Il tema del controllo degli accessi fisici è spesso trascurato nell’ambito della protezione dei dati personali anche se in realtà dovrebbe essere la prima analisi nella valutazione dei rischi e delle misure di sicurezza aziendali. E questo perché una cattiva gestione dei dispositivi fisici (chiavi, badge, ecc) per accedere ai locali dell’organizzazione, e/o dei dispositivi per accedere alle informazioni necessarie per l’accesso (codici di allarmi o altri codici ad esempio per la serratura che si apre con pin e/o applicazione su smartphone), può rendere vulnerabili non solo i locali e i beni in essi contenuti, ma anche i dati, le informazioni, i progetti e in pratica l’intera vita aziendale.

È evidente che sapere chi entra nei locali dell’azienda, come anche chi accede alla rete informativa della stessa, che siano quelli comuni o quelli ad accesso ristretto, consente di minimizzare i rischi di perdita e comunicazione non autorizzata di dati. Pensiamo solo alle aree dove sono conservati i dati sia in formato cartaceo (ad esempio: archivio uffici personale, ufficio tecnico con i progetti, che potrebbero altresì essere coperti anche da vincoli di riservatezza), che elettronico (ad esempio: sala server, locale addetti a videosorveglianza-videoregistrazione) e valutiamo una situazione in cui il datore di lavoro non sappia chi è in possesso, per esempio delle chiavi di accesso e/o dei codici di allarme degli stessi.

Come potrebbe valutare il rischio di sottrazione, o di comunicazione non consentita o addirittura di distruzione dei propri dati, anche aziendali, se non ne percepisce neanche la possibilità che questo, in sua assenza, possa accadere?

Come potrebbe un datore di lavoro poter gestire un’eventuale sottrazione delle informazioni riguardanti il proprio know how aziendale da parte di un soggetto terzo, possibile cliente/fornitore/consulente se presumibilmente la scoperta del “furto” (o data breach usando i termini del Regolamento Europeo 679/2016) potrebbe avvenire solo a seguito di giorni, per non dire settimane?

Tutte domande che sarebbe opportuno porsi prima di aprire i propri uffici e/o locali, come i propri server e i propri applicativi a terzi, non propriamente autorizzati, che godono di particolari privilegi a seguito di dimenticanze (abbiamo lasciato la chiave del magazzino al nostro dipendente mentre noi eravamo in ferie e adesso questi lavora da un nostro competitor) o procedure non corrette per la gestione delle credenziali, come quelle per la lettura della mail aziendale da remoto, procedure che, purtroppo, soprattutto in concomitanza della situazione particolare degli ultimi due anni, sono venute quasi completamente a mancare.

E così la tirocinante che adesso non è più nel nostro organico potenzialmente può leggere la mail che le era stata affidata in uso perché nessuno si è ricordato di disattivarla e/o cambiare la password di accesso, o il commerciale con le credenziali del gestionale per le vendite continua ad accedere all’applicativo per “confrontare” i costi dei prodotti perché nessuno sapeva che aveva ricevuto le credenziali di accesso quando l’azienda era chiusa. Logicamente può potenzialmente farlo, non è detto che lo faccia.

Ma quanti datori di lavoro lascerebbero potenzialmente la loro attività aperta a terzi che potrebbero “entrare” nelle proprie informazioni e utilizzarle, potenzialmente ci mancherebbe, per i propri interessi?

In questo caso le procedure da mettere in atto sono semplici e sono soprattutto di tipo organizzativo, come individuare/mappare i dispositivi di accesso e definire chi li possiede, mappando, per esempio, la consegna ed il ritiro delle chiavi, redigendo un registro per gli accessi degli esterni in stabilimento, soprattutto se l’attività richiede il passaggio di molte persone, e dando istruzioni chiare e precise sull’utilizzo degli stessi.

Vulnerabilità, prevalentemente ma non esclusivamente a carico degli autorizzati possono riguardare comportamenti sia in buona fede che da parte di malintenzionati interni o esterni all’organizzazione; in particolare:

‍

- Assegnazione di privilegi che non rispettano i principi della minimizzazione e della separazione dei ruoli;

- Perdita, furto o riproduzione/duplicazione illecita dei dispositivi per l’accesso;

- Perdita di controllo dei dispositivi forniti a terzi (manutentori, addetti al vending, ecc).

‍

‍