Per implementare una forte strategia di protezione dei dati e gestione del rischio all’interno di un’organizzazione, è necessario coinvolgere anzitutto il dipartimento delle Risorse Umane. Le HR hanno infatti un ruolo sempre più attivo e centrale nel preservare la sicurezza dei dati. Insieme al reparto IT, sono sempre più coinvolte nella definizione delle policy aziendali e nella formazione dei dipendenti in merito ad argomenti quali la sicurezza della posta elettronica, l’accesso e l’utilizzo di dati riservati, l’identificazione di minacce e attività malevoli.

L’ultimo report Cost of Insider Threats del Ponemon Institute, attesta che, su un totale di 4716 incidenti informatici analizzati, 2965 (quindi il 63%) sono stati causati da dipendenti o collaboratori negligenti e che il costo di ognuno di questi si aggira intorno ai 300 mila dollari. Su base annuale e globale, questi incidenti sono costati alle aziende circa 4,58 milioni di dollari.

È quindi fondamentale che i Responsabili delle Risorse Umane comprendano le modalità di accesso illecito ai dati aziendali, al fine di educare i propri dipendenti all’individuazione e segnalazione di tali minacce. Per poterlo fare è necessario, prima di tutto, stabilire delle policy aziendali.

Cos’è una policy aziendale?

Una policy aziendale è un insieme di regole di comportamento che il datore di lavoro chiede ai propri dipendenti di rispettare, al fine di proteggere i dati sensibili dell’organizzazione.

Ci sono diverse tipologie di policy aziendali. Tutte rivelano la stretta relazione tra l’IT e le Risorse Umane, le quali agiscono come consigliere di fiducia, chiarendo il contenuto della stessa, fornendo risorse e lavorando dietro le quinte per prevenire potenziali problemi di sicurezza dei dati. Vediamo come.

Disciplinare d’uso degli strumenti informatici

Meglio conosciuta come Acceptable Use Policy, si tratta di una policy che stabilisce vincoli e pratiche che un dipendente deve accettare per accedere a una rete aziendale o a Internet. Tendenzialmente serve a definire l’utilizzo di strumenti quali la posta elettronica, i siti, i social network e molto altro.

Si tratta di un aspetto da tenere in seria considerazione, a maggior ragione in questo periodo durante il quale sono nate nuove tipologie di lavoro ed è diventato ancora più necessario mettere in sicurezza tutte le comunicazioni aziendali.

Una policy di questo tipo consente di definire quale uso delle risorse aziendali è considerato appropriato, limitando le responsabilità dell’organizzazione. Un dipendente informato e consapevole che fa un utilizzo improprio degli strumenti messi a sua disposizione, è responsabile nel caso in cui tale comportamento arrechi danni all’azienda.

Dall’altro lato, però, è opportuno considerare che limitare troppo ciò che il senso comune ritiene necessario (come l’accesso ai Social Media), potrebbe arrecare più svantaggi che vantaggi, generando malcontento e insoddisfazione dei dipendenti.

Nel momento in cui si definisce una policy di sicurezza dell’organizzazione, le Risorse Umane dovrebbero pertanto supportare il reparto IT per evitare scelte che potrebbero essere percepite negativamente dai dipendenti e prevenire così episodi come fughe di dati provocate da “attaccanti” interni.

Policy di assunzione

Una policy di assunzione è una dichiarazione che delinea le pratiche di assunzione adottate dall’azienda e promuove la coerenza nel processo di reclutamento dei dipendenti, al fine di assumere le giuste persone.

La stretta relazione tra HR e IT si rivela nel momento in cui si va a sottoporre ai nuovi dipendenti un sondaggio che ha l’obbiettivo di misurare il livello di soddisfazione dei nuovi assunti, la loro esperienza complessiva durante l’assunzione e il loro feedback relativo al primo periodo di operatività.

Un buon sondaggio di on-boarding darà all’azienda informazioni preziose su come la strategia di reclutamento sta funzionando, oltre a dimostrare ai dipendenti che le loro opinioni e sensazioni vengono ascoltate. In questo modo si ha quasi la certezza che i nuovi assunti partano con il piede giusto e che i futuri nuovi assunti abbiano esperienze altrettanto positive.

Policy di separazione dei ruoli

Questa policy fa riferimento al principio della separazione dei compiti, in modo che nessuna persona sia in grado di eseguire tutte le parti di una transazione in maniera autonoma. In questo modo è possibile prevenire qualsiasi forma di abuso. Un semplice esempio per chiarire questo principio è che una sola persona non dovrebbe essere giudice, giuria e boia.

Consentendo diversi livelli di accesso ai dati e al sistema, l’organizzazione si assicura un controllo interno efficace e riduce il rischio di azioni errate e inappropriate, intenzionali o meno.

Questi sono tre esempi di come, all’interno di un’organizzazione, le Risorse Umane debbano lavorare sempre più a stretto contratto con gli specialisti dell’IT, al fine implementare una forte strategia di protezione dei dati e gestione del rischio, prevenendo così eventuali data leak e data breach.