Comportamenti degli operatori (parte 2)
Quali sono i rischi che coinvolgono gli operatori?
Tradizionalmente, i rischi relativi alla sicurezza delle informazioni che trovano la propria fonte nel comportamento degli operatori sono il furto di credenziali, la carenza di consapevolezza, l'incuria, i comportamenti sleali, gli errori materiali.
Attenzione però: tale catalogo non è esaustivo, né completo, e pertanto può a seconda dei casi rivelarsi o insufficiente o sovrabbondante.
La struttura comune ai sistemi di gestione sviluppata (nel 2015) da ISO prevede la c.d. HLS - High Level Structure (struttura di alto livello), in cui è presente il c.d. risk-based thinking: i rischi devono essere identificati, analizzati, valutati e trattati nel contesto aziendale di riferimento.
Ciò significa che, adottando lo stesso modus operandi, possiamo ben pensare di identificare (specificando o generalizzando) i rischi che possono coinvolgere i comportamenti degli operatori nel contesto di riferimento al fine di valutare la predisposizione di misure di sicurezza ed istruzioni ai sensi del combinato degli artt. 29 e 32.4 GDPR.
Sul piano operativo, però, abbiamo compiuto una mera ricognizione generale delle istruzioni per gli operatori, per cui occorre definire una serie di comportamenti (o operazioni) da inserire in black list o in white list, che siano adeguatamente pubblicizzate, ad esempio:
Applicare unicamente una regola (comportamentale) di black list, invece, produce il problema di dover considerare ogni comportamento che si intende vietare senza impiegare formule generiche o ridondanti (del tipo: è vietato trattare i dati in violazione di Legge), anche qui ponendo dei regimi di autorizzazione con simili effetti di inefficacia o inefficienza.
Un approccio misto consente quanto meno di circoscrivere i comportamenti consentiti e vietati, andando a definire il generale obbligo di correttezza e buona fede che incombe tanto sui dipendenti quanto sui prestatori di servizi.
Essere GDPReady è...saper definire i comportamenti degli operatori.
Tradizionalmente, i rischi relativi alla sicurezza delle informazioni che trovano la propria fonte nel comportamento degli operatori sono il furto di credenziali, la carenza di consapevolezza, l'incuria, i comportamenti sleali, gli errori materiali.
Attenzione però: tale catalogo non è esaustivo, né completo, e pertanto può a seconda dei casi rivelarsi o insufficiente o sovrabbondante.
La struttura comune ai sistemi di gestione sviluppata (nel 2015) da ISO prevede la c.d. HLS - High Level Structure (struttura di alto livello), in cui è presente il c.d. risk-based thinking: i rischi devono essere identificati, analizzati, valutati e trattati nel contesto aziendale di riferimento.
Ciò significa che, adottando lo stesso modus operandi, possiamo ben pensare di identificare (specificando o generalizzando) i rischi che possono coinvolgere i comportamenti degli operatori nel contesto di riferimento al fine di valutare la predisposizione di misure di sicurezza ed istruzioni ai sensi del combinato degli artt. 29 e 32.4 GDPR.
Sul piano operativo, però, abbiamo compiuto una mera ricognizione generale delle istruzioni per gli operatori, per cui occorre definire una serie di comportamenti (o operazioni) da inserire in black list o in white list, che siano adeguatamente pubblicizzate, ad esempio:
- ai sensi dell'art. 7 Statuto dei lavoratori se nei confronti dei dipendenti;
- come allegato ad un contratto di servizi;
- all'interno di un Regolamento Aziendale.
Applicare unicamente una regola (comportamentale) di black list, invece, produce il problema di dover considerare ogni comportamento che si intende vietare senza impiegare formule generiche o ridondanti (del tipo: è vietato trattare i dati in violazione di Legge), anche qui ponendo dei regimi di autorizzazione con simili effetti di inefficacia o inefficienza.
Un approccio misto consente quanto meno di circoscrivere i comportamenti consentiti e vietati, andando a definire il generale obbligo di correttezza e buona fede che incombe tanto sui dipendenti quanto sui prestatori di servizi.
Essere GDPReady è...saper definire i comportamenti degli operatori.
Commenti
Posta un commento