Personnel security, un sistema di gestione della fiducia

La sicurezza di un’organizzazione, sia essa un ente, una società, una associazione, è dipendente da un insieme di fattori tra cui il c.d. “fattore umano”, ovvero il comportamento di chi fa parte, entra in contatto o a vario titolo interagisce o gestisce il sistema stesso.

Le persone, oltre a commettere errori in buona fede, per imprudenza o superficialità, per necessità di raggiungere risultati o rispettare scadenze, possono essere influenzate da attori ostili, al fine di compiere azioni in grado di incidere sulla sicurezza dell’organizzazione. In tema di protezione da azioni malevole, l’adozione e il rispetto di buone norme di condotta da parte di individui o di organizzazioni è un aspetto cruciale, ma non sufficiente, per prevenire o attenuare le conseguenze di attacchi che fanno leva sul fattore umano. È necessario un approccio culturale e sistemico alla sicurezza del personale, intesa come sistema di gestione dell’affidabilità delle persone di una organizzazione e, come tale, nodo più critico in termini di gestione del rischio, apparentemente poco gestibile, difficilmente misurabile e intrinsecamente sfuggente.

Mitigare il rischio di una insider threat è possibile attraverso una profonda cultura della security, tradotta in policy e processi articolati che vanno a costituire un vero e proprio “sistema di gestione della fiducia” che, nel medio e lungo termine, si pone come un investimento strategico sia per lo sviluppo del business che, in generale, di raggiungimento degli obiettivi dell’organizzazione che lo adotta.

Lo “human factor” è quella leva in grado di far sgretolare i sistemi più solidi, di mettere in difficoltà i meccanismi più rodati così come, in termini di opportunità, può potenzialmente essere un eccezionale moltiplicatore di efficienza.

La vera chiave di volta nella gestione di questo fattore è da individuarsi nella fiducia: interpretata, gestita, dosata e coltivata come il più delicato e importante degli ingranaggi del sistema.

Realizzare un sistema di gestione della fiducia

Un membro infedele, un insider, potrebbe essere vettore di informazioni riservate verso l’esterno, potrebbe consentire accessi fisici o informatici ad asset aziendali sensibili, potrebbe violare segreti industriali, svolgere operazioni finanziare concordate con dei competitors etc.

Mitigare questa potenziale vulnerabilità creando un “sistema di gestione della fiducia” deve essere in cima alla lista delle priorità per le organizzazioni che affrontano il proprio sviluppo con una visione strategica. Se tale assunto è sempre stato vero, oggi è da considerarsi un assioma in una realtà che vede i rapporti tra le persone, tra i membri dello stesso gruppo, azienda, etc, sempre meno reali e sempre più “virtuali” o comunque caratterizzati da crescente immaterialità degli stessi, dall’aumento delle distanze fisiche.

Si pensi alle strutture societarie con più sedi, a una multinazionale, una azienda che opera con un elevato numero di dipendenti expat, così come a tutte quelle organizzazioni che sempre più si rivolgono a modalità organizzative del lavoro flessibili, a distanza.

Il sistema di gestione della fiducia nelle persone è un processo trasversale che coinvolge più funzioni aziendali quali certamente la security, hr, risk management, IT e ha come obiettivi:

• ridurre il rischio di assumere personale che potrebbe presentare problemi di sicurezza;
• minimizzare la probabilità che i dipendenti esistenti generino problemi di sicurezza;
• ridurre il rischio di attività ad opera di insider, proteggere i beni dell’organizzazione e, se necessario, svolgere indagini interne;
• attuare misure di sicurezza in proporzionate ai rischi dell’organizzazione.

Per essere efficace, il sistema, deve essere disegnato come un insieme di processi e flussi che abbracciano la persona da prima che venga inserita nell’organizzazione, fino al post-exit dalla stessa. Possiamo quindi immaginare un corpus di flussi di lavoro che comprenda:

• la creazione di una forte cultura della sicurezza, in cui tutti i membri dell’organizzazione sono consapevoli delle proprie responsabilità in materia di sicurezza;
• un’efficace gestione delle linee di management, in grado di identificare precocemente comportamenti insoliti e intervenire per evitare che qualsiasi problema diventi più grave;
• procedure di vetting & background check;
• l’implementazione di procedure (compreso il whistleblowing) con cui i dipendenti possano segnalare problematiche e anomalie di sicurezza;
• la realizzazione di sistemi di controllo degli accessi ai e ai sistemi aziendali;
• il monitoraggio efficace per identificare attività / accesso non autorizzati a siti e sistemi;
• procedure di svolgimento di indagini interne stabilite;
• procedure di exit.

Un approccio così completo è fondamentale in quanto i fattori che possono aumentare la vulnerabilità dell’organizzazione a attività di un insider sono le più varie:

• inadeguate misure di sicurezza del personale durante lo screening pre – assunzione;
• inadeguate misure di sicurezza del personale in corso di impiego, limitando la capacità dell’organizzazione di identificare o prevenire le attività interne da parte dei propri dipendenti;
• cattive pratiche di gestione, che possono ridurre la lealtà e l’impegno dei dipendenti;
• processi di rimostranza inefficaci affinché i dipendenti esprimano malcontento prima che si trasformi in disaffezione;
• la mancanza di una forte cultura della sicurezza, con il risultato che i dipendenti non si assumono la responsabilità individuale per la sicurezza e riducono il rispetto delle procedure di sicurezza.

Le circostanze che circondano il lavoro o la vita personale di un dipendente possono aumentare la vulnerabilità. Esempi di tali circostanze possono includere:

• condizioni di lavoro incerte;
• atteggiamento sprezzante nei confronti della sicurezza;
• calo delle prestazioni sul lavoro, attrito con i colleghi;
• problemi fisici o psicologici, depressione o instabilità emotiva;
• problemi personali, lutto o stile di vita (o quello di un partner o di un familiare);
• dipendenza (ad es. gioco d’azzardo, alcol o droghe);
• difficoltà economiche;
• procedimenti penali pendenti, condanne, procedimenti giudiziari in genere;
• conflitti di interesse.

Uno studio del Centre for the Protection of National Infrastructure inglese individua le motivazioni che spingono un insider in:

• ritorno economico per il 47% dei casi;
• ideologiche per il 20%;
• desiderio di riconoscimento per il 14%;
• lealtà ad altri gruppi (familiari, amici, paesi) per il 14%;
• vendetta per 6%.

anche se spesso le motivazioni sono più di una e combinate tra loro.

Principio e fine del sistema di gestione della sicurezza personale è la cultura della sicurezza che ispira, sottende e costituisce allo stesso tempo l’obiettivo del sistema di gestione.

La cultura della sicurezza di un’organizzazione è lo stile, l’approccio e i valori che adotta nei confronti della sicurezza ed è essenziale per un efficace regime di sicurezza del personale. Una radicata cultura della sicurezza porta a:

• coinvolgimento e assunzione di responsabilità da parte dei dipendenti;
• aumento dei livelli di conformità con le misure di sicurezza protettive;
• riduzione del rischio di violazioni e compromissioni;
• aumento delle probabilità di segnalare comportamenti / attività problematiche;
• miglioramento delle prestazioni organizzative attraverso una gestione efficace, meccanismi di rendicontazione consolidati, maggiore soddisfazione e impegno dei dipendenti nei confronti dell’organizzazione;
• riduzione del rischio di danni reputazionali.

Cultura e commitment

Un’organizzazione deve avere una chiara idea della cultura della sicurezza che desidera implementare e che varierà a seconda della natura dell’azienda, del mercato in cui opera, dell’ambiente di lavoro e del livello di rischio considerato accettabile per il raggiungimento dei target aziendali.

L’organizzazione dovrebbe quindi determinare la dimensione del divario tra la cultura di sicurezza esistente e quella desiderata, per decidere poi in che modo raggiungere il livello atteso.

In questo senso è fondamentale il commitment da parte dell’executive management per poter garantire le risorse necessarie per mantenere o migliorare la sicurezza all’interno dell’organizzazione e per garantire l’efficacia intrinseca del sistema, incentivando la conformità e la coerenza in tutti i dipendenti. Al contrario, la mancanza di consapevolezza della minaccia interna a livello senior può minare il processo al suo nascere. Politiche poco chiare nella gestione del rischio delle persone e nel rafforzamento della conformità possono anche rendere difficile rilevare e prevenire le attività interne.

Anche il middle management svolge un ruolo chiave nella cultura della sicurezza di un’organizzazione. Poiché direttamente responsabili del loro personale, i manager, sono nella posizione migliore per il controllo dello staff e per l’interlocuzione con il top management. Inoltre sono in quella posizione mediana fondamentale per infondere consapevolezza e conoscenza delle procedure di security, carpire segnali di minacce in corso possibilmente già a un livello precoce e di influenzare in generale il comportamento dei collaboratori.

Un altro aspetto che va a influire considerevolmente sulla sicurezza e affidabilità delle persone è la cultura aziendale, fatta di valori, declinati in un codice etico e regolamenti interni, fatta di welfare, fondamentale per disinnescare alcune delle cause di malcontento e sfiducia, fatta di senso di appartenenza coltivato nel tempo e fatto di occasioni di incontro, convivialità, premialità, partecipazione ai successi e agli insuccessi dell’organizzazione (anche, ad esempio, attraverso la partecipazione alla proprietà di quote societarie).

Sebbene apparentemente lontani dalla sicurezza in senso stretto, sono fattori che influenzando in modo determinante il benessere della persona, costituiscono di per sé parte integrante del processo di gestione della sicurezza delle persone.

Implementare un sistema di gestione della Personnel Security: riferimenti normativi e best practice

Il processo per l’implementazione di un sistema di gestione della sicurezza delle persone si articola come tutti i sistemi di gestione secondo un ciclo classico Plan-Do-Check-Act. Tuttavia, la particolarità del settore, non consente di trovare uno standard specifico dedicato come, ad esempio, la ISO 27001, la 45001 etc.

In questo caso dobbiamo fare affidamento in primis alle professionalità che provengono dagli organismi dell’intelligence che possono portare un expertise specifico e, parallelamente muoversi nel mondo delle norme e delle linee guida emesse dai vari organismi di sicurezza e trarne quindi le opportune indicazioni.

In questo senso sono di particolare utilità e modello le prescrizioni legate al settore, piuttosto di nicchia, della tutela delle informazioni classificate e delle infrastrutture critiche (nazionali e soprattutto del mondo anglosassone). Le normative in tal senso (DPCM 5/2015 e collegati per l’Italia) contengono articolate regole per una buona gestione della sicurezza delle persone in termini di selezione, abilitazione, formazione, gestione delle violazioni e compromissioni, disposizioni per l’exit dall’organizzazione.

Un buon punto di riferimento è inoltre costituito dall’Annesso A della ISO 27001 (A.7 Human resources security). Qui, e in termini di dettaglio nella ISO 27002 (7. Personnel Security Management), viene chiaramente delineato il processo di security attorno alla risorsa umana fornendo le indicazioni per la corretta gestione nelle tre macro fasi:

• prima dell’assunzione
  • definizione di ruoli e responsabilità in termini di security;
  • lo svolgimento di verifiche pre-assuntive;
  • definizione delle regole per la tutela della sicurezza delle informazioni già nel contratto di lavoro;
• durante la vita lavorativa
  • responsabilità manageriale per il rispetto delle policy di security;
  • formazione e sensibilizzazione;
  • procedimenti disciplinari;
• termine o cambio di incarico;
  • termine delle responsabilità;
  • recupero dei beni, strumenti, asset aziendali;
  • rimozione dei diritti di accesso (fisici e informatici).

Ancora più complete e particolarmente “user friendly” sono altresì le linee guida fornite dal UK CPNI e dal governo neozelandese e altri che consentono alle organizzazioni di dotarsi di un sistema di gestione efficace in un’ottica di compartecipazione pubblico-privata alla sicurezza nazionale intesa, così definita dal Glossario d’Intelligence “Condizione in cui ad un paese risultino garantite piene possibilità di sviluppo pacifico attraverso la salvaguardia dell’intangibilità delle sue componenti costitutive, dei suoi valori e della sua capacità di perseguire i propri interessi fondamentali a cospetto di fenomeni, condotte ed eventi lesivi o potenzialmente tali”. Condizione che passa per la tutela non solo dell’indipendenza, integrità e la sovranità Nazionale ma anche degli interessi politici, militari, economici, scientifici e industriali.

Il processo di Personnel Security Risk Assessment

Il primo step necessario per individuare l’approccio corretto per implementare un sistema del genere è definire gli obiettivi che all’interno dell’organizzazione si vogliono raggiungere in termini di sicurezza delle persone e effettuare un Personnel Security Risk Assessment che vada a individuare le aree di criticità per poter elaborare un mitigation plan adeguato e in linea con gli obiettivi di business.

Le metodologie di risk assessment utilizzate saranno, per ragioni autoesplicative della tipologia dei rischi trattati, semi quantitative secondo ISO 31000 e 31010.

L’identificazione delle minacce sarà il primo step e dovrà essere svolto tenendo a mente quelli che sono gli obiettivi e la natura del business, i processi chiave aziendali, le figure/funzioni aziendali coinvolte negli stessi.

Di seguito la ponderazione di probabilità e danno forniranno una matrice di rischio che fornirà le priorità di intervento.

Sarà utile svolgere l’analisi in termini di gruppi omogenei di attori coinvolti su base funzionale, di livello gerarchico ed individuale (in termini di ruolo, non singolo individuo) al fine di un più performante design delle attività di mitigazione/trasferimento del rischio.

Da qui seguirà l’implementazione dei processi accennati sopra. Questa non è la sede per la declinazione delle singole procedure da avviare, tuttavia è possibile soffermarsi su alcuni passaggi.

Cominciando dalle procedure di vetting, che svolgono un ruolo importante nel reclutamento di personale, consentendo una valutazione approfondita che va oltre le competenze tecniche, è precisare come si debba discernere tra pre-employment screening, ovvero quell’insieme di verifiche finalizzate alla tutela degli asset aziendali e della reputazione, dal background check, che è invece finalizzato alla verifica delle caratteristiche della persona sia dal punto di vista lavorativo che penale e/o debitorio.

I controlli, coi relativi limiti imposti dal corpus normativo vigente, sono i più vari ed è possibile svolgere

• verifiche sull’identità del candidato (codice fiscale, registri anagrafe, registro dello stato civile);
• verifiche sulla carriera scolastica/accademica;
• qualifiche professionali, precedenti esperienze lavorative e relative referenze;
• record militare (foglio matricolare per ex appartenenti alle FFAA e FFOO).
• controlli sui precedenti penali (sia per gli italiani – qui è fondamentale che sia consentito dalla contrattazione collettiva salvo casi previsti per legge, che per gli stranieri – a seconda della legislazione specifica, acquisibile con modalità non eccessivamente complesse).
• controlli sullo stato di salute (sorveglianza sanitaria, visite pre-assuntive).
• controlli sui media (social network, stampa online).
• indagini finanziarie e storia creditizia (informazioni richiedibili al candidato nel rispetto, per la normativa italiana, del disposto di cui all’art. 10 del Dlgs 276/2003 ed ovvero che si tratti di di caratteristiche che incidono sulle modalità di svolgimento della attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell’attività lavorativa);
• iscrizione nelle cosiddette “sanction lists” (Liste Onu, UE, Ofac, Dfat, UK – HMT Financial Sanctions List, CH – SECO Sanction List, Interpol Wanted List, CA – Consolidated Canadian Autonomous Sanctions List, US – Bureau of Industry and Security List, US – Department of Stare Aeca Debarred List, US – Department of State Nonproliferaction Sanctions List, World Bank – Ineligible Firms and Individual List, più altre liste private accessibili dietro pagamento di fee di consultazione).

Una volta “a bordo” la persona va formata, sensibilizzata, istruita affinché il rispetto delle procedure e policy interne di sicurezza siano rispettate. Le politiche di sicurezza fisica, di sicurezza delle informazioni, lle misure per la tutela del know-how e dei segreti industriali andranno definite a seconda del business e del quadro normativo in cui l’impresa si muove.

Queste comunque dovranno essere ispirate a criteri di liceità, proporzionalità, efficienza ed efficacia per garantire il raggiungimento degli obiettivi prefissati.

La vita all’interno dell’organizzazione dovrà prevedere dei sistemi di raccolta dei segnali di comportamenti rilevanti, siano essi il riporto gerarchico che il whistleblowing, possibilmente integrando tali sistemi con eventuali paralleli simili quali, a mero titolo esemplificativo, i meccanismi di segnalazione relativi al modello di gestione ex 231/08.

Dovranno inoltre essere previsti dei chiari processi investigativi interni per l’esecuzione e, soprattutto, la documentazione di eventuali accertamenti interni, che poi potranno sfociare in procedimenti disciplinari, penali, civili o giudiziari in genere. È importante questo tipo di previsione in quanto, sebbene molte organizzazioni siano strutturate in termini di policy, nel momento in cui si devono cimentare nell’effettuare una attività investigativa interna, si muovono a seconda del momento, di chi prende l’iniziativa o comunque di fattori del tutto circostanziali.

Alcune modalità di lavoro possono essere maggiormente vulnerabili in termini di affidabilità delle persone: smart working, lavoro isolato in genere, lavoro di expat. Oltre i problemi in termini di cybersecurity, che qui non affrontiamo non perché non importanti ma per concentrarci sul tema in corso di trattazione, il lavoratore che opera pressoché solo, distante fisicamente dal contesto aziendale:

• non è sottoposto al monitoraggio e controllo diretto;
• può facilmente incorrere nel sentirsi isolato e a margine dell’organizzazione;
• può incorrere nell’erosione della cultura aziendale;
• potrebbe non ricevere un adeguato livello di welfare,
• potrebbe operare in contesti non sicuri anche in termini di compresenza di persone che non sono membri dell’organizzazione e che potrebbero entrare in contatto con informazioni sensibili, specie se non vi è un pieno rispetto delle policy di security;
• potrebbe perdere produttività o, al contrario, eccedere nel lavoro e trascurare i propri affari personali con un deterioramento a medio-lungo termine del proprio equilibrio.

Per questo motivo è importante che gli accordi e i contratti di lavoro che sottendono a tali modalità di lavoro contengano dei fattori di mitigazione quali, per esempio:

• regole precise per l’impiego degli strumenti di lavoro forniti;
• personalizzazione delle leve di welfare;
• periodo di prova prima dell’accesso permanente a tale modalità di lavoro;
• strumenti di reporting periodico;
• meeting/call con cadenza tale da mantenere i contatti frequenti e vivi;
• precise regole per la protezione delle informazioni sensibili anche da remoto, all’estero, in viaggio etc.

Anche in questa circostanza, il ruolo dei manager, esattamente come all’interno dell’azienda, è fondamentale per la corretta gestione dei collaboratori. I manager, siano essi all’interno dell’azienda che anche loro in modalità di lavoro flessibile, devono essere raggiungibili e devono garantire che i lavoratori remoti sappiano quando possono contattarli. Può accadere che, come i membri del loro team, il manager sia anche un lavoratore remoto.

I manager devono essere in grado di fidarsi dei loro dipendenti in lavoro remoto senza la necessità di una costante supervisione o micro-gestione. Essere troppo controllati può provocare risentimento tra il personale e compromettere la fiducia del manager. Esiste inoltre il rischio che, di conseguenza, i lavoratori remoti diventino troppo dipendenti dal manager, senza spazio di manovra autonoma, diventino apatici e improduttivi o si riducano all’essere meri esecutori di attività banali e ripetitive.

Particolare attenzione dovrà essere posta anche alla comunicazione in caso di lavoro in modalità flessibile, avendo cura che sia costante, non opprimente, possibilmente anche per mera socializzazione e non esclusivamente finalizzata alla produttività.

Un altro punto fondamentale e spesso trascurato è il momento di uscita del lavoratore dall’organizzazione.

Una politica di gestione dell’exit è fondamentale per minimizzare il rischio di compromissione di informazioni e know-how sensibili. In tal senso una buona procedura di exit prevede:

• uno o più colloqui finalizzati alla comprensione delle ragioni dell’interruzione del rapporto e a conoscere l’eventuale nuovo datore di lavoro (competitor?);
• un risk assessment finalizzato a definire il livello di rischio per la sicurezza misurato alle informazioni cui la risorsa aveva accesso;
• la predisposizione di accordi di riservatezza;
• la valutazione di assumere decisioni quali la prosecuzione del lavoro fino a termine contratto con i medesimi privilegi di accesso o ridotti o addirittura la richiesta di uscita immediata;
• un workflow definito di chiusura di tutti gli accessi siano essi fisici, informatici, linee di budget, caselle di posta, cartelle etc;
• il ritiro delle business card non utilizzate.

Conclusioni

I vari momenti della vita all’interno dell’organizzazione sono cadenzati da un susseguirsi di eventi che possono minare l’affidabilità delle persone. È quindi necessario implementare un corpus di processi che ruotando attorno al concetto di fiducia, concorrono alla creazione, al mantenimento, alla protezione della stessa.

Un’organizzazione deve riporre fiducia nei propri membri in modo ponderato per minimizzare i rischi derivanti dalle attività potenziali di un insider. Se è vero che i servizi di sicurezza governativi sono molto preparati in questo ambito, è altrettanto fondamentale che, in un’ottica oramai preponderante, di condivisione pubblico-privato della sicurezza nazionale, anche le organizzazioni private, a cominciare dalle c.d. infrastrutture critiche, si diano una struttura interna capace di garantire questi standard di sicurezza.

Ciò avrà inevitabili effetti anche in termini di business: tautologico affermare che una organizzazione i cui membri sono affidabili e si sentono responsabili e parte di un sistema, sia certamente più competitiva.