Come tutelarsi nei confronti dei dipendenti ed il furto delle informazioni digitali ?

Nessun Commento

Sono in aumento rispetto a pochi anni fa le sottrazioni di dati da parte dei dipendenti, in particolare nel caso di impiegati che stanno per dimettersi o essere licenziati. Una perizia o analisi forense non è sufficiente a contestare un reato in modo inattaccabile se in azienda non sono state messe in atto procedure preventive come LA POLICY SULLA SICUREZZA INFORMATICA la quale definisce tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici.

I responsabili IT devono fare i conti con questa nuova realtà, fornendo la flessibilità che i dipendenti aziendali richiedono ( maggiore velocità nello scambio delle comunicazioni e dei materiali con i clienti e maggiore competitività lanciando una nuova offerta di prodotti e servizi che forniscano un valore aggiunto ) e, al tempo stesso, gestendo tutti i processi in modo sicuro grazie ad una sempre più necessaria introduzione in Azienda di una Policy Sulla Sicurezza Informatica.

La Policy sulla sicurezza informatica e l’Accordo di Riservatezza tutelano l’azienda da una serie di attività che il dipendente può mettere in atto nei confronti del datore di lavoro come :

  1. sottrazione dei dati,
  2. cancellazione dei dati,
  3. utilizzo dei dati per un’attività di concorrenza,
  4. utilizzo dei dati per rivenderli ad eventuali imprese concorrenti.

Per il dipendente colpevole si prefigurano responsabilità civili ai sensi degli artt. 167 e 169 del Codice della Privacy, i quali rispettivamente sanzionano il trattamento illecito dei dati e l’omessa adozione di misure necessarie alla sicurezza dei dati con pene che possono andare da sei a diciotto mesi di reclusione, se dal fatto ne deriva nocumento, o da sei a ventiquattro mesi, se il fatto consiste nella comunicazione o diffusione dei dati. Per la responsabilità penale si parla invece dalla legge 547/1993 rubricata come “Crimini informatici commessi da dipendenti e addebitabili all’azienda”.

Il punto fondamentale per il quale adottare una Policy sulla Sicurezza Informatica è che il datore di lavoro rischia di essere ritenuto responsabile in concorso con il dipendente a lui subordinato, che ha commesso il crimine informatico, se non ha adottato ed attuato tutte le misure di prevenzione e di controllo, idonee a garantire la sicurezza del trattamento dei dati nella sua azienda. La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi, come la policy sulla sicurezza informatica vi offre, è considerata difatti un’agevolazione alla commissione del crimine. Per quanto attiene all’aspetto civilistico il Codice della Privacy qualifica il trattamento dei dati come attività pericolosa (art. 2050 c.c.). È prevista pertanto un’inversione dell’onere della prova nell’azione risarcitoria ex articolo 2043 c.c., per cui l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche più idonee a garantire la sicurezza dei dati detenuti. In parole più semplici l’azienda deve dimostrare di aver di aver adottato tutte le misure idonee ad evitare un danno, ecco perchè credere di poter stipulare una polizza sui rischi informatici e pensare di risolvere il problema non è sufficiente !

Il documento della Policy sulla Sicurezza Informatica è redatto nel RISPETTO DEI PRINCIPI DI TUTELA DELLA PERSONA, DELLE NORME POSTE A TUTELA DELLA LIBERTÀ E DIGNITÀ DEI LAVORATORE, contenute nella L. n. 300/1970 (Statuto dei lavoratori) ed alla successiva normativa in tema di Protezione dei dati personali (D.Lgs. 196/2003) (2bis) NEL PIENO RISPETTO DEL PRINCIPIO DELLA INDISPENSABILITÀ art. 26, 4°comma lett. C del codice della Privacy.

In merito all’ex articolo 4 dello statuto dei lavori, che ora si può leggere come n. 4/2011, GARANTISCE AL LAVORATORE CHE NON VERRÀ PERSEGUITO ALCUN ILLECITO relativo ai controlli a distanza essendo indicato che qualsiasi tipo di analisi informatica effettuata sulla sua postazione computer avverrà solo sul posto ed in presenza del lavoratore stesso.

PERMETTE AL LAVORATORE DI FAVORIRE LO SVILUPPO DELL’AZIENDA. Permettendo all’Azienda di adottare misure cautelative garantisce alla stessa di mantenere alti standard di produttività in osservanza degli artt. 2086 e 2104, i quali attribuiscono rispettivamente all’imprenditore, la direzione e gerarchia dell’impresa e il potere di verifica sull’obbligo di diligenza in base alla natura della prestazione eseguita dal prestatore di lavoro.

PREVIENE UTILIZZI ILLECITI DELLE RISORSE ASSEGNATE AL LAVORATORE. (Osservare la Policy sulla Sicurezza Informatica mette in sicurezza la postazione computer del lavoratore da utilizzi non autorizzati di colleghi di lavoro o di malintenzionati esterni all’azienda).

L’analisi dei rischi informatici richiesta dal DPS è da considerarsi un valore aggiunto per la TUTELA DELLA SALUTE DEI LAVORI, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica, in osservanza anche delle norme previste dal Decreto Legislativo 81/08.

LA POLICY SULLA SICUREZZA INFORMATICA predispone tutte le azioni corrette da compiere per:

A) L’UTILIZZO DEL PERSONAL COMPUTER
B) L’UTILIZZO DELLA RETE
C) LA GESTIONE DELLE PASSWORD
D) L’UTILIZZO PC PORTATILI, TELEFONI FISSI, CELLULARI, FAX E FOTOCOPIATRICI
E) L’UTILIZZO DELLA POSTA ELETTRONICA
F) L’USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI
G) LA PROTEZIONE ANTIVIRUS E MALWARE

 

Acquista il documento qui http://www.analisideirischinformatici.it/sicurezza/acquista/policy-sulla-sicurezza-informatica/

Policy Sulla Sicurezza Informatica

 

In conclusione occorre :

  1. Determinare le informazioni da proteggere ed assegnarne dei livelli di priorità
  2. Effettuare una valutazione di rischi informatici che si corrono ( effettuando un’analisi dei rischi. Vi mettiamo a disposizione un test online per un’analisi iniziale : click qui )
  3. Stabilire ed attuare delle contromisure preventive per eliminare o ridurre i rischi più significativi grazie alla Policy sulla Sicurezza informatica e all’introduzioni di dispositivi e sistemi di backup per la protezione della perdita dei dati o sistemi di criptazione che impediscono il trasferimento di informazioni da un computer o dispositivo ad un altro. Ci riferiamo ai cosiddetti sistemi di Data Leakage Protection con il fine di individuare e prevenire l’uso non autorizzato e la trasmissione di informazioni riservate. Occorrerà ad esempio : cifrare i contenuti più sensibili ; bloccare l’utilizzo delle unità di archiviazione removibili ; controllare le applicazioni installate sul computer che potrebbero fare uscire dati a vostra insaputa ; verificare che non vi siano servizi di cloud storage come dropbox che permettono al dipendente di accedere a contenuti salvati durante il lavoro nella sua cartella in ufficio anche dall’esterno dell’azienda ; utilizzare tecnologie DRM che impediscono la riproduzione dei dati su numeri limitati di dispositivi.
  4. Definire delle azioni di contenimento da attuare in caso di furto di informazioni con eventuale perdita delle stesse. Conoscere come salvaguardare le prove dopo che un eventuale atto illegale è stato commesso.

Approfondisci qui : http://www.analisideirischinformatici.it/policy_sulla_sicurezza_informatica_e_accordo_di_riservatezza.php#sthash.KglcvKai.dpuf

 

ACCORDO DI RISERVATEZZA

Qualora l’Azienda tratti informazioni tecniche, commerciali, finanziarie, operative, amministrative riservate e segrete di esclusiva proprietà e pertinenza dell’Azienda è possibile richiedere anche la redazione del documento “ACCORDO DI RISERVATEZZA” che verrà aggiunto alla Policy Sulla Sicurezza Informatica. Questo Documento rientra nella Politica della Riservatezza Aziendale. Ogni Dipendente, anche a termine, è tenuto a sottoscrivere, a rispettare e a far rispettare l’Impegno alla Riservatezza. Sarà cura della Direzione Aziendale raccogliere e conservare le schede firmate dal personale quando avremo loro fornito il documento. In relazione a questo si ha un collegamento diretto con l’articolo 2105 c.c. rubricato “Obbligo di fedeltà del lavoratore dipendente e divieto di concorrenza sleale”[3]. L’art. 2105 c.c. individua l’obbligo di fedeltà in due distinti doveri, entrambi di contenuto negativo: il divieto di concorrenza e l’obbligo di riservatezza ovvero di segretezza. Il primo consiste nell’obbligo di astenersi dal trattare affari in concorrenza con l’imprenditore, sia per conto proprio che di terzi, mentre il secondo vieta al lavoratore di divulgare o di utilizzare, a vantaggio proprio o altrui, informazioni attinenti l’impresa, in modo da poterle arrecare danno.

Le nuove tecnologie permettono una distribuzione delle informazioni molto più veloce rispetto al passato. Documenti confidenziali possono essere trasferiti dalla vostra azienda ad un account personale online del dipendente o in un suo dispositivo esterno, con un semplice click, a vostra totale insaputa. Solo un documento di impegno alla riservatezza vi permette di essere tutelati e vi assicura ad esempio che in caso di dimissioni o licenziamento tali informazioni saranno restituite o distrutte entro 24 ore dalla vostra richiesta.

Il documento di riservatezza che vi possiamo redigere è composto da 8 pagine e rispetta tutte le normative di legge : Regolamento Ce 31 gennaio 1996, n. 96/240 ; Convenzione dell’Unione di Parigi sulla protezione della proprietà intellettuale resa esecutiva in Italia con il D.L. 10 gennaio 1926, n. 129 convertito con modifiche in legge 29 dicembre 1927, n. 2701 ; R.D. 29 giugno 1939 n. 1127 Legge invenzioni ; D.Lgs. 10 febbraio 2005, n. 30 Codice della proprietà industriale, a norma dell’art. 15 della legge 12 dicembre 2002, n. 273 Art. 98 Informazioni segrete-oggetto della tutela e Art. 99 Informazioni segrete-tutela ; Codice Civile : Art. 2105 obbligo di fedeltà e Art. 2598, n.3 atti di concorrenza sleale ; Codice Penale : Art. 622 Rivelazione di segreto professionale e Art. 623 Rivelazione di segreti scientifici o industriali.

Acquista il documento qui : http://www.analisideirischinformatici.it/sicurezza/acquista/impegno-o-accordo-di-riservatezza-per-fornitori/

Impegno o Accordo di Riservatezza per Fornitori

 

Informatica in Azienda

Vi invitiamo a visitare il nostro sito www.informaticainazienda.it.

More from our blog

See all posts