Difendere l’azienda dalle minacce interne

1. Perché preoccuparsene?

Nelle ultimi anni, forse per più accentuata propensione del personale a cambiare posto di lavoro, forse per l’aumento delle liti tra imprese e dipendenti, abbiamo registrato un incremento importante dei danni subiti dalle organizzazioni derivanti da esfiltrazione di dati o informazioni riservate da parte del personale o di fornitori.

Cosa abbiamo visto?

• Aziende che hanno perso clienti strategici per fuoriuscita di informazioni commerciali
• Aziende che hanno subito dei danni materiali per furti di merce “agevolati” da informazioni strategiche sull’accesso alle sedi
• Strutture che hanno avuto danni da centinaia di migliaia di euro per uso indiscriminato di whatsapp e dei telefoni aziendali da parte dei dipendenti con conseguenti attacchi hacker

Ma cosa potrebbe succedere dunque? Ecco alcuni casi famosi, per avere qualche esempio più chiaro:

Tesla (2018)
Un tecnico della Gigafactory, irritato per una promozione mancata, ha modificato di nascosto il software che controlla le linee di assemblaggio e ha copiato migliaia di file riservati. L’azienda gli ha chiesto in tribunale 167 milioni di dollari di risarcimento per i danni a reputazione e produzione.

Coca-Cola (2021)
Una chimica senior ha fotografato schermate e copiato file sulle nuove vernici BPA-free per lattine, tecnologie che erano costate circa 120 milioni di dollari di ricerca. È stata condannata per spionaggio economico, ma il danno resta.

Immagina di avere un magazzino pieno di merci pregiate: se lasci il portone aperto, prima o poi qualcuno entrerà. Con i dati succede lo stesso, ma le chiavi del “portone” spesso le tiene in mano chi già lavora per te: un dipendente scontento o un fornitore distratto.

2. Cosa possiamo fare? Metti subito in chiaro le regole

Strumento indispensabile: Regolamento informatico (1–2 pagine, linguaggio semplice).

• Cosa è vietato: ( ad esempio ) copiare file aziendali su chiavette personali, inviare documenti riservati a indirizzi email personali o per WhatsApp, utilizzare strumenti personali per trattamento informazioni aziendali

• Cosa è obbligatorio: ( ad esempio ) password complesse, blocco schermo dopo 5 minuti, segnalare immediatamente furti o smarrimenti.

• Sanzioni: richiamo scritto, sospensione, denuncia penale in caso di dolo.

Suggerimento: distribuiscilo insieme al contratto di lavoro e chiedi una firma di presa visione, indica che il trattamento e l’assegnazione dello strumento di lavoro sono correlati allo svolgimento della mansione e possono essere modificati o variati in qualsiasi momento

3. Consegna (e ritiro) dei dispositivi senza sorprese

Strumento: Modulo di assegnazione del dispositivo aziendale.

Suggerimento: al termine del rapporto di lavoro fai firmare un verbale di restituzione con check-list: PC, caricatore, badge, SIM, ecc…

4. BYOD: siamo sicuri di far usare il proprio smartphone ai collaboratori e dipendenti?

Se bloccare del tutto il “Bring Your Own Device” non è possibile, almeno:

1. App aziendale di gestione (MDM): crea un “contenitore” separato sul telefono. Se lo perde, puoi cancellare solo l’area di lavoro.

2. Pin e cifratura obbligatori: niente sblocco con “1234”.

3. Lista di app autorizzate: attenzione alle app che “spiano” la rubrica.

4. Disattiva copia/incolla fra area aziendale e privata: il documento sensibile non finisce per errore su TikTok.

Domanda frequente: “Il dipendente può rifiutare?”
Sì, quindi usa un telefono aziendale dedicato.

5. Tre controlli tecnici che danno il massimo rendimento

1. Doppia autenticazione (MFA)

   • Come il bancomat: ti servono carta e PIN. Un ladro di password da solo non entra a meno che non “rubi” il token di sessione tramite sistemi di phishing ( Forma il personale!! ).

2. Blocco delle porte USB “per tutti”

   • Sembra drastico? Lascia abilitate solo tastiera e mouse: le chiavette non funzionano a meno che l’IT le “sblocchi”.

3. Allerta automatica su spedizioni mail “strane”

   • Ad esempio…se qualcuno invia 50 PDF in un giorno a un indirizzo gmail o libero, scatta subito un avviso al reparto IT.

6. Buone abitudini che costano poco

7. E se qualcosa va storto?

1. Contatta subito MONKIT e blocca l’account (come cambiare la serratura in casa).

2. Salva subito i log: sono le “telecamere” digitali che raccontano chi ha fatto cosa.

3. Valuta la gravità: se ci sono dati personali, il GDPR impone di avvisare il Garante entro 72 ore.

4. Lezione imparata: aggiorna regole e procedure perché non succeda di nuovo.

8. Checklist veloce (stampala e appendila in ufficio!!)

• Documento “Regole IT” consegnato e firmato all’atto dell’assunzione

• Modulo dispositivo compilato (assegnazione e restituzione)

• MFA attivata per tutti gli account

• Blocchi USB configurati

• BYOD sotto controllo MDM o vietato

• Formazione sulla sicurezza periodica

• Procedura d’emergenza testata almeno 1 volta l’anno

Conclusione

Proteggere i dati non è (solo) questione di firewall ultracostosi o investimenti tecnologici importanti. Con regole chiare, firme raccolte e piccoli accorgimenti tecnici metti già il 90 % dei tuoi segreti aziendali al sicuro da dipendenti infedeli o fornitori distratti. E il bello è che molte di queste misure si implementano in una mattinata di lavoro.

Vuoi sapere come? Partecipa ai nostri webinar contattaci o sottoscrivi un contratto MSP PREMIUM, avrai il supporto per la compliance e l’adeguamento normativo compreso. Per una struttura organizzativa a prova di bomba!