Abbiamo un bel lavorare noi che ci occupiamo (anche) di sicurezza: vai da una società, cerchi di sensibilizzarla su determinati argomenti cercando di trasmettere un'immagine della sicurezza che non sia solo una voce dell'elenco dei costi, ma un vero e proprio patrimonio aziendale, una cultura, un approccio che dovrebbe permeare tutta la struttura organizzativa.
Organizzi seminari, corsi, divulghi informazioni e testi, proponi (anche) soluzioni che cerchino di mitigare i rischi relativi al trattamento di informazioni sensibili che ogni azienda tratta all'interno della sua attività.
E' un duro lavoro, poiché le aziende prima di tutto pensano a come fare business, a guadagnare soldi, a discapito di quello che è poi la capacità di preservare i risultati, ovvero il frutto del proprio lavoro, e soprattutto la privacy dei propri clienti.
Vi farò un esempio, anzi, lascerò che l'esempio ve lo faccia YouTube: in questo video potrete vedere dei rappresentanti dei sindacati che, frugando tra la spazzatura delle filiali della banca, scoprono documentazione cartacea contenente dati sensibili dei clienti.
Nome e cognome, indirizzi, Social Security Number (qualcosa come il nostro codice fiscale) associati a numeri di conto corrente, firme, tutti dati a disposizione di chiunque.
Cosa ci può insegnare questo episodio? Che le aziende finanziarie non devono investire solo nella tecnologia, ma si devono assicurare che le prassi (o le policy) aziendali sulla non divulgazione di dati sensibili siano recepite e implementate a tutti i livelli della struttura organizzativa.
E' intuibile capire come l'informazione sia sensibile in tutti i suoi formati e in ogni momento del suo ciclo di vita: dalla creazione, alla diffusione, alla replicazione, alla distruzione.
Purtroppo l'informazione è replicabile e ogni azienda che voglia garantire la propria sicurezza, deve tenerlo ben presente: ogni qualvolta avvenga la duplicazione di un dato sensibile, anche il suo nuovo formato dovrà essere salvaguardato, che si tratti di file o fotocopie cartacee.
E per implementare questo è necessario che ogni singolo impiegato sia consapevole della sua responsabilità nei confronti dell'informazione, dell'azienda e dei clienti.
Non si tratta, quindi, solo di stilare procedure e policy che una volta scritte vanno a finire in un archivio e una volta lette terminano il loro ciclo di vita nel cestino sotto il tavolo, o in quello di Windows: si tratta di creare una cultura della sicurezza e divulgarla nel modo più efficace possibile. Non parlo di comunicazioni interne o di email, ma di corsi, seminari, video, manuali, strumenti che implementano un approccio completo.
Pensate anche solo al danno di immagine che una fuga di informazioni può comportare: se foste a New York, dopo aver visto il video, aprireste un conto alla Chase Bank?
Nessun commento:
Posta un commento