Il processo disciplinare deve individuare le persone indagate per le violazioni della sicurezza delle informazioni . La documentazione della violazione avviene con la rilevazione di non conformità o dispositivi di controllo come il software
Le domande a cui daremo una risposta per organizzare il processo disciplinare in azienda sono essenzialmente quattro:
- In quali ipotesi si apre il processo disciplinare?
- In cosa consiste concretamente la violazione?
- Come condurre l’indagine?
- Come comminare le sanzioni?
Le ipotesi del processo disciplinare per la sicurezza delle informazioni
Per il controllo 7.2.3 Processo disciplinare tratto dall’Annex A della ISO 27001, deve essere istituito un processo disciplinare, formale e comunicato, per intraprendere provvedimenti nei confronti del personale che ha commesso una violazione della sicurezza delle informazioni.
Durante lo sviluppo del sistema di gestione, già a seguito dell’emissione delle policy per la sicurezza delle informazioni, è necessario quanto prima stabilire e comunicare a tutto il personale che il processo disciplinare si avvia in occasione di:
- Atti compiuti nell’intenzione di violare la riservatezza, l’integrità e la disponibilità delle informazioni
- Violazioni nell’applicazione dei controlli previsti dalle procedure gestionali e da quelle della sicurezza
In cosa consiste la violazione
Nel sistema di gestione per la sicurezza delle informazioni potrebbe essere non opportuno ricorrere ad argomentazioni giuridiche complesse per spiegare al personale cosa non deve essere fatto. L’efficacia del sistema deve avere la priorità su tutto e dunque conviene esplicitare, in maniera molto pratica, le circostanze in cui si configura una violazione.
Suggeriamo perciò di comunicare esplicitamente al personale che atti e violazioni possono essere riscontrati dall’attività di audit oppure dal monitoraggio effettuato dal software di log management che può segnalare:
- Tentativi di accesso non autorizzato
- Tentativi di diffusione di informazioni
- Tentativi di cancellazione di informazioni e dati
- Tentativi di installazione non autorizzata di software
- Tentativi di furto di dati mediante la copia su supporti removibili
- Tentativi di furto di dati mediante l’invio a destinazioni remote
- Altre anomalie simili
La conduzione delle indagini
La documentazione delle violazioni è alla base di tutto il processo disciplinare. L’anomalia, il comportamento pericoloso, gli atti non appropriati o contrari alla politica e al sistema di gestione ascrivibili alla persona devono essere raccolti (documentati) e spiegati allo scopo di condurre:
- Un’indagine che mira ad accertare l’assenza di altri pericoli legati alle circostanze anomale
- Un processo disciplinare finalizzato a punire l’atto compiuto e scongiurare il suo ripetersi e la sua emulazione
L’amministratore di sistema ha un ruolo importantissimo nella conduzione delle indagini sulla violazione della sicurezza delle informazioni. Soprattutto dal punto di vista tecnico, tale ruolo deve essere coinvolto nell’accertamento e nella documentazione relativi a:
- L’atto di rilevazione della non conformità (anomalia)
- La descrizione della non conformità (anomalia)
- I processi coinvolti
- I danni ai dispositivi
- I danni per le informazioni
- L’analisi delle cause e le ipotesi investigative
- Le azioni da intraprendere
Le sanzioni a carico del personale
Fate attenzione: il processo disciplinare deve essere predisposto nel rispetto degli Artt. 2103, 2106, 2118 e 2119 del Codice civile, della Legge n. 300/1970 (c.d. “Statuto dei lavoratori”) e dei vigenti CCNL (Contratti Collettivi Nazionali di Lavoratori) adottati dall’azienda.
Le sanzioni irrorabili ai dipendenti, in ordine crescente di gravità, in caso di violazione delle regole del sistema di gestione per la sicurezza delle informazioni, possono essere:
- Conservative del rapporto di lavoro:
- Richiamo verbale
- Ammonizione scritta
- Multa
- Sospensione dal lavoro e dalla retribuzione
- Risolutive del rapporto di lavoro:
- Licenziamento
