Per proteggere le informazioni memorizzate sui computer, la prima cosa da fare è rivolgersi ai dipendenti, specialmente a quelli che annotano le password in luoghi visibili o aprono gli allegati ai messaggi di posta elettronica senza precauzioni o scaricano e installano software da fonti non autorizzate.

CompTIA (Computing Technology Industry Association), una multinazionale nel settore IT, ha recentemente pubblicato una ricerca sulla sicurezza IT tra i dipendenti. La ricerca ha messo in evidenza come l'errore umano sia alla base di quasi il 50% di tutte le violazioni alla protezione. L'analisi ha attribuito gli errori a un'insufficiente conoscenza delle norme IT, a una formazione non adeguata o al mancato rispetto delle procedure di sicurezza.

Come fare in modo che i dipendenti siano più attenti alla sicurezza delle informazioni? È necessario un impegno costante. Se comunichi di cambiare la password solo una volta l'anno, non sarà mai possibile sviluppare una consapevolezza sufficiente per ridurre le violazioni della protezione.

Per assicurarti una maggior collaborazione da parte dei dipendenti, ecco quattro modi per fare in modo che la sicurezza aziendale diventi una priorità.

1. Parlare della sicurezza
L'invio di comunicazioni scritte sulle politiche di sicurezza è un buon inizio, ma è anche consigliabile parlare apertamente di sicurezza con i dipendenti. Per esempio, al termine di una riunione, chiedi a tutti se utilizzano il servizio Microsoft per installare gli aggiornamenti a Windows e Office necessari per la prevenzione degli attacchi software. Ciò dimostrerà che la sicurezza informatica è importante.

Parla di sicurezza informatica con i nuovi arrivati prima ancora che si siedano davanti al PC. Assicurati di fare questa discussione prima che ai nuovi dipendenti sia assegnata la password di accesso al PC.

2. Creare una politica di utilizzo consentito
Per politica di utilizzo consentito si intende un documento che stabilisca ciò che i dipendenti possono o non possono fare con i computer aziendali. Mettere per iscritto i criteri che devono essere osservati. Per esempio, i criteri per la creazione delle password, la frequenza con la quale è necessario cambiare password e le modalità di apertura degli allegati ai messaggi di posta elettronica provenienti da mittenti sconosciuti, oppure il divieto di installazione di software non autorizzato. Questo documento dovrebbe descrivere i provvedimenti in caso di violazione della politica, e dovrebbe essere firmato da ciascun dipendente. Anche il responsabile o titolare dovrebbe firmare una copia del documento.

Se la normativa è lunga e dettagliata, aiuta i dipendenti a ricordare i punti principali creando una pagina di riepilogo facilmente distribuibile, che ciascun dipendente possa esporre accanto alla propria postazione di lavoro.

3. Discutere su come gestire le informazioni riservate
Oltre ad adottare una politica di utilizzo consentito, scrivi un documento che descriva come gestire le informazioni riservate. Tale politica deve stabilire quali tipi di messaggi di posta elettronica o documenti possono essere inoltrati all'esterno della società, come gestire il materiale protetto dal diritto d'autore e quali tipi di informazioni sui clienti possono essere divulgate, e con quali modalità. Le norme possono inoltre vietare ai dipendenti di accedere a file che non sono autorizzati ad aprire o modificare, oppure fornire indicazioni su quali messaggi di posta elettronica debbano essere cancellati o salvati. Sarà nuovamente necessario far circolare il documento e farlo firmare a tutti i dipendenti.

4. Nominare un esperto di sicurezza aziendale
Nomina un "esperto di sicurezza" e rendi noto a tutti che questa persona è disponibile a rispondere e risolvere tutti i dubbi relativi alla sicurezza. Se l'azienda dispone di personale informatico, l'esperto di sicurezza verrà scelto in questo gruppo. Tuttavia, se il responsabile, il titolare o un altro dipendente esperto si occupano dei sistemi informatici, allora uno di essi potrebbe ricoprire l'incarico. Se possibile, l'esperto di sicurezza dovrebbe condurre verifiche con altri dipendenti presso la loro postazione di lavoro.

La creazione di un luogo di lavoro sicuro richiede uno sforzo collettivo che inizia con l'attenzione costante da parte dei responsabili aziendali. La sicurezza delle informazioni non si ottiene senza l'impegno personale dei titolari e dei responsabili.

Anticipazione della legge quadro sulla privacy (04.02.02)
Certificazione BS 7799 sulla sicurezza informatica (10.05.02)
Come attuare le modifiche recate dal D.Lgs, 467/2001 in relazione alla notifica (02.09.02)
L'uso di internet sul posto di lavoro: le linee-guida del Garante tedesco (31.01.03)
Il viaggio on line vuole la privacy (16.05.03)
Approvato il Codice della Privacy (30.07.03)
No degli esperti UE ai test genetici sui lavoratori (10.10.03)
Lavoro: accessi ai dati e percorso professionale (10.11.03)
Malattie professionali: lecite le segnalazioni dei medici all’Inail (02.12.03)
Il nuovo Codice della Privacy (10.02.04)
Videosorveglianza e protezione dati personali (15.03.04)
Obblighi di sicurezza e documento programmatico: slitta al 30 giugno la redazione del dps (24.03.04)
Chiarimenti sui trattamenti da notificare al Garante (23.04.2004)
Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza (20.05.2004)
Adempimenti semplificati per gli avvocati (16.06.04)
Rinnovate le autorizzazioni generali (02.09.04)
La normativa in materia di privacy e il D.lgs. 626/94 (04.10.04)
Lavoro. Il fascicolo del dipendente è riservato, solo copie autorizzate (27.10.04)
Dati sanitari in busta chiusa (15.11.04)
Che cosa è un "dato personale" (09.12.04)
Nuove tecnologie: il Garante avvia la consultazione via web (12.01.05)
Videofonini. Le regole per rispettare gli altri (07.02.2005)
Controlli sulle telecamere (28.02.05)
Accesso alle banche dati e diritti dei cittadini (23.03.05)
Videosorveglianza: nuovi interventi del Garante (13.04.05)
Questionari a scuola e garanzie per alunni e genitori (05.05.05)
Accesso ai dati personali e diritti degli interessati (26.05.05)
Giornalismo: Codice della privacy e segreto professionale (20.06.05)
Il Garante potenzia l'attività ispettiva e vara il piano per i prossimi mesi (11.07.05)
No all'uso delle impronte digitali per controllare le presenze dei lavoratori (02.08.05)
Raccolta differenziata e tutela della privacy (31.08.05)
Radiotaxi: vietato schedare i clienti (20.09.05)
Scuola: più privacy per il "portfolio" degli alunni (12.10.05)
Pubblica Amministrazione e gestione dei dati in out-sourcing (02.11.05)
Protocollo di intesa Garante-Guardia di Finanza (24.11.05)
Le strutture sanitarie rispettino la dignità delle persone (19.12.05)
E' ancora proroga (04.01.06)
CNIPA, arriva la posta certificata (24.01.06)
Illecito spiare il contenuto della navigazione in internet del dipendente (15.02.06)
Filtri antispam: linee-guida dei Garanti europei (07.03.06)
Internet: motori di ricerca, il Garante chiede a Google america più tutele per gli utenti (19.04.06)
Alberghi: vietato profilare le abitudini dei clienti in modo illecito (15.05.06)
Scuola: chiarezza sui dati degli studenti (01.06.06)
Sanzionato chi diffonde virus informatici sui PC (21.06.06)
Condominio a prova di privacy (13.07.06)
Carte di fedeltà e diritti dei consumatori (02.08.06)
Informativa del medico di medicina generale e di pediatria (04.09.06)
Il diritto di accesso (27.09.06)
I ribelli della privacy (20.10.06)
Le banche dati genetiche devono tutelare la privacy (13.11.06)
Maggiori garanzie sul posto di lavoro: le linee guida del Garante privacy (13.12.06)
Privacy, adozioni e diritto di cronaca (10.01.07)
Le nuove norme in materia di privacy per le scuole (02.02.07)
Cartella clinica elettronica: linee guida dei Garanti Ue (02.03.07)
Lavoro: le linee guida del Garante per posta elettronica e internet (28.03.07)
Impronta della mano e privacy dei lavoratori (18.04.07)
Telecamere in piscina: vietato riprendere le persone negli spogliatoi (08.05.07)
Tutelare i minori nella navigazione in rete (05.06.07)
Dal Garante privacy pronta una guida pratica per facilitare la vita di piccole e medie imprese (26.06.07)
Privacy e pubblico impiego: le linee guida del Garante (17.07.07)
Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere comportamenti illeciti (10.09.07)
Il Garante definisce le regole per la messa in sicurezza dei dati di traffico telefonico e internet e avvia una consultazione (2.10.07)
Privacy e diritti degli utenti (22.10.07)