Ex dipendenti e accesso ai dati: il parere dell’esperto di cybersecurity

Secondo una indagine di Osterman Research due aziende su tre non sono sicure che un ex dipendente non stia più accedendo alle risorse e a i dati aziendali dopo che ha lasciato il posto di lavoro.

Sempre secondo l'indagine “Protecting Corporate Data When Employees Leave Your Companyil 53% non dispone di processi e sistemi consolidati per monitorare l'accesso alle applicazioni e alle informazioni riservate aziendali.

Del resto è un fatto che la digitalizzazione delle informazioni e dei documenti ha reso più semplice per qualsiasi dipendente appropriarsi di dati il cui accesso non gli sarebbe stato consentito su carta.

Potenzialmente, quindi, un ex-dipendente potrebbe costituire una minaccia per la riservatezza dei dati aziendali, ancor di più in tutti quei casi in cui i dati siano protetti da normative specifiche (Gdpr) o siano vitali per la sopravvivenza dell'azienda.

Per questo motivo le aziende più sensibili al tema hanno definito delle politiche (più o meno governate da procedure e strumenti tecnologici) per il provisioning e il de-provisioning delle utenze sui sistemi informatici.

Gianluca Vadruccio, Cto cybersecurity di Axitea

Provisioning, per garantire che l'accesso ai dati sia limitato a quanto necessario per svolgere la propria attività lavorativa.

De-Provisioning per garantire la rimozione di tutti i profili una volta che il dipendente termini il rapporto di lavoro.

Come osserva Gianluca Vadruccio, CTO CyberSecurity di Axitea, lo stesso Garante della Privacy si è pronunciato in merito, precisando che al cessare del rapporto di lavoro, l’account di posta elettronica dell’ex dipendente dovrà essere disattivato e rimosso, inibendo così in modo definitivo la ricezione in entrata delle email e la loro conservazione.

Le attività più immediate, quindi, sono la rimozione dell'accesso a dati, servizi e risorse, disattivare l'ID di accesso del dipendente ai locali, bloccare l'autenticazione del dipendente alla rete aziendale e disabilitare le eventuali carte utilizzate (credito, carburante), ma anche prevedere la restituzione dai dipendenti in partenza di qualsiasi proprietà, dati aziendali, informazioni riservate, badge, chiavi, laptop, token, fax, telefoni cellulari e altre apparecchiature aziendali in dotazione.

Ma, fa notare Vadruccio, tutto questo non basta.

Per l'esperto di cybersecurity è consigliabile anche far firmare ai dipendenti un accordo di non divulgazione all'atto dell'assunzione e ricordare loro che hanno il dovere di mantenere la riservatezza al momento dell'uscita.
Utilie anche monitorare gli scostamenti dal normale utilizzo, l'accesso e le azioni intraprese sui sistemi nei tre mesi precedenti l'uscita del dipendente (analisi degli scostamenti da una baseline). Tenere inoltre presente che spesso i dipendenti iniziano a scaricare i dati molto prima di andarsene spontaneamente (campanello d'allarme).
Bisogna accertarsi che al dipendente sia pagato tutto il dovuto senza accanimenti e garantire che le informazioni riservate relative a un dipendente rimangano tali.

Il dovere della società resta quello di proteggere le proprie informazioni riservate, ma anche quelle del dipendente o dell’ex dipendente, facendo sì che vengano conservate e utilizzate solo ed esclusivamente per gli scopi previsti dalla legge.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome