Molto spesso, nella gestione della sicurezza delle informazioni, si incappa inevitabilmente nel nodo della regolamentazione dell’uso accettabile degli asset aziendali, ovverosia di quei sistemi, dispositivi e applicativi impiegati dagli operatori di un’organizzazione.
Che cosa significhi, perché sia un argomento così importante e, soprattutto, in che modo possa avere un’attuazione pratica sono tutti interrogativi legittimi che possono trovare agilmente una risposta.
La regolamentazione dell’utilizzo accettabile di un asset consiste sostanzialmente in una serie di istruzioni che vengono rivolte agli operatori per precisare quali comportamenti sono consentiti e quali altrimenti sono vietati nell’impiego di determinati strumenti. A titolo di esempio, gli ambiti contemplati dalla regolamentazione possono riguardare l’attività di navigazione, l’estrazione di copie di file e cartelle così come gli strumenti di videoconferenza.
La corretta gestione dei comportamenti consente di intervenire preventivamente sulle varie classi di rischio derivanti da errore, incuria o inconsapevolezza da parte degli operatori. Diventa dunque di particolare importanza l’adozione di uno stile comunicativo chiaro, univoco e sintetico, così da rendere le istruzioni facilmente comprensibili ai destinatari. Inoltre, un fattore fondamentale per garantire l’effettività di tali misure di cui tener conto è la garanzia di un’efficace diffusione di tali istruzioni operative perché possano essere rese immediatamente disponibili ed accessibili a tutto il personale che opera tramite gli strumenti.
All’interno dei sistemi per la gestione degli adempimenti in materia di protezione dei dati personali, è possibile riscontrare tale misura organizzativa sia in tema di sicurezza del trattamento ai sensi dell’art. 32 GDPR sia in tema di istruzioni ai sensi dell’art. 29 GDPR. Quali che siano i mezzi del trattamento impiegati, difatti, è preciso obbligo del titolare del trattamento istruire chi opera sotto la sua autorità circa le operazioni da svolgere sui dati personali perché sia garantito un livello di sicurezza adeguato al rischio. Ciò comporta come conseguenza necessaria che, in seguito ad un’attività di selezione a monte degli strumenti da impiegare e una preventiva impostazione degli accessi e dei poteri di intervento sui dati delle utenze secondo il criterio del privilegio minimo, debbano essere fornite agli operatori anche le istruzioni riguardanti le corrette modalità di impiego delle dotazioni in uso.
È bene infine ricordare che, perché sia efficace, la predisposizione di tale misura deve essere soggetta ad un controllo continuo e un riesame in caso vi siano variazioni significative del rischio, va disciplinata anche un’attività di monitoraggio che adempia non soltanto agli obblighi del GDPR ma che sia svolta entro i limiti di esercizio del controllo datoriale stabiliti dall’art. 4 L. 300/1970 e che segua di conseguenza i criteri di necessità, gradualità e proporzionalità.
