Secondo una indagine di Osterman Research due aziende su tre non sono sicure che un ex dipendente non stia più accedendo alle risorse e a i dati aziendali dopo che ha lasciato il posto di lavoro.
Sempre secondo l’indagine “Protecting Corporate Data When Employees Leave Your Company” il 53% non dispone di processi e sistemi consolidati per monitorare l’accesso alle applicazioni e alle informazioni riservate aziendali.
Del resto è un fatto che la digitalizzazione delle informazioni e dei documenti ha reso più semplice per qualsiasi dipendente appropriarsi di dati il cui accesso non gli sarebbe stato consentito su carta.
Potenzialmente, quindi, un ex-dipendente potrebbe costituire una minaccia per la riservatezza dei dati aziendali, ancor di più in tutti quei casi in cui i dati siano protetti da normative specifiche (Gdpr) o siano vitali per la sopravvivenza dell’azienda.
Per questo motivo le aziende più sensibili al tema hanno definito delle politiche (più o meno governate da procedure e strumenti tecnologici) per il provisioning e il de-provisioning delle utenze sui sistemi informatici.
Provisioning, per garantire che l’accesso ai dati sia limitato a quanto necessario per svolgere la propria attività lavorativa.
De-Provisioning per garantire la rimozione di tutti i profili una volta che il dipendente termini il rapporto di lavoro.
Come osserva Gianluca Vadruccio, CTO CyberSecurity di Axitea, lo stesso Garante della Privacy si è pronunciato in merito, precisando che al cessare del rapporto di lavoro, l’account di posta elettronica dell’ex dipendente dovrà essere disattivato e rimosso, inibendo così in modo definitivo la ricezione in entrata delle email e la loro conservazione.
Le attività più immediate, quindi, sono la rimozione dell’accesso a dati, servizi e risorse, disattivare l’ID di accesso del dipendente ai locali, bloccare l’autenticazione del dipendente alla rete aziendale e disabilitare le eventuali carte utilizzate (credito, carburante), ma anche prevedere la restituzione dai dipendenti in partenza di qualsiasi proprietà, dati aziendali, informazioni riservate, badge, chiavi, laptop, token, fax, telefoni cellulari e altre apparecchiature aziendali in dotazione.
Ma, fa notare Vadruccio, tutto questo non basta.
Per l’esperto di cybersecurity è consigliabile anche far firmare ai dipendenti un accordo di non divulgazione all’atto dell’assunzione e ricordare loro che hanno il dovere di mantenere la riservatezza al momento dell’uscita.
Utilie anche monitorare gli scostamenti dal normale utilizzo, l’accesso e le azioni intraprese sui sistemi nei tre mesi precedenti l’uscita del dipendente (analisi degli scostamenti da una baseline). Tenere inoltre presente che spesso i dipendenti iniziano a scaricare i dati molto prima di andarsene spontaneamente (campanello d’allarme).
Bisogna accertarsi che al dipendente sia pagato tutto il dovuto senza accanimenti e garantire che le informazioni riservate relative a un dipendente rimangano tali.
Il dovere della società resta quello di proteggere le proprie informazioni riservate, ma anche quelle del dipendente o dell’ex dipendente, facendo sì che vengano conservate e utilizzate solo ed esclusivamente per gli scopi previsti dalla legge.
