La scorsa settimana il Presidente di ANSSAIF, nell’articolo AssetProtection. Collaborare in azienda: un obbligo sin troppo trascurato, ha lanciato un chiaro appello alle organizzazioni, evidenziando la necessità di instaurare un rapporto di collaborazione fattiva tra le funzioni in staff e quelle che operano in prima linea.
La maggior resistenza (consapevole o inconsapevole) nasce dall’incapacità di abbandonare una volta per tutte un modello delle responsabilità legato al processo, la cui evoluzione invece suggerisce l’attribuzione di ruoli e funzioni in base ai pericoli identificati e alle operazioni messe in campo per mitigarli oppure enfatizzare le opportunità individuate.
Al fine di generare una liaison concreta tra le differenti funzioni è anche necessario che, chi si occupa di definire le regole e le buone pratiche, le possa e le sappia condividere in modo chiaro con chi le deve poi mettere in pratica.
Ed è su questo aspetto che mi voglio soffermare. Perché gli oggetti documentali prodotti e distribuiti con queste finalità, non di rado nascondono delle insidie inattese: carenza di uniformità ed integrazione, strutture e linguaggio poco amichevoli, violazioni delle norme sulla sicurezza, forme di raccolta e condivisione non adeguate rispetto alle tecnologie disponibili e utilizzate in un’organizzazione. Tanti rischi differenti generati da un’unica causa: la scelta impropria dei destinatari.
Infatti molti regolamenti aziendali, che hanno come destinatari espliciti tutti i dipendenti o determinate unità, finiscono implicitamente per rivolgersi alle autorità, nei casi di accertamento oppure di contenzioso giudiziale. E se è vero che, da un lato, le regole sono progettate e messe in campo per evitare che l’organizzazione subisca danni economici (anche di natura legale, sanzionatoria), è pur vero che, secondo una visione legata alla responsabilità sociale d’impresa, l’Amministratore ha il dovere di tutelare i propri dipendenti, mettendoli nella condizione di operare in modo sicuro prima per se stessi e poi per l’azienda.
Quando un regolamento è scritto prima per le autorità e poi per i dipendenti, ne consegue che l’organizzazione dei contenuti sia poco affine ad un disegno olistico della sicurezza, risulti certamente più incline a rispondere in modo specifico alle singole normative alle quali si riferiscono le regole comunicate ed i contenuti organizzati secondo le strutture che le caratterizzano. Ne consegue anche un utilizzo eccessivo del legalese, non certamente comprensibile per tutti, e di citazioni normative spesso ridondanti che sortiscono l’unico effetto di distrarre il lettore dai contenuti veramente importanti.
In sostanza, i destinatari reali hanno capito qualcosa di ciò che devono fare?
La sicurezza delle informazioni richiede una riflessione preliminare finalizzata ad individuare gli asset sensibili – attenzione, la versione del 2013 della ISO / IEC 27001 non parla di beni aziendali riferendosi ai pezzi di ferro bensì alle informazioni -, il livello di rischio individuato per ciascuno di essi e le persone autorizzate all’interazione. Questa considerazione prevede quindi anche che la distribuzione di ogni documento sia compatibile con la tipologia di informazioni in esso riportate. A tal proposito, nonostante sia elevato il rischio di avviare un gioco senza fine di scatole cinesi, è però d’obbligo ragionare sulla documentazione organizzando i contenuti in modo ipertestuale.
Ma le partite in tribunale si giocano secondo regole differenti. Più la documentazione è articolata, maggiore è la probabilità che non si riesca a dare una visione completa al giudice. Ed il giudice, senza una visione completa, condanna.
Di contro esiste però il rischio, al quale i legali sono particolarmente inclini, di esplicitare informazioni sensibili, rendendole note ad un pubblico troppo ampio e fornendo quindi una ghiotta opportunità rivolta a coloro che siano intenzionati a sfruttarle per finalità fraudolente. Così facendo, di fatto, l’obiettivo di un regolamento sulla sicurezza delle informazioni viene completamente inficiato.
Infine, c’è da considerare che tutte le normative internazionali, con l’introduzione dell’High Level Structure, hanno chiaramente definito la naturale evoluzione, strettamente correlata allo sviluppo delle tecnologie impiegate, dal documento all’informazione documentata. Anche le normative obbligatorie non definiscono particolari vincoli relativi alle forme di divulgazione e ai supporti impiegati. Eppure, nonostante siano stati ben definiti anche al livello legale i requisiti per garantire inalterabilità e autenticità delle informazioni documentate, un insieme di record è ancora difficilmente considerato come materiale pertinente in tribunale.
Ma è arrivato il momento che la compliance si metta al passo con i tempi, perché il rischio che i regolamenti aziendali vengano percepiti solamente come un grande dispendio di energie è sempre più prossimo. E se per caso il top management dovesse effettivamente credere che le aree ad essa correlate possano essere oggetto di tagli netti per abbattere gli sprechi e riportare i bilanci in attivo, le conseguenze sarebbero disastrose.