Di fronte al verificarsi di un data breach, ci sono alcune domande che dovrebbero far scattare il campanello d’allarme nella testa di qualsiasi professionista delle risorse umane: come fa una società a sopportare i costi enormi di una violazione di dati? Che ruolo ha ciascuna parte dell’azienda nel superare la situazione? Quali misure possono essere adottate per proteggere non solo le informazioni sui clienti, ma anche le informazioni sui dipendenti?
Un professionista HR dovrebbe sempre domandarsi a quali informazioni accede quotidianamente e quante di esse potrebbero essere compromesse, il ruolo che gioca nell’azienda, cosa sta facendo per proteggere queste informazioni e che interazioni ha con gli altri uffici dell’azienda stessa per proteggere tali informazioni.
Gran parte dei dati con cui lavora un professionista delle risorse umane spesso sono i più vulnerabili a un possibile attacco informatico. Queste informazioni dei dipendenti potrebbero includere informazioni personali identificabili, come codici fiscali, informazioni sul conto bancario, indirizzi, stato di famiglia, cartelle cliniche e date di nascita.
È cruciale, quindi, che gli uffici delle risorse umane comprendano non solo come proteggere i propri dati, ma anche quelli dell’organizzazione. I responsabili delle risorse umane potrebbero svolgere un ruolo centrale nel preservare la sicurezza dell’azienda nel cyberspazio e questo può essere fatto attraverso un paio di semplici passaggi.
Indice degli argomenti
Professionisti delle risorse umane: misure di sicurezza etiche e pratiche
Innanzitutto, è importante implementare controlli regolari che possano impedire ai dipendenti di mettere in pericolo l’azienda, ma che siano comunque moralmente coerenti con il modo in cui i dipendenti pensano e si comportano. Le password di accesso generate casualmente, ad esempio, sono state provate e testate, ma sfortunatamente, data la moltitudine di tecnologia che ci circonda oggigiorno, è difficile poterle gestire correttamente per tutti i possibili account correlati alle attività produttive aziendali. In questo caso, può essere ottimale la soluzione trovata in questi ultimi anni in Svizzera che prevede di tornare a utilizzare card con vari livello di autorizzazione.
Alcune organizzazioni hanno provato a monitorare l’attività dei propri dipendenti, ma una simile azione di controllo ha scatenato quasi immediatamente alcune domande che ruotano intorno al concetto di fiducia tra dipendente e datore di lavoro e su come questa pratica stia valicando i confini tra la vita personale e professionale (tra l’altro, è stato più volte ribadito dal Garante per la protezione dei dati personali che ogni forma di controllo da parte del datore è violazione dello statuto dei lavoratori).
È qui che il team delle risorse umane deve analizzare e consigliare qual è la migliore linea di condotta da seguire.
Gestione dei rischi e dei dipendenti
All’interno di un’organizzazione con una forte strategia di gestione del rischio, i dipartimenti HR hanno l’opportunità di mediare l’impatto del turnover dei dipendenti attraverso il monitoraggio e la prevenzione. Quando un dipendente è costretto a lasciare la società, il team delle risorse umane può gestire quell’uscita tenendo presente anche l’aspetto della sicurezza, contribuendo così notevolmente a fermare eventuali perdite di dati. Ad esempio, nel Regno Unito esiste già una linea guida su come le organizzazioni dovrebbero gestire le persone, i rischi fisici e quelli informatici.
A causa della natura della sicurezza informatica, il reparto IT non può essere ritenuto l’unico responsabile. La tecnologia è diventata sempre presente e viene instillata in quasi ogni aspetto della vita d’ufficio, rendendo così le organizzazioni vulnerabili a tutti i tipi di attacchi.
Quanto sono protetti i preziosissimi dati aziendali? Quali precauzioni sono state prese per proteggerli? I professionisti delle risorse umane tendono a trascurare il fatto che molte minacce alla sicurezza informatica sono il risultato di leggerezze dei dipendenti. Solamente la metà delle violazioni dei dati è il risultato di un attacco esterno o di una violazione, il che significa che l’altra metà proviene da una sorta di azione interna.
L’errore dei dipendenti può giocare un ruolo enorme nelle violazioni della sicurezza aziendale. Forse un dipendente ha fatto clic su un link malevolo in un’e-mail che sembrava provenire da un collega, vittima di un tentativo di phishing; oppure ha scaricato un malware senza prestare alcuna attenzione durante la navigazione su Internet. O forse, ancora, un dipendente in uscita dall’azienda ha portato con sé preziose informazioni aziendali sotto forma di liste di contatti o presentazioni confidenziali.
Secondo il Cost of Insider Threats Study 2018 del Ponemon Institute, almeno il 60 percento delle violazioni dei dati viene effettuato da addetti ai lavori, inclusi dipendenti attuali ed ex che prendono informazioni con loro mentre lasciano un lavoro, maliziosamente o meno. I professionisti delle risorse umane dovrebbero acquisire una comprensione pratica di come proteggere i dati.
Quando le aziende si assicurano di avere uno dei migliori programmi di sicurezza in atto, possono essere sicuri che sia le informazioni interne sia quelle esterne siano protette in sicurezza, il che ovviamente è nel miglior interesse di entrambi.
L’HR nell’era delle minacce informatiche
È fondamentale, quindi, che gli HR comprendano i diversi modi in cui un hacker può tentare di accedere alle informazioni (phishing, ransomware, bot, trojan, malware, spyware ecc.). E non basta solo conoscere queste minacce: è importante essere in grado di identificarle e contrastarle. Dal punto di vista interno, gli HR dovrebbero offrire formazione ai propri dipendenti per identificare e segnalare tali minacce.
L’HR deve svolgere un ruolo attivo e centrale nel preservare e proteggere la sicurezza dell’azienda e dei suoi dati. Le risorse umane devono collaborare con l’IT (e altri dipartimenti) e comprendere che l’IT non può essere ritenuto l’unico responsabile della protezione delle informazioni e dei sistemi.
Le risorse umane potrebbero facilmente lavorare con l’IT per sviluppare sistemi specifici o file crittografati per l’archiviazione di dati sensibili. È fondamentale che le risorse umane partecipino in modo significativo allo sviluppo, all’implementazione e alla comunicazione di politiche e procedure di sicurezza a livello aziendale. Questi processi dovrebbero essere ben documentati e inclusi in un manuale per i dipendenti. Potrebbero includere argomenti come la sicurezza della posta elettronica, il blocco dei computer quando si lascia una scrivania, l’utilizzo di dispositivi aziendali per uso personale e il blocco di determinati siti Web o applicazioni.
Le risorse umane devono prendere l’iniziativa di formare tutti i dipendenti sui protocolli di sicurezza, siano essi dipendenti attuali o nuovi assunti, con argomenti che vanno dalla sicurezza della posta elettronica all’accesso e all’utilizzo di dati riservati, al riconoscimento di minacce e attività dannose.
Le risorse umane dovrebbero assumersi la responsabilità di applicare le procedure e le politiche di sicurezza e sottolineare le ripercussioni per i dipendenti che non rispettano le norme. Non è sufficiente semplicemente creare e distribuire le linee guida di una policy di sicurezza. I professionisti delle risorse umane non solo hanno bisogno di essere acquisiti da tutti i livelli di un’azienda, ma devono anche continuamente educare, applicare le politiche aziendali e ritenere i dipendenti responsabili delle azioni.
Che lo vogliano o no, i professionisti delle risorse umane hanno una grossa responsabilità nel mantenere un posto di lavoro sicuro, anche se questo significa proteggere l’azienda dalle minacce informatiche. Per questa ragione bisogna tornare a selezionare, come faceva l’ISVOR (Istituto per la Valorizzazione e l’Organizzazione) il personale all’interno delle aziende e a formarle.
