Indice degli argomenti
Il rischio aziendale sta nel dettaglio
Il fattore umano nella gestione della privacy in azienda
Diffondere la cultura della sicurezza.
Come deve essere impostato il percorso formativo perché sia davvero efficace?
Il rischio aziendale sta nel dettaglio
Il filosofo e scrittore francese Paul Valéry diceva: ‘Chi vuole fare grandi cose deve pensare profondamente ai dettagli.’
In effetti ogni dettaglio è fondamentale quando si progettano strutture complesse che necessitano di passaggi molteplici e coinvolgono molteplici figure.
Anche dettagli in apparenza minori come le viti di fissaggio, devono essere a tenuta quando si deve inviare uno shuttle nello spazio e sicuramente nessuno dei progettisti coinvolti considera una vite meno importante del carburante o delle celle di isolamento.
Proviamo a declinare questo pensiero nella sfera privacy e troviamo un metodo tanto semplice quanto fondamentale per un valido processo di analisi.
Un potenziale errore quando ci si accinge ad effettuare una valutazione del rischio o a progettare un sistema integrato di gestione privacy, può essere quello di concentrarsi da subito sui grandi sistemi aziendali: database, gestione di archivi, sistemi informativi, ecc., senza effettuare un’accurata analisi di quelle consuetudini ed abitudini che costituiscono di fatto il reale lavoro quotidiano. Tali abitudini, il più delle volte maturate con buon senso e praticità, sono però frutto di consetudini nate senza alcuna formazione nè visione specialistica e prudenziale.
Oggigiorno, le persone si preoccupano di mantenere le loro informazioni personali al sicuro e lontano dalle mani di persone che potrebbero sfruttarle. La privacy e la sicurezza sono molto importanti per i vostri clienti e devono essere prese molto sul serio anche dalla vostra azienda.
È fondamentale quindi affiancare all’analisi dei processi la creazione di una cultura della sicurezza, dando la giusta importanza a ogni processo e responsabilizzando ogni attore coinvolto.
Lavorare da anni nel campo informatico, a stretto contatto con molte realtà lavorative ed organizzative eterogenee tra loro, ci ha insegnato che i rischi maggiori quando si parla di privacy e gestione dei dati si annidano nei piccoli dettagli quotidiani.
Il fattore umano nella gestione della privacy in azienda
Quando vi sedete a tavolino per ragionare sulla privacy by design, il primo "bug" da misurare è sicuramente il fattore umano.
Le persone che ogni giorno ruotano intorno alla nostra organizzazione e che interagiscono, anche fisicamente, con i dati oggetto della nostra tutela è di vario tipo: dipendenti, collaboratori, stagisti, fornitori, clienti, imprese delle pulizie, corrieri...
e altrettanti sono gli strumenti a loro disposizione: posta elettronica, chat, condivisori di file, gestionali aziendali, … su altrettanti supporti: telefoni, supporti di archivazione, tablet, pc, ...
Ogni persona all'interno dell'azienda ha la responsabilità di proteggere i dati dei clienti. La maggior parte degli incidenti che si verificano in ambito privacy, sono causati da parte di dipendenti o collaboratori che commettono errori causati da semplice negligenza o superficialità.
Smart working e privacy
Gli strumenti ed i meccanismi di comunicazione attuali, solo poco tempo fa impensabili, consentono di annullare le distanze tra le persone, permettendo nuove formule di lavoro flessibile e dinamico. Dallo smart working al co-working.
Ma anche chiunque di noi lavori in un impiego ‘tradizionale’ sa benissimo che oggi è l’ufficio a doverci seguire nei nostri spostamenti.
Ogni cosa è “connessa”: non solo smartphone, tablet o pc, ma anche le nostre auto, i nostri spazi di lavoro, le nostre case, l’internet delle cose.
Se da un lato tutto ciò favorisce un netto miglioramento della qualità della vita, liberandoci da inutili trasferte, vincoli orari e code in tangenziale, dall’altro apre nuovi scenari di sicurezza e gestione della privacy non sempre immediati da vedere.
In questo movimento dinamico ecco che i nostri dati personali e i dati che gestiamo nel nostro lavoro e di cui siamo responsabili, si muovono con noi e soprattutto vengono replicati su moltecipli dispositivi.
L’apparente semplicità e immediatezza degli oggetti di uso quotidiano spesso ci fa sottovalutare o del tutto dimenticare la probabilità che essi rappresentino un pericoloso canale di accesso per attacchi informatici e un punto di vulnerabilità di fatto permanente.
Come limitare il più possibile un rischio così subdolo?
Diffondere la cultura della sicurezza.
Rendere consapevole il personale di tutti i reali rischi connessi alla privacy nelle azioni quotidiane private e di lavoro è uno step imprescindibile.
Nessuno dei nostri dipendenti o collaboratori lascerebbe mai incustodito il proprio cellulare in un luogo pubblico, o non posterebbe mai su un social network le coordinate di accesso al proprio conto corrente on line, perché si rende perfettamente conto dei rischi connessi a tali distrazioni.
Una corretta cultura della privacy in azienda, farà in modo che la stessa sensibilità nasca anche nei confronti dei dati dei clienti.
Come deve essere impostato il percorso formativo perché sia davvero efficace?
Prestando attenzione ai dettagli. Ecco alcuni punti fondamentali di questo processo:
- Creare ogni volta un percorso formativo ad hoc per la realtà in cui stiamo impiantando un sistema privacy.
- Analizzare con il personale le reali procedure di lavoro, osservando con attenzione come il flusso organizzativo dei dati si muove all’intero ed all’esterno dell’ambiente di lavoro.
- Prestare particolare attenzione a come tutte le figure coinvolte interagiscono tra loro nella quotidianità.
- Non dimenticare nessuna figura, dallo stagista temporaneo al socio fondatore di lunga data.
Formazione ad hoc
Il risultato di questa dettagliata analisi sarà la nostra guida per creare il corso di formazione a misura di azienda.
Ma ancora non basta.
Ora dobbiamo evolvere la traccia comune e crearne di nuove, dedicate alle singole figure professionali. Corsi e percorsi appositamente disegnati per essere compresi e funzionali in base al ruolo ricoperto all’interno dell’organizzazione.
La formazione non può essere solo teorica e normativa, i concetti di prevenzione devono essere tradotti in vademecum pratici e semplici da leggere.
Memorandum creati, se serve, per ogni singola figura all’interno dell’organizzazione.
I punti cardine di una formazione privacy di qualità
Una buona formazione deve essere:
- pratica: ricca di esempi reali ed episodi realmente successi in azienda e in altre realtà simili;
- facile: i concetti chiave devono essere ripetuti, facili da riconoscere e memorizzare;
- coinvolgente: la persona si deve identificare nei processi e negli esempi pratici;
- della giusta durata: dividere la formazione in più sessioni di durata ridotta e distribuite nel tempo aiuta la memorizzazione dei concetti.
- se possibile anche divertente: far sentire i partecipanti a loro agio e non sotto inquisizione, aiuta la creazione di un clima disteso, in cui il personale è libero di interagire e rivelare anche eventuali difficoltà o problemi riscontrati durante i processi lavorativi.
Errare è umano, perseverare è diabolico
La responsabilizzazione del personale è la chiusura del cerchio formativo.
Istruzioni di lavoro aggiornate e adeguate e processi specifici devono essere ben appresi e soprattutto applicati.
Le procedure di data breach dovranno contenere anche le eventuali sanzioni previste in caso di colpa o negligenza da parte di chi non ha rispettato istruzioni e processi.
Infine, è fondamentale che tutti, a partire dai responsabili, mettano in pratica ogni giorno i principi appresi durante la formazione.
È categorico pretendere che il processo di privacy protection non resti solo teorico.