HR e cybersecurity: la gestione dell’identità digitale dei dipendenti

In questo articolo

In questo articolo esploreremo l’importanza della cybersecurity sia durante la fase di onboarding che di offboarding di un nuovo dipendente e di come condividere la gestione delle attività con le risorse umane.

In fase di onboarding, il reparto HR e gli esperti di sicurezza informatica in azienda – il CISO (Chief Information Security Officer) in quelle più strutturate oppure gli IT Manager in quelle di dimensioni minori – devono collaborare a stretto contatto per garantire una buona governance dei processi.
Se i CISO e i team di cybersecurity sono incaricati della creazione delle procedure di sicurezza, le risorse umane hanno la responsabilità della loro applicazione all’interno dell’impresa.

Il reparto HR deve garantire infatti che tutti i nuovi dipendenti, a prescindere dalla loro posizione o reparto, conoscano e seguano i processi di utilizzo delle utenze informatiche a loro assegnate. A tal fine, è necessario sia fornire un’adeguata formazione sulla sicurezza informatica durante il processo di inserimento che attivare procedure ben definite per gestire l’identità digitale durante l’Employee Lifecycle Management.

Possiamo definire l’Employee Lifecycle Management come il “ciclo di vita” di un dipendente all’interno di un’azienda, composto idealmente da sei fasi: attrazione, recruiting, onboarding, sviluppo, retention, offboarding.
Approfondiamo la fase iniziale e quella finale, aree che necessitano di particolare attenzione in relazione alla sicurezza informatica in azienda.

La formazione dei nuovi dipendenti rappresenta una grande opportunità per le aziende per garantire una solida cultura di sicurezza informatica. Durante la fase di onboarding, i nuovi assunti devono infatti essere istruiti sulla qualifica e tipologia di dati e sistemi a cui avranno accesso, come riconoscere le minacce informatiche e come segnalare eventuali tentativi di frode.

Disporre di workflow ben definiti abbinati a controlli periodici delle autorizzazioni di accesso di ogni account, può aiutare a identificare, prevenire e mitigare i problemi di sicurezza informatica derivanti da dipendenti con autorizzazioni non necessarie, ex collaboratori oppure risorse che sono state ricollocate all’interno dell’azienda.

1. In quale reparto verrà inserito il nuovo assunto? Determinare l’obiettivo principale dell’accesso alle informazioni e alla rete aziendale.
2. Quali sono le informazioni di cui avrà bisogno nel ruolo che andrà ad occupare? Definire di quali specifici accessi ed informazioni dovrà disporre in base al suo ruolo. Ad esempio, un impiegato dell’ufficio marketing potrebbe avere necessità di accedere al CMS dei siti web aziendali, ai tool di marketing automation, al CRM e agli account social.
3. Chi sarà responsabile delle autorizzazioni concesse al nuovo assunto? Stabilire un workflow puntuale per garantire l’aggiunta o la rimozione degli accessi e un canale di comunicazione formale per tenere taccia dello storico delle richieste.
4. Ci sono accessi “speciali” da riservare al nuovo assunto non strettamente correlate al ruolo specifico? Questa domanda aiuta a identificare quali autorizzazioni concedere in base al livello.
5. Sono stati richiesti e messi a disposizione gli account necessari? Controllare e monitorare le fasi di provisioning.
6. Il processo di provisioning utente è stato completato? Creare gli account necessari per l’accesso alla rete, ai sistemi, alle app e alle informazioni per permettere al nuovo assunto di essere immediatamente operativo.
7. Sono stati richiesti e configurati i dispositivi IT fisici? Gli asset includono tutti gli oggetti necessari al nuovo arrivato come computer, laptop, telefono, badge, ecc. La fase di provisioning utente dovrebbe essere completata prima di consegnare gli strumenti fisici di lavoro per renderlo immediatamente operativo.
8. È stato effettuato un follow-up? Controllare che tutti gli step precedenti siano stati completati e chiedere un feedback al nuovo dipendente per assicurarsi che abbia tutti gli strumenti e le informazioni necessarie.

Sei interessato ad una consulenza sulla Cyber Security?

HR e cybersecurity dovrebbero convergere nel momento in cui è necessario impostare insieme ai CISO i criteri di profilazione dei gruppi per l’accesso a internet: abilitare o inibire l’accesso a determinate categorie di siti web aiuta a tenere sotto controllo la propria rete dalle minacce informatiche.

I data log delle operazioni del personale interno sono un’importante fonte di informazioni che può essere utilizzata in caso si verifichino attività anomale all’interno della rete locale (LAN).

Recenti indagini sulle violazioni dei privilegi di accesso dimostrano che gli insider, rispetto agli hacker esterni, spesso non tentano nemmeno di coprire le proprie tracce poiché non pensano di essere scoperti.

Tra le collaborazioni più proficue fra HR e cybersecurity annoveriamo sicuramente un programma di formazione continua che può aiutare a mantenere alto il livello di allerta dei dipendenti.
I responsabili delle risorse umane dovrebbero progettare e pianificare insieme ai CISO attività di formazione che trasmettano al personale l’importanza dell’identificazione delle minacce.
Le figure HR possono aiutare i CISO a preparare delle survey interne, utili a mappare le debolezze e i fattori critici su cui lavorare in fase di formazione dei dipendenti.

L’offboarding è il processo che si verifica in seguito all’uscita di un dipendente dall’azienda. È un passaggio necessario per garantire non solo che il lavoro venga portato avanti con continuità e trasferito ad altri dipendenti, ma anche per prevenire potenziali vulnerabilità che possono esporre l’organizzazione a minacce informatiche.

Il processo di offboarding dovrebbe prevedere:

• Delega del carico di lavoro e delle responsabilità del dipendente ad altri membri del team
• Disattivazione dell’accesso del dipendente agli account aziendali – fondamentale sia per la sicurezza interna che per garantire il corretto trattamento dei dati di clienti e fornitori
• Restituzione delle attrezzature aziendali
• Colloquio di uscita per ottenere un feedback

Lo scopo di una procedura di offboarding è quella di terminare correttamente il rapporto lavorativo con l’ex dipendente ed affrontare eventuali questioni in sospeso. Inoltre, il feedback dell’ex dipendente può essere utile per migliorare l’azienda, sia per il team attuale che per quello futuro.

Disporre di un processo di offboarding consente di:

• Mitigare i rischi per la sicurezza: l’azienda dovrebbe rientrare subito in possesso dei beni aziendali e revocare i permessi non più necessari, per impedire agli ex dipendenti di accedere a informazioni sensibili e a proprietà intellettuali.
• Prevenire eventuali problemi legali: un corretto processo di offboarding, fornisce al dipendente maggiore chiarezza e trasparenza sulla situazione. Ciò consente a entrambe le parti di discutere di argomenti come controversie contrattuali, risarcimenti o illeciti professionali.
• Gestire le sfide organizzative: — Prima che il dipendente in partenza lasci l’azienda, il processo di offboarding può aiutare a distribuire il carico di lavoro ai restanti membri del team. Delegare le attività in modo adeguato, può impedire che le tempistiche dei progetti in essere si protraggano nel tempo o abbiano un impatto negativo sulle parti interessate.
• Fornire all’azienda un feedback: un colloquio di uscita offre al dipendente uscente, la possibilità di fornire un feedback ai responsabili del team e di concludere il rapporto nelle migliori condizioni possibili.

Il processo di offboarding è fondamentalmente l’opposto del processo di onboarding. Un corretto processo di onboarding renderà il processo di offboarding più efficiente poiché consentirà di avere già a disposizione le informazioni utili per l’eventuale offboarding successivo.

Hai creato una corretta checklist in fase di onboarding? Partirai avvantaggiato.

Assicurarsi che vengano restituite tutte le apparecchiature aziendali come laptop, pass di sicurezza, device USB, dischi rigidi e tutte le risorse che si trovavano a disposizione del dipendente. Una singola pen drive dimenticata contenente dati sensibili potrebbe cadere nelle mani sbagliate e provocare un data leak.

Dopo aver recuperato tutte le risorse fisiche, sarà necessario revocare gli accessi alle risorse online. Una corretta procedura di chiusura degli account include:

• Revoca dell’accesso a cartelle, file e account condivisi
• Reimpostazione delle password condivise
• Riassegnazione delle licenze sospese, se necessario
• Monitoraggio delle attività durante il periodo finale di collaborazione

In alcuni casi può rivelarsi utile monitorare le attività svolte dall’utente successivamente alla comunicazione delle dimissioni, per assicurarsi che il dipendente non abbia duplicato/esportato file o informazioni riservate su dispositivi personali.

Tra gli utilizzi più frequenti dei dati sottratti illecitamente da ex collaboratori o ex dipendenti:

• vendita delle informazioni ad un’azienda concorrente in cambio di un compenso economico oppure di un’offerta lavorativa migliore
• riutilizzo dei dati sottratti per aprire una società in parallelo, spesso violando patti di non concorrenza
• estorsione di denaro verso i legittimi proprietari dei dati
• modifica o cancellazione di dati
• divulgazione senza scopo di lucro al fine di creare un danno economico e di immagine all’azienda

Recentemente è stato oggetto di cronaca il furto di dati riservati e segreti commerciali riguardanti il progetto Apple Car, il programma di sviluppo per automobili a guida autonoma, da parte di un ex dipendente della società di Cupertino. Secondo i pubblici ministeri federali, l’ex ingegnere dell’azienda avrebbe scaricato file interni per un totale di 24 gigabyte di dati, definiti “altamente sensibili” dall’accusa, in fase di dimissioni volontarie dall’azienda.

È importante ricordare che non esistono procedure di onboarding e offboarding perfette e che ogni valutazione andrà fatta caso per caso in base a circostanze, misure tecniche e organizzative.

Vuoi ottenere una consulenza su come impostare una corretta attività di cybersecurity per la tua azienda fin dalla fase di onboarding?

Scopri BeeCyber.

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Sei interessato ad una consulenza sulla Cyber Security e a capire come gestire al meglio l’identità digitale?

Vuoi restare aggiornato sulle ultime novità dal mondo della Cyber Security?

ISCRIVITI ALLA NEWSLETTER