FULL DISCLOSURE: tengo un seminario su questi temi il prossimo 24 settembre.

Non ho il piacere di conoscere Gerardo Costabile, responsabile della sicurezza logica di Poste Italiane, ma da una persona con quel’incarico non riesco a comprendere un’affermazione del genere:

…è molto più difficile prevedere e neutralizzare un attacco interno rispetto a un attacco informatico portato dagli hacker. Questo perché i comportamenti dei dipendenti di un’azienda sono protetti, in Italia, dallo Statuto dei Lavoratori e dalle Linee Guida del Garante della privacy, che riducono al minimo le attività di monitoraggio della rete interna alle aziende” (corsivo mio)
(Repubblica online, “Un miliardo di furti digitali. E i ladri sono accanto a noi” 20/09/2010)

Ho tre problemi con questa affermazione:

  1. è banalmente vera, ma priva di contenuto agibile; (se non parlasse un alto dirigente, sarebbe una chiacchera da bar)
  2. è faziosa, perché tralascia la parte di verità più interessante
  3. è fuorviante, perché il problema è il furto dei dati, non la difficoltà dei controlli in azienda (questi ultimi sono uno strumento, la cui necessità e validità sono da dimostrare)
  4. tralascia del tutto di menzionare ciò che le aziende possono fare, e non fanno per insipienza o preconcetto .

Procediamo con ordine: primo, è vero che nel nostro Paese lo Statuto dei Lavoratori e le Linee Guida del Garante Privacy tutelano i dipendenti da monitoraggi aziendali indiscriminati; la ratio mi pare evidente: il rischio di abuso di quei poteri supera i vantaggi che potrebbero derivarne. O forse vorremmo che episodi come le intercettazioni Telecom fossero non solo legali, ma pratica normale in ogni azienda, a discrezione della direzione?

Secondo. Gli stessi monitoraggi vietati al datore di lavoro sono consentiti alle forze dell’ordine (ma questo Costabile nell’articolo non lo dice). Anche qui, la ragione è evidente: si può avere fiducia che un terzo neutrale abbia come fine solo l’accertamento dei fatti, ma non si può avere la stessa fiducia per una delle parti in causa. Umanamente posso comprendere come un per ex ispettore della Guardia di Finanza come Costabile sia frustrante ri trovarsi privo di poteri investigativi . Ma se un’azienda sospetta un reato, la cosa da fare è chiamare la polizia, non lamentarsi di non poter giocare a CSI.

Terzo. Il furto di dati è un problema di governo aziendale, che in gran parte delle aziende manca del tutto. Del governo aziendale (regolamenti, formazione, politiche del personale e politiche dei dati) le nostre aziende vedono solo i costi (e non, per esempio, l’aumento dell’efficienza e della qualità dei risultati) e cercano di sopperire con una alternativa economica: controlli automatici generalizzati. Nell’assenza di regole precise vale meglio la vecchia regola italiana: le regole si applicano per i nemici e si interpretano per gli amici.

La nostra classe manageriale antiquata e autoreferenziale (e digitalmente analfabeta) delega in bianco il proprio ruolo di governo alla tecnologia. Il che, pensandoci, potrebbe essere una interessante indicazione per un vero taglio dei costi operativi…

Quarto. Da anni, con il decreto legislativo 196/03 (legge sulla sicurezza delle informazioni e sulla privacy) le imprese sono tenute a:

  1. individuare i dati, e i modi in cui l’azienda li tratta
  2. identificare i rischi cui i propri dati sono sottoposti
  3. istituire politiche di sicurezza per mitigare i rischi individuati
  4. formare il personale alle politiche di sicurezza
  5. vigilare che le politiche di sicurezza siano applicate ed efficaci.

L’azienda non solo può, ma è tenuta a mettere in atto tutti i controlli passivi (ad es. non controllo le mail, ma controllo che a certe cartelle acceda solo chi è autorizzato) necessari a tutelarsi.

Ma per le nostre aziende la privacy è solo una “tassa occulta”, non un modo per darsi finalmente strutture di comando, controllo e manageriali moderne, che operano in base a fatti acquisiti e sulla base di obiettivi espliciti e quantificabili. I nostri manager continuano a gestire con “fiuto”, “istinto”, “carattere”. Intanto, il resto del mondo si affida ai fatti.

Finché crediamo che l’arretratezza della nostra cultura d’impresa si risolva dando a ogni azienda la sua polizia interna, temo che il Paese non farà molta strada.

Share This

Share This

Share this post with your friends!