Login / Register | Via Monte Nero 12/2 33033 Codroipo (UD)   +39 349 326 7671 Contattami su Skype
Address

Via Monte Nero 12/2 33033 Codroipo (UD) +39 349 326 7671

Open Hours

Il trattamento informatico dei dati HR in azienda: rischio o opportunità?

GDPR UE 2016/679

GDPR UE 2016/679

Scopri se sei in regola con il nuovo Regolamento Privacy GDPR UE 2016/679!
ACCEDI SUBITO AL QUIZ!

TI RICORDIAMO CHE L’ADEGUAMENTO AL GDPR È OBBLIGATORIO

Newsletter
Iscriviti alla Newsletter

Sempre di più le aziende e le loro informazioni sono il bersaglio degli hacker. Dario Tion di DARNET ha trovato il modo per proteggere i segreti aziendali

Dario Tion, titolare della DARNET srl

Dario Tion, titolare della DARNET Servizi srls

Dario Tion, classe 1978, si occupa di consulenza aziendale. È amministratore di Darnet Servizi srls e Darnet UK LTD, operanti sul mercato Italiano e Londinese nell’ambito della consulenza di sicurezza informatica rivolta alle aziende.

Quali dati trattano digitalmente le aziende in materia di HR?

Se è vero che la gestione dei dati di HR riguarda tutte le aziende, è anche evidente come esistano specificità proprie di ogni realtà, soprattutto laddove ci sia un organico dimensionalmente rilevante, oltre ai dati di presenza del personale e ai documenti correlati alla parte retributiva, troviamo sovente altre tipologie di dato piùspecifiche: schede valutative e auto-valutative, questionari, relazioni interne, piani strategici con riferimento alle HR, etc.

Per quale motivo è utile differenziare i dati HR da altre tipologie di informazione gestite in azienda?

Principalmente per la loro strategicità. Stiamo assistendo a una “rivoluzione” dei mercati produttivi, in cui la figura umana diventa il principale punto di forza dell’azienda. Per poter trattare correttamente le risorse umane in azienda, diventa necessario progettare e mettere in atto attività di “misurazione e gestione” che prevedono il trattamento di diverse tipologie di dati spesso di natura confidenziale. Nascono quindi delle banche dati aziendali che intrinsecamente hanno un rilevante valore e che devono essere gestite e protette in maniera consona.

E quando si parla di outsourcing?

Nel outsourcing esiste comunque un trattamento del dato che è carico dell’azienda proprietaria, trattamento che viene solo in parte delegato a un soggetto esterno. In tali situazioni è bene porre attenzione a due aspetti. In primis agli accordi (SLA, Service Level Agreement) che devono essere sottoscritti con il fornitore. In tali accordi concorderemo come sono trattati i dati, come sono archiviati, chi è autorizzato ad accedervi, quali sono i tempi di ripristino garantiti in caso di guasto dei sistemi di elaborazione esterni, chi si occupa di mantenere le copie di backup, etc. In secundis alle modalità di trasferimento dei dati da e verso il fornitore. Nessuno di noi porterebbe del denaro contante in una busta trasparente a piedi verso la sede del nostro fornitore; eppure talvolta trasferiamo tali dati in chiaro, via mail, senza porci alcun dubbio in merito a possibili intercettazioni o diffusioni che possano avvenire anche solo per errore.

logo_darnet_hi

 

 

 

 

Quali sono gli errori più comuni commessi dalle aziende che avete riscontrato nel corso delle vostre attività di audit e analisi?

L’errore che più frequentemente vediamo è quello di non considerare il valore strategico ed economico che i dati di HR hanno per l’azienda. Da questa “svista” conseguono una serie di pratiche gestionali non corrette, dall’archiviazione non sicura, all’accesso non protetto al dato fino al trasferimento delle informazioni all’esterno dell’azienda in forma non protetta. A volte tali errori di valutazione possono avere conseguenze anche di natura giudiziaria, oltre che di immagine per l’azienda. Altre volte assistiamo all’approccio negazionista o fatalista: “se non è successo finora, perché dovrebbe succedere da adesso in poi?” Oppure: “qualora dovesse succedere, qualcosa ci inventeremmo”. E’ evidente come tali filosofie, magari premianti in altri ambiti, poco si adattino ad una corretta gestione strategica aziendale.

Chi è la figura aziendale che deve occuparsi del corretto trattamento dei dati?

Il CISO (Chief Information Security Officer) è una figura sicuramente nuova per le nostre realtà italiane, ma è un ruolo consolidato all’estero, ove ci si è precocemente resi conto del valore intrinseco dei dati per l’azienda e della necessità di proteggerli da possibili azioni deleterie, siano esse esterne e interne al perimetro aziendale. Da notare che il CISO si distingue dal CTO (Chief Technical Officer, figura ben più nota) non necessariamente per competenze ma per obiettivo: il primo ha il compito di garantire la sicurezza dei dati, il secondo deve preoccuparsi di “far funzionare le cose”. Due diversi approcci richiedono obbligatoriamente due soggetti diversi all’opera.

Qual è quindi un buon modo di operare per trattare i dati HR?

Come prima cosa, è necessario identificare i dati, realizzare una sorta di inventario. Personalmente suggerirei un approccio basato sull’analisi dei flussi di informazione, piuttosto che prettamente tecnico. In pratica evito di analizzare server e software, ma cerco di osservare l’azienda e di capire come “si muovono” i dati al suo interno. Una volta identificati i dati, è necessario analizzarne i rischi connessi e cercare di determinare il valore economico delle informazioni. L’azienda dovrebbe porsi alcune domande che favoriscano tale processo. Ad esempio, qualora i dati di valutazione del mio personale dovessero essere cancellati, essere inaccessibili per un certo arco temporale, essere diffusi pubblicamente, essere trasferiti alla concorrenza… che danno o costo sosterrebbe l’azienda? È evidente che i costi possono essere facilmente quantificabili (ad esempio il blocco del reparto HR e relativo costo del personale non operativo) o di più complessa definizione (ad esempio il danno di immagine che una fuga di informazioni verso l’esterno potrebbe determinare all’azienda). Una volta identificati i dati, evidenziati i rischi e capito l’impatto aziendale e il valore di ogni banca dati, è necessario mettere in atto adeguate misure di gestione dei rischi. Sapendo quanto valgono i dati, è più semplice capire quanto è possibile allocare in termini di budget per la loro protezione. E, come in ogni processo di miglioramento continuo, si reiterano le attività suddette, ciò poiché non solo vogliamo ogni giorno meglio affrontare i problemi, ma anche perché l’ambiente interno ed esterno varia molto velocemente e possono giornalmente formarsi nuove basi dati e apparire all’orizzonte nuovi rischi o opportunità.

Cosa può fare il consulente di Sicurezza Informatica a supporto dell’azienda?

L’azienda di consulenza o il consulente da un lato supporta il management nel processo di identificazione e gestione dei dati, dall’altro si preoccupa di predisporre percorsi formativi mirati per i dipendenti. In pratica diffonde una cultura di attenzione al dato e ai rischi ad esso correlati. Solo personale sensibilizzato e formato può garantire un corretto trattamento delle informazioni. E un solo operatore in azienda non adeguatamente preparato può vanificare I più avanzati sistemi di protezione del dato.

Piero Vigutto

La tua opinione ci interessa. Ora puoi commentare l’articolo direttamente su questo blog o suggerirci gli argomenti che vuoi approfondire!

Se questo articolo ti è piaciuto allora vorrai leggere anche:

Le nostre pubblicazioni: La percezione del rischio

Le Risorse umane viste da Nord: Intervista a Fabio Peressini HR Manager di Jotun Italia

La gestione del personale nel terzo millennio. Intervista a Daniele Dirignani, HR Director ZF Padova

Intervista a Marco Bernardon, country HR Manager Italia di CNH Industrial

Da Cameriere ad Amministratore Delegato. Un sogno che diventa una storia di successo imprenditoriale

Licenza Creative Commons

Leave a Reply

error: Il contenuto di questa pagina è protetto!