Due mondi apparentemente diversi che trovano invece il loro punto di forza
HR e Cybersecurity di fatto non sono realtà in contrasto. Anzi, proprio per nulla: secondo l’andamento del mercato e osservando quanto di fatto le politiche sulla privacy dei dati siano sempre più (giustamente) stringenti, anche HR ha un ruolo fondamentale.
Primo tra tutti, il compito è quello di considerare la sicurezza durante tutto il processo di Employee Lifecycle Management, ovvero la gestione strutturata della roadmap che delinea le sei fasi di coinvolgimento di un’organizzazione rispetto ad un dipendente, dall’assunzione all’inserimento, fino alla chiusura del possibile rapporto.
Anche la Safety, la Security e la Cybersecurity richiedono il loro giusto spazio.
Come? Approfondiamolo qua sotto.
Governance aziendale: per una buona gestione HR & Cybersecurity
Fino ad adesso, non era ancora chiaro quale rapporto ci fosse tra queste realtà apparentemente lontane e distinte.
Conosciamo sicuramente la figura del Chief Information Security Officer (aca. CISO) come responsabile e direttore dell’intera infrastruttura di sicurezza aziendale, come colui che si occupa di definire la visione strategica, di implementare programmi per la protezione degli asset informativi e di definire processi per limitare i rischi legati all’adozione delle tecnologie digitali.
Risorse umane, diversamente, sono i responsabili dell’applicazione delle politiche di sicurezza in tutta l’organizzazione aziendale.
3 motivi per cui HR è responsabile della Cybersecurity
L’aspetto socio-psicologico del dipendente è fondamentale. Ma non basta. Anche la sua sicurezza informatica non è da trascurare.
- Deve assicurarsi che ogni dipendente non sia una potenziale minaccia per la sicurezza informatica dell’intera azienda. Ciò include lo svolgimento della due diligence e la garanzia che i dipendenti ricevano un’adeguata formazione sulla sicurezza durante l’onboarding.
- Proteggere i dati personali è indispensabile per la tutela e la salvaguardia del singolo ma di conseguenza anche del gruppo
- Tutelare e garantire salute e benessere nel worklife balance del dipendente
Letti, presi in considerazione e fissati questi punti, verrebbe da dire di conseguenza che presidiare ambienti fisici e virtuali mette in luce quanto sia indispensabile avere una visione ampia delle procedure, delle garanzie e dei rischi che si possono presentare se non tuteliamo l’ambiente di lavoro.
HR e Cybersecurity hanno una relazione stretta nell’ambito di tutti i programmi di sensibilizzazione come ad esempio la buona gestione delle password, create e aggiornate secondo canoni ben precisi. Password complesse per i sistemi informatici e costantemente aggiornate, trovando il modo di dissuadere i dipendenti ad utilizzare le stesse. Soprattutto tra dispositivi personali e account online.
Come mettere al sicuro i dipendenti
La gestione del ciclo di vita dei processi aziendali è parte integrante dell’integrità del dipendente. Per garantirne la sicurezza, HR si occupa delle procedure di screening dell’occupazione pre assunzione. Ovvero un controllo di farmaci, del credito e dei requisiti di autorizzazione di sicurezza.
E ancora, onde evitare assunzioni di possibili pericoli tra colleghi, prima dell’ingresso in azienda, la persona deve firmare documenti come NDA e assumere responsabilità di buona condotta nel rispettare il codice politico sui conflitti di interesse.
Solo in questo modo tutti i dipendenti saranno tutelati e si uniranno per la tutela dell’azienda.
Anche in fase di uscita del personale dall’azienda, il singolo deve sostenere un colloquio e HR revisionare il NDA e revocare il badge identificativo e gli effetti personali-aziendali.
Inoltre, le aziende aiutano a proteggere i propri dispositivi dall’accesso a siti indesiderati, tenendo sotto controllo i propri dipendenti.
E anche in questo caso HR e cybersecurity intervengono proprio quando è necessario collaborare con i CISO per impostare i criteri di profilazione dei gruppi e le configurazioni dei computer aziendali. Anche gli accessi ai file è limitato alla semplice consultazione e utilizzo dei dipendenti.
Parliamo ad esempio anche di Log Management, ovvero come i Data Log delle operazioni del personale interno siano un’importante fonte informativa che può essere utilizzata per eseguire indagini finalizzate al rilevamento di attività anomale della rete, specie quella locale (LAN).
La panoramica sopra descritta conferma la normativa privacy.
Ovvero abbiamo la conferma di come sempre più Paesi stiano implementando le normative nel pieno rispetto del GDPR.
E, ad oggi, possiamo confermare come HR, insieme al reparto IT, stiano sviluppando e aggiornando programmi di formazione sulla regolamentazione della privacy per i dipendenti e per i loro fornitori che interagiscono con i dati dell’organizzazione.