S News ha incontrato Luigi Romano, CISM – VP & Secretary ASIS Italy che ha fatto il punto su un argomento molto “spinosoâ€, ovvero la tutela delle informazioni.
Qui di seguito l’intervista.
Signor Romano, parlare di tutela delle informazioni oggi è un argomento “spinosoâ€. Da che tipo di “spine†un operatore della sicurezza, sia questi un professionista, un responsabile della sicurezza, un system integrator, un installatore, si dovrebbe guardare?
Al giorno d’oggi, in un mondo economico globalizzato basato su conoscenza e concorrenza, l’eterogeneo patrimonio informativo aziendale rappresenta un asset importantissimo attraverso il quale aziende ed organizzazioni perseguono i propri obiettivi: la produzione di valore in primis.
La legge in materia di proprietà intellettuale ed industriale prevede una tutela specifica per le informazioni aziendali e commerciali a condizione che esse siano segrete e cioè ignote o non facilmente accessibili agli esperti ed operatori del settore, abbiano valore economico in quanto segrete e siano sottoposte a misure di protezione adeguate.
E’ pertanto necessario che il titolare dell’impresa e tutti i soggetti appartenenti alla stessa compagine aziendale e vincolati pertanto dall’obbligo di fedeltà , nonché coloro che ricevono queste informazioni per finalità aziendali adottino una strategia di protezione che preveda misure di natura legale (clausole, contratti, accordi di non divulgazione), accanto a quelle di natura organizzativa (procedure, policies aziendali, separation of duties, formazione) e tecnologica (strumenti di protezione fisica e logica dei sistemi informativi ed elettronici).
L’importante è che venga valutata in concreto la scelta degli strumenti in funzione delle condizioni di detenzione e delle modalità di utilizzo delle informazioni, dei soggetti che possono accedervi e del progresso tecnologico.
Sono queste le spine che quotidianamente la security deve affrontare, unitamente alla mancanza di conoscenza dei rischi e delle vulnerabilità interne, all’incapacità di prevenire e gestire l’infedeltà dei collaboratori, coordinandosi con altre funzioni aziendali (HR, Legal, IT) per evitare che spionaggio industriale, storno di dipendenti e concorrenza sleale di ex dipendenti/ consulenti diventino una cancrena ancor più difficile da debellare.
Altro argomento sempre “hot la 231 e la security. Ci illumini, per cortesia…
Il D.Lgs 231/01 introduce un nuovo regime di responsabilità (a metà tra responsabilità penale ed amministrativa) a carico degli enti, derivante dalla commissione, o tentata commissione, di determinate fattispecie di reato, nell’interesse o a vantaggio degli enti stessi, da parte delle persone che rappresentano l’ente o che operano per lo stesso.
In particolare tra i reati previsti ricordo: i delitti informatici ed il trattamento illecito di dati, reati contro la personalità individuale (pornografia minorile e detenzione di materiale pedopornografico), reati di abuso di mercato, omicidio colposo e lesioni colpose commesse in violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro, ricettazione, riciclaggio, delitti di criminalità organizzata, delitti contro l’industria ed il commercio, violazione del diritto d’autore, reati ambientali.
L’ente è responsabile se il reato è commesso a suo interesse o a suo vantaggio ma non risponde se dimostra di aver adottato ed attuato efficacemente un modello di organizzazione, gestione e controllo tale da prevenire la commissione dei reati de quibus e se dimostra che il reato è stato commesso aggirando fraudolentemente il modello. L’ente dovrà altresì dotarsi di un organismo di vigilanza, dotato di autonomi poteri di iniziativa e controllo, che abbia effettivamente esercitato le sue funzioni e compiti durante il momento di commissione del reato.
E’ nella definizione del modello 231 che entra prepotentemente di nuovo in gioco la security che dovrà , in simbiosi con gli altri dipartimenti aziendali quali HR, Legal ed IT: identificare i rischi mediante un’analisi dei flussi e dei processi, predisporre un sistema di controllo idoneo a prevenire il rischio attraverso l’adozione di specifici protocolli, redarre e sottoscrivere un codice etico, formalizzare un sistema organizzativo che preveda attribuzione di responsabilità , linee di dipendenza gerarchica, descrizione di compiti e funzioni, redarre procedure tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo, predisporre sistemi di controllo e gestione in grado di fornire una tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale o particolare, prevedere un adeguato sistema sanzionatorio per la violazione delle norme del codice etico e delle procedure previste dal modello.
E’ pacifico infatti che l’identificazione dei rischi e la progettazione del sistema di controllo siano le fasi principali del modello di organizzazione e che la security aziendale, intesa non solo come dipartimento, ma soprattutto come politica aziendale, rivesta ancora una volta un ruolo di primo piano per evitare l’accadimento di determinati reati o incidenti e per mitigate i danni (possibili) e comunque scoraggiare la reiterazione proteggendo persone, infrastrutture, informazioni e risorse.
Sarà anche grazie al contributo della security aziendale che l’ente otterrà i seguenti effetti “collateraliâ€: un incremento di fiducia dei soggetti terzi durante le operazioni societarie grazie alla veicolazione di una immagine più solida, onesta e pulita, prevenzione dei rischi economici connessi alla condanna e dei fenomeni criminosi, miglioramento dell’efficienza interna e delle capacità di gestione dei rischi e di reazione di fronte agli eventi critici, incremento dei livelli di eticità .
a cura di Monica Bertolo
Â
