Comportamenti degli operatori (parte 1)


"Quando possibile, automatizza" è un promemoria molto caro per chi si occupa di sistemi di gestione, ma non sempre tale possibilità è attuabile in relazione alla sicurezza delle informazioni vista l'ineliminabile rilevanza del fattore umano.


Facendo però riferimento ai sistemi (da intendersi come: politiche, procedure e prassi) per la gestione della conformità delle attività di trattamento di dati personali alle prescrizioni del GDPR, i fattori di rischio riferibili ai comportamenti degli operatori devono essere necessariamente riferiti al contesto aziendale di riferimento dal momento che la lista di minacce tipiche (furto di credenziali, carenza di consapevolezza, incuria, comportamenti sleali, errori materiali) può essere non esaustiva (e dunque: inefficace) o sovrabbondante (e dunque: inefficiente). L'art. 29 GDPR, difatti, prevede che gli operatori siano autorizzati ed istruiti dal titolare del trattamento.

Regolare il comportamento degli operatori significa, infatti, definire innanzitutto autorizzazioni e privilegi: dal punto di vista tecnico, regolando le impostazioni delle utenze ed evitando situazioni-tipo everyone full control; dal punto di vista organizzativo, riferendo (rectius: collegando) i privilegi alle mansioni svolte.

Ulteriore punto critico sono le istruzioni le quali non possono limitarsi in modo generico e scollegato dal contesto aziendale ad una lista di operazioni consentite (es. raccolta, organizzazione, trasmissione, etc...) bensì dovrebbero, come minimo:

  • richiamare politiche aziendali (di sicurezza);
  • disciplinare un corretto impiego della strumentazione (ed eventualmente, valutare la predisposizione di una BYOD o CYOD policy);
  • definire istruzioni per la gestione degli eventi di data breach;
  • indicare una serie di comportamenti vietati;
  • indicare una serie di comportamenti consentiti previa autorizzazione;
  • indicare uno o più punti di contatto aziendali per chiarire eventuali dubbi;
  • richiamare Regolamenti o Procedure operative, ove presenti.

Essere GDPReady è...saper istruire gli operatori.

Commenti