Il 48% dei dipendenti ha accesso a troppi dati aziendali
Secondo un rapporto di GetApp, nelle piccole e medie imprese il 48% dei dipendenti ha un livello di accesso ai dati aziendali eccessivo rispetto a quello effettivamente necessario per svolgere le proprie mansioni. Ancora più allarmante, è che il 12% delle imprese prese in esame riferisce che i propri dipendenti hanno accesso a tutti quanti i dati dell’azienda senza alcuna restrizione, e questo espone a rischi che potrebbero essere disastrosi.
Basterebbe infatti che un dipendente scontento o infedele salvasse tutti i dati in una comune chiavetta usb e li portasse all’esterno per provocare danni irreparabili all’azienda.
Si pensi agli effetti che potrebbe produrre una diffusione su larga scala su internet, o alla cessione di tali informazioni ad un competitor, oppure se passando ad un’altra azienda, l’ex dipendente utilizzasse tutte le informazioni di cui si è impossessato illecitamente per soffiarvi clienti o realizzare altrove dei progetti che aveva sviluppato precedentemente mentre lavorava per voi.
“Le banche non forniscono a tutti i dipendenti le chiavi della cassaforte”, spiega chiaramente GetApp sul proprio blog, dove ha anche reso gratuitamente disponibile un utile modello per la classificazione dei dati.
Realizzando una policy aziendale di classificazione dei dati, sarà possibile identificare i tipi di dati che si possiede, determinare chi può accedervi, e proteggere le informazioni in modo adeguato, ma anche ridurre i costi e aumentare la consapevolezza dei dipendenti sulla sicurezza dei dati.
Dato che l’80% delle aziende non sa dove si trovano questi dati e neanche come circolano attraverso la propria rete informatica, tale policy può peraltro aiutarvi a organizzare e tenere traccia dei dati aziendali importanti, con la possibilità di designare uno o più dipendenti come responsabili per garantire l’accesso solo alle persone autorizzate.
Nel rapporto, GetApp afferma che le aziende classificano i propri dati in diverse categorie: “pubblici” (29%), “interni” (30%), “sensibili” (25%), “proprietari” (15%), “riservati” (33%), “altamente riservati” (18%) e “ad accesso ristretto” (25%).
I dati “pubblici” sono informazioni liberamente accessibili a tutti. Comunicati stampa, relazioni annuali pubblicate, informazioni su siti web e social media sono esempi. Ancora più importante, queste informazioni non presentano alcun rischio per l’organizzazione.
I dati “interni” come suggerisce il nome, sono quelli all’interno dell’organizzazione. Documenti di progetto, e-mail interne, materiali relativi alla formazione, linee guida sulle politiche e organigrammi sono tipi di dati interni. Se queste informazioni perdono, possono causare imbarazzo e perdita insieme ad altre conseguenze indesiderate.
I dati “riservati” possono includere informazioni sui clienti e sugli stipendi dei dipendenti. Se questo tipo di informazioni diventano pubbliche, possono danneggiare un’azienda in diversi modi. Oltre al danno reputazionale della società, le violazioni del Gdpr e di altre normative possono anche comportare pesanti multe da parte delle autorità.
L’ultima, ma sicuramente non meno importante, è l’informazione “ad accesso ristretto”. Questo tipo di informazioni sono praticamente top secret e riguardano la proprietà intellettuale, i segreti commerciali, i piani aziendali strategici e le relazioni annuali non divulgate. La diffusione di queste informazioni può causare danni permanenti a un’azienda, ai suoi clienti, venditori e anche ad altri soggetti menzionati nei dossier.
Vivendo nell’era della data economy, le aziende devono quindi attuare strategie sulla sicurezza dei dati per ridurre al minimo il rischio che queste informazioni finiscano nelle mani sbagliate.
Nòva Il Sole 24 Ore - Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi