Consulenze Informatiche LegaliConsulenze Informatiche LegaliConsulenze Informatiche Legali
Bologna, Italy
(dalle 8 alle 22)
Consulenze Informatiche LegaliConsulenze Informatiche LegaliConsulenze Informatiche Legali

Policy Sicurezza Informatica e Accordo di Riservatezza

Redigere il Documento Aziendale sulla Sicurezza Informatica e Accordo di Riservatezza

La Policy sulla Sicurezza Informatica è quel documento nel quale sono contenute tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici.

Policy Sicurezza Informatica e Accordo di Riservatezza

Tale regolamento è da consegnare al momento dell’assunzione di ogni dipendente e da reinviare ogni anno, a cura del Responsabile del Trattamento dei dati, tramite email con i necessari aggiornamenti e da far firmare ai CONSULENTI o COLLABORATORI che accedono alla Rete Aziendale.

Premesso che l’utilizzo delle risorse informatiche e telematiche Aziendali deve sempre ispirarsi al principio della diligenza e correttezza, comportamenti che normalmente sono basilari in un rapporto di lavoro, una moderna azienda adotta il presente regolamento o Policy Sulla Sicurezza Informatica, per contribuire alla massima diffusione della cultura della sicurezza in azienda ed evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla Sicurezza nel trattamento dei dati.

Il Regolamento che vi verrà fornito, per le piccole realtà può essere considerato un documento a sé stante e come tale venduto anche separatamente ; per le realtà aziendali medio-grandi, invece, occorre ricordare che esso non sostituisce il nuovo Modello Organizzativo sul Trattamento dei Dati – Regolamento Europeo Privacy Ue 2016/679 o Gdpr – General Data Protection Regulation – ma ne costituisce parte integrante venendo incontro alla necessità di disciplinare le condizioni per il corretto utilizzo degli strumenti informatici da parte dei dipendenti e dei consulenti e di contenere informazioni utili per comprendere cosa può fare ogni dipendente o consulente / collaboratore per contribuire a garantire la sicurezza informatica di tutta l’Azienda.

Richiedi Subito

Contrariamente a quanto comunemente si crede, la Policy sulla Sicurezza Informatica non serve solo all’Azienda ma è uno strumento indispensabile anche per il lavoratore, in quanto tutela il suo posto di lavoro, anche perchè previene utilizzi illeciti delle risorse a lui assegnate ( colleghi e malitenzionati potrebbero attribuire al lavoratore una responsaibilità che non è sua ) !

La Policy sulla Sicurezza Informatica migliora notevolmente l’azienda, fornendole molti vantaggi, tra cui :

  1. Maggiore protezione da attacchi informatici
  2. Minore dispendio di risorse per i controlli
  3. Maggiore tutela delle informazioni
  4. Migliore rendimento per tutti

Per comprendere l’importanza di avere una Policy sulla Sicurezza Informatica in Azienda è sufficiente considerare questi dati sotto elencati e riflettere sul fatto che dall’analisi della criminalità informatica emersa da recenti studi si evince che i rischi per le aziende sono da ricercarsi più nei propri dipendenti che non all’esterno :

  • Diverse ricerche effettuate a livello internazionale hanno rivelato che, in mancanza di regole e/o strumenti tecnologici di filtraggio, una percentuale tra il  30% e il 40% del tempo impiegato on line dal dipendente viene utilizzato per fini diversi da quelli aziendali.
  • Una recente indagine evidenzia che il 25,1% dei lavoratori dipendenti dichiara di navigare per fini personali dal posto di lavoro da 10 a 30 minuti al giorno, il 22,4% da 30 minuti ad 1 ora, l’11,9% da 1 ora a 2 e ben il 12,6% oltre 2 ore. Solo il 27% dichiara di navigare meno di 10 minuti al giorno.
  • Un’indagine interna dell’Internal Revenue Service, l’ente che negli Stati Uniti si occupa delle entrate fiscali, ha rivelato che la navigazione o l’utilizzo di e-mail da parte dei lavoratori per scopi personali rappresentava il 51% del totale del tempo dedicato ad attività on line.
  • Più del 70% di tutto il traffico generato dai siti VIETATI AI MINORI viene generato durante l’orario d’ufficio.
  • Il 32,6% dei lavoratori che accedono ad Internet durante l’orario di lavoro dichiarano di farlo senza nessuna specifica finalità.
  • Il 23% dei dipendenti in europa ha ammesso di aver acquistato un servizio cloud esterno e di utilizzarlo in azienda per archiviare i propri dati insieme a quelli aziendali, in modo non autorizzato.
  • Sono in aumento rispetto a pochi anni fa le sottrazioni di dati da parte dei dipendenti, in particolare nel caso di impiegati che stanno per dimettersi o essere licenziati. Una perizia o analisi forense non è sufficiente a contestare un reato in modo inattaccabile se in azienda non sono state messe in atto procedure preventive come LA POLICY SULLA SICUREZZA INFORMATICA la quale definisce tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici.

LA POLICY SULLA SICUREZZA INFORMATICA : UNA NECESSITA’ PER L’AZIENDA DEL FUTURO

Gli incidenti di sicurezza provocati accidentalmente da personale interno all’azienda sono in aumento. E possono avere un impatto ben più negativo degli attacchi perpetrati in malafede. Ecco cosa emerge dall’ultima ricerca di mercato di RSA, la divisione sicurezza di EMC, commissionata ad IDC. Non esiste una singola soluzione che mitighi le minacce interne ma che sirende piuttosto necessario un approccio complessivo alla gestione del rischio ( come quello che si ha se viene applicata in Azienda una Policy Sulla Sicurezza Informatica ) che soddisfi al meglio il profilo di rischio dell’azienda e garantisca un controllo su tutti i fronti.
Si definisce un nuovo paradigma : “la sicurezza è responsabilità di tutti, non solo degli addetti ai lavori !”.
Non è più sufficiente garantire una connessione cifrata (VPN) con l’azienda e una protezione da virus e malware, ma è necessario affrontare temi come la garanzie della riservatezza, dentro e fuori l’azienda, mantenere il controllo del livello di sicurezza di applicazioni e dati ospitati su un cloud pubblico o tutelare l’azienda nel caso di utilizzo di strumenti non pensati per l’utenza aziendale (tablet e smartphones).
I dipendenti intervistati da RSA dichiarano di aggirare spesso il reparto IT per acquistare servizi cloud e lavorare in maniera più efficiente per il “bene dell’azienda”.
L’Azienda Moderna ha raggiunto un punto critico in cui ignorare la realtà della spesa per le nuove tecnologie come ad esempio il cloud non è più possibile ( il 23% dei dipendenti in europa ha ammesso di aver acquistato un servizio cloud esterno e di utilizzarlo in azienda per archiviare i propri dati insieme a quelli aziendali, in modo non autorizzato ).
I responsabili IT devono fare i conti con questa nuova realtà, fornendo la flessibilità che i dipendenti aziendali richiedono ( maggiore velocità nello scambio delle comunicazioni e dei materiali con i clienti e maggiore competitività lanciando una nuova offerta di prodotti e servizi che forniscano un valore aggiunto ) e, al tempo stesso, gestendo tutti i processi in modo sicuro grazie ad una sempre più necessaria introduzione in Azienda di una Policy Sulla Sicurezza Informatica.

In conclusione occorre :

  1. Determinare le informazioni da proteggere ed assegnarne dei livelli di priorità
  2. Effettuare una valutazione di rischi informatici che si corrono ( effettuando un’analisi dei rischi. Vi mettiamo a disposizione un test online per un’analisi iniziale : click qui )
  3. Stabilire ed attuare delle contromisure preventive per eliminare o ridurre i rischi più significativi grazie alla Policy sulla Sicurezza informatica e all’introduzioni di dispositivi e sistemi di backup per la protezione della perdita dei dati o sistemi di criptazione che impediscono il trasferimento di informazioni da un computer o dispositivo ad un altro. Ci riferiamo ai cosiddetti sistemi di Data Leakage Protection con il fine di individuare e prevenire l’uso non autorizzato e la trasmissione di informazioni riservate. Occorrerà ad esempio : cifrare i contenuti più sensibili ; bloccare l’utilizzo delle unità di archiviazione removibili ; controllare le applicazioni installate sul computer che potrebbero fare uscire dati a vostra insaputa ; verificare che non vi siano servizi di cloud storage come dropbox che permettono al dipendente di accedere a contenuti salvati durante il lavoro nella sua cartella in ufficio anche dall’esterno dell’azienda ; utilizzare tecnologie DRM che impediscono la riproduzione dei dati su numeri limitati di dispositivi. 
  4. Definire delle azioni di contenimento da attuare in caso di furto di informazioni con eventuale perdita delle stesse. Conoscere come salvaguardare le prove dopo che un eventuale atto illegale è stato commesso.

LA POLICY SULLA SICUREZZA INFORMATICA TUTELA L’AZIENDA E IL LAVORATORE :

La Policy sulla sicurezza informatica e l’Accordo di Riservatezza tutelano l’azienda da una serie di attività che il dipendente può mettere in atto nei confronti del datore di lavoro come :

  1. sottrazione dei dati,
  2. cancellazione dei dati,
  3. utilizzo dei dati per un’attività di concorrenza,
  4. utilizzo dei dati per rivenderli ad eventuali imprese concorrenti.

Per il dipendente colpevole si prefigurano responsabilità civili ai sensi degli artt. 167 e 169 del Codice della Privacy, i quali rispettivamente sanzionano il trattamento illecito dei dati e l’omessa adozione di misure necessarie alla sicurezza dei dati con pene che possono andare da sei a diciotto mesi di reclusione, se dal fatto ne deriva nocumento, o da sei a ventiquattro mesi, se il fatto consiste nella comunicazione o diffusione dei dati. Per la responsabilità penale si parla invece dalla legge 547/1993 rubricata come “Crimini informatici commessi da dipendenti e addebitabili all’azienda”.

Il punto fondamentale per il quale adottare una Policy sulla Sicurezza Informatica è che il datore di lavoro rischia di essere ritenuto responsabile in concorso con il dipendente a lui subordinato, che ha commesso il crimine informatico, se non ha adottato ed attuato tutte le misure di prevenzione e di controllo, idonee a garantire la sicurezza del trattamento dei dati nella sua azienda. La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi, come la policy sulla sicurezza informatica vi offre, è considerata difatti un’agevolazione alla commissione del crimine. Per quanto attiene all’aspetto civilistico il Codice della Privacy qualifica il trattamento dei dati come attività pericolosa (art. 2050 c.c.). È prevista pertanto un’inversione dell’onere della prova nell’azione risarcitoria ex articolo 2043 c.c., per cui l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche più idonee a garantire la sicurezza dei dati detenuti. In parole più semplici l’azienda deve dimostrare di aver di aver adottato tutte le misure idonee ad evitare un danno, ecco perchè credere di poter stipulare una polizza sui rischi informatici e pensare di risolvere il problema non è sufficiente !

Il documento è redatto nel RISPETTO DEI PRINCIPI DI TUTELA DELLA PERSONA, DELLE NORME POSTE A TUTELA DELLA LIBERTÀ E DIGNITÀ DEI LAVORATORE, contenute nella L. n. 300/1970 (Statuto dei lavoratori) ed alla successiva normativa in tema di Protezione dei dati personali (D.Lgs. 196/2003) (2bis) NEL PIENO RISPETTO DEL PRINCIPIO DELLA INDISPENSABILITÀ art. 26, 4°comma lett. C del codice della Privacy.

In merito all’ex articolo 4 dello statuto dei lavori, che ora si può leggere come n. 4/2011, GARANTISCE AL LAVORATORE CHE NON VERRÀ PERSEGUITO ALCUN ILLECITO relativo ai controlli a distanza essendo indicato che qualsiasi tipo di analisi informatica effettuata sulla sua postazione computer avverrà solo sul posto ed in presenza del lavoratore stesso.

PERMETTE AL LAVORATORE DI FAVORIRE LO SVILUPPO DELL’AZIENDA. Permettendo all’Azienda di adottare misure cautelative garantisce alla stessa di mantenere alti standard di produttività in osservanza degli artt. 2086 e 2104, i quali attribuiscono rispettivamente all’imprenditore, la direzione e gerarchia dell’impresa e il potere di verifica sull’obbligo di diligenza in base alla natura della prestazione eseguita dal prestatore di lavoro.

PREVIENE UTILIZZI ILLECITI DELLE RISORSE ASSEGNATE AL LAVORATORE. (Osservare la Policy sulla Sicurezza Informatica mette in sicurezza la postazione computer del lavoratore da utilizzi non autorizzati di colleghi di lavoro o di malintenzionati esterni all’azienda).

L’analisi dei rischi informatici richiesta dal nuovo Modello Organizzativo sul Trattamento dei Dati – Regolamento Europeo Privacy Ue 2016/679 o Gdpr – General Data Protection Regulation è da considerarsi un valore aggiunto per la TUTELA DELLA SALUTE DEI LAVORI, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica, in osservanza anche delle norme previste dal Decreto Legislativo 81/08.

LA POLICY SULLA SICUREZZA INFORMATICA predispone tutte le azioni corrette da compiere per:

A) L’UTILIZZO DEL PERSONAL COMPUTER
B) L’UTILIZZO DELLA RETE
C) LA GESTIONE DELLE PASSWORD
D) L’UTILIZZO PC PORTATILI, TELEFONI FISSI, CELLULARI, FAX E FOTOCOPIATRICI
E) L’UTILIZZO DELLA POSTA ELETTRONICA
F) L’USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI
G) LA PROTEZIONE ANTIVIRUS E MALWARE

Il documento Policy Sicurezza Informatica è composto da 16 pagine.

Richiedi Subito
il documento
POLICY SULLA SICUREZZA
INFORMATICA

ACCORDO DI RISERVATEZZA

Qualora l’Azienda tratti informazioni tecniche, commerciali, finanziarie, operative, amministrative riservate e segrete di esclusiva proprietà e pertinenza dell’Azienda è possibile richiedere anche la redazione del documento “ACCORDO DI RISERVATEZZA” che verrà aggiunto alla Policy Sulla Sicurezza Informatica. Questo Documento rientra nella Politica della Riservatezza Aziendale. Ogni Dipendente, anche a termine, è tenuto a sottoscrivere, a rispettare e a far rispettare l’Impegno alla Riservatezza. Sarà cura della Direzione Aziendale raccogliere e conservare le schede firmate dal personale quando avremo loro fornito il documento. In relazione a questo si ha un collegamento diretto con l’articolo 2105 c.c. rubricato “Obbligo di fedeltà del lavoratore dipendente e divieto di concorrenza sleale?[3]. L’art. 2105 c.c. individua l’obbligo di fedeltà in due distinti doveri, entrambi di contenuto negativo: il divieto di concorrenza e l’obbligo di riservatezza ovvero di segretezza. Il primo consiste nell’obbligo di astenersi dal trattare affari in concorrenza con l’imprenditore, sia per conto proprio che di terzi, mentre il secondo vieta al lavoratore di divulgare o di utilizzare, a vantaggio proprio o altrui, informazioni attinenti l’impresa, in modo da poterle arrecare danno.

Le nuove tecnologie permettono una distribuzione delle informazioni molto più veloce rispetto al passato. Documenti confidenziali possono essere trasferiti dalla vostra azienda ad un account personale online del dipendente o in un suo dispositivo esterno, con un semplice click, a vostra totale insaputa. Solo un documento di impegno alla riservatezza vi permette di essere tutelati e vi assicura ad esempio che in caso di dimissioni o licenziamento tali informazioni saranno restituite o distrutte entro 24 ore dalla vostra richiesta.

Il documento di riservatezza che vi possiamo redigere è composto da 8 pagine e rispetta tutte le normative di legge : Regolamento Ce 31 gennaio 1996, n. 96/240 ; Convenzione dell’Unione di Parigi sulla protezione della proprietà intellettuale resa esecutiva in Italia con il D.L. 10 gennaio 1926, n. 129 convertito con modifiche in legge 29 dicembre 1927, n. 2701 ; R.D. 29 giugno 1939 n. 1127 Legge invenzioni ; D.Lgs. 10 febbraio 2005, n. 30 Codice della proprietà industriale, a norma dell’art. 15 della legge 12 dicembre 2002, n. 273 Art. 98 Informazioni segrete-oggetto della tutela e Art. 99 Informazioni segrete-tutela ; Codice Civile : Art. 2105 obbligo di fedeltà e Art. 2598, n.3 atti di concorrenza sleale ; Codice Penale : Art. 622 Rivelazione di segreto professionale e Art. 623 Rivelazione di segreti scientifici o industriali.

Richiedi Subito
il documento
ACCORDO DI RISERVATEZZA
per la tua azienda

PIANO DI ATTUAZIONE per rendere operativa la Policy sulla Sicurezza Informatica e l’Accordo di Riservatezza in realtà aziendali medio-grandi ove è consigliato di compiere prima anche una analisi dei rischi informatici :

1) ANALISI DEI RISCHI INFORMATICI presso la sede dell’Azienda

2) CONSEGNA via email del REPORT di Analisi dei Rischi

3) REDAZIONE DEL DOCUMENTO “POLICY SULLA SICUREZZA INFORMATICA

4) REDAZIONE ( se necessario ) DEL DOCUMENTO “ACCORDO DI RISERVATEZZA

5) PRESENTAZIONE DEL DOCUMENTO ALL’AZIENDA

6) PRESENTAZIONE DEL DOCUMENTO ALLE RAPPRESENTANZE SINDACALI ( se esistenti )

7) BONIFICA DELLE POSTAZIONI COMPUTER (*)

8) FORMAZIONE AI DIPENDENTI in house ovvero presso la sede aziendale

9) UFFICIALIZZAZIONE DELLA POLICY – ENTRATA IN VIGORE DEL DOCUMENTO IN AZIENDA

10) COMUNICAZIONE DELLA POLICY AI DIPENDENTI TRAMITE EMAIL INTERNA E INVIO DEL DOCUMENTO AI COLLABORATORI ESTERNI TRAMITE FAX O POSTA CERTIFICATA

11) FIRMA DELL’ACCORDO DI RISERVATEZZA PER TUTTI I DIPENDENTI ( se necessario )

Infine si consiglia di provvedere se non ancora stato predisposto anche all’aggiornamento delle disposizioni in materia di privacy come previsto dal nuovo Modello Organizzativo sul Trattamento dei Dati – Regolamento Europeo Privacy Ue 2016/679 o Gdpr – General Data Protection Regulation

(*) La Bonifica delle Postazioni è necessaria qualora si riscontrino dei problemi, delle anomalie o delle impostazioni non corrette sulle macchine analizzate. La stessa può essere compiuta dal Reparto ICT dell’azienda o dal nostro studio informatico, se ci viene richiesto.

NOTA : Nelle piccole realtà aziendali è sufficiente l’analisi dei rischi informatici e la redazione del documento “Policy sulla Sicurezza Informatica” con comunicazione interna ai dipendenti.

Richiedi Subito
il documento
POLICY SULLA SICUREZZA
INFORMATICA
per la tua azienda

---------------------

Domande ?

Se avete domande saremo lieti di potervi rispondere :

Contattateci