane (almeno 14) e invii un report all’utente stesso che potrà svolgere anche una funzione di controllo, di cui parleremo più avanti.
I dati così raccolti saranno archiviati in due tabelle distinte, un contenente le sommatorie appena citate (quelle settimanali), mentre la seconda l’elenco dei file utilizzati. Deve essere ben chiaro che a noi non serve sapere se lo stesso file è stato aperto e/o salvato più volte al giorno e in quale giorno. Dobbiamo solo memorizzare quanti file diversi sono stati utilizzati in una data giornata (sommati poi nella settimana).
Quest’ultima precisazione è importante perché all’atto pratico questo tipo di dati non ci permettono di avere alcuna valutazione sotto il profilo delle performance del dipendente, a meno che non sia una delle caratteristiche che vogliamo monitorare e che dovremo implementare aggiungendo altri dati provenienti dal nostro audit e ampliare l’informativa privacy.
L’Auditing è un’operazione completamente automatica, anche perché sfido chiunque a leggere un file di log di decine di postazioni se non migliaia. Si tratta di un numero umanamente ingestibile. Un file di log di una cinquantina di postazioni con un utilizzo medio/alto consta di almeno quattro o cinquecento mila righe giornaliere.
Abbiamo quindi attivato l’Auditing manualmente oppure installando un tool specifico commerciale o magari facendosi realizzare ad hoc un programma di monitoraggio. Quest’ultima soluzione, da un punto di vista normativo, potrebbe essere la più adatta potendo costruire esattamente quanto serve senza doversi preoccupare quali dati vengano trattati o meno e porci quindi a rischio di sanzioni.
Monitoraggio dei comportamenti fraudolenti: l’informativa
Prima di attivare il monitoraggio dei comportamenti fraudolenti e iniziare qualunque operazione di raccolta ci saremo preoccupati di inserire nel regolamento aziendale una chiara spiegazione di quali dati raccogliamo e cosa ne facciamo. Informeremo i dipendenti che lo scopo è la protezione della proprietà aziendale e della sicurezza e loro sono parte integrante di questo processo.
Ogni dipendente, ricevendo ad inizio settimana un report riassuntivo sotto forma di grafico a barre del numero di file diversi aperti settimanalmente, potrà segnalare alla direzione eventuali anomalie che riscontra, la cui causa potrebbe essere esterna al suo operato, ma causata da software malevolo come grayware, trojan o backdoor. Questa è la funzione di controllo attivo del dipendente accennata sopra.
Il sistema di reportistica deve rendere evidenti la settimana o le settimane anomale, calcolando ad esempio che scostamenti superiori al 30% dalla media siano sospetti, evidenziandoli con un colore diverso come l’arancio-rosso. Nella modifica del regolamento interno evidenzieremo la possibilità per il sistema di rilevamento automatico di inviare segnalazione all’amministratore di sistema (e non subito alla direzione) di queste anomalie per una verifica di sicurezza. Sarà poi compito dell’amministratore di sistema, giudicata la gravità e verificata la fonte dell’anomalia, avvisare eventualmente la direzione.
L’accortezza di minimizzare l’accesso dei dati da parte della direzione aziendale ha lo scopo di ridurre al minimo la possibilità di violare l’articolo 4 dello Statuto dei lavoratori e, conseguentemente, cercare di escludere anticipatamente comportamenti penalmente perseguibili.
Come comportarsi in caso di anomalie
Cosa può fare la direzione se viene a conoscenza di anomalie?
Diversamente dai dati di navigazione Internet o delle e-mail, qui non siamo in presenza di dati personali in senso stretto, in quanto i file presenti sul server, ad eccezione delle aree personali se esistono, sono file di lavoro sicuramente condivisi da una pluralità di persone. A questo punto il datore di lavoro può certamente avviare tutte le indagini che possano dimostrare un comportamento illecito e utilizzarle di conseguenza.
L’invio del report tramite e-mail di un grafico al singolo dipendente, come è stato dimostrato nella realtà, può fungere da deterrente, perché ricorda all’individuo che alcune sue azioni (fraudolente) non passerebbero inosservate.
Riassumendo, dobbiamo implementare delle policy aziendali con lo scopo di informare il dipendente sull’operazione che vogliamo compiere, minimizzando i dati raccolti ed evitare o limitare la profilazione. Rendere il collaboratore/dipendente consapevole del suo ruolo e degli alert che potrebbero innescarsi, così che possa anche tutelarsi rispetto ad agenti terzi che stanno utilizzando il suo computer in modo fraudolento.
