Da giugno 2023, la legge per migliorare la sicurezza degli Whistleblower (HinSchG) stabilisce uno standard da seguire non solo in Germania, dove è legge effettiva, ma in tutta l’Unione Europea. Tale legge ha efficacia su tutte le organizzazioni con almeno 249 dipendenti e da dicembre si espanderà per comprendere anche le organizzazioni con almeno 49 dipendenti. Vengono qui descritti i requisiti specifici per consentire ai dipendenti di denunciare attività non in conformità con la sicurezza aziendale, comprendendo sia il reporting interno all’organizzazione sia il reporting esterno a un ente governativo. In ogni caso, i dipendenti devono poter utilizzare i canali appositamente creati per tutelare la loro riservatezza. Al contempo, alle aziende è vietato effettuare ritorsioni contro i dipendenti che segnalano violazioni, comprese quelle aziendali, qualora la violazione rappresenti una minaccia per l’interesse pubblico. 

PMI 

Viene messo il limite di 249 dipendenti per far si che la legge protegga i dipendenti come obiettivo primario, cosa che poi però si espande anche alle aziende con almeno 49 dipendenti a dimostrazione del fatto che la questione è sempre più urgente. La maggior parte delle aziende infatti, dovrà stabilire i canali attraverso i quali i dipendenti potranno effettuare segnalazioni e incaricare un dirigente della responsabilità di affrontare le stesse. Il tutto nel modo più rapido possibile. 

Per intenderci meglio, di seguito alcuni esempi di canali che le organizzazioni potranno implementare nella loro rete: 

  • Una casella di posta adibita, che accetti invii anonimi; 
  • Un numero di telefono adibito; 
  • Incontri personali con i decision-makers; 
  • Un sistema come Hintbox o Whistleblower Software. 

Fondamentale è anche la formazione per chi dovrà prendersi carico della responsabilità di tali segnalazioni.

Quali violazioni possono essere segnalate?

Ogni tipo di violazione potrebbe essere inclusa nelle segnalazioni, ma chiaramente le organizzazioni dovranno verificarne la validità e la rilevanza legale a intendere che non tutte verranno automaticamente prese in carico per un’indagine vera e propria. Per intenderci al meglio, di seguito un elenco delle segnalazioni più comuni: 

  • Frode; 
  • Abusi; 
  • Corruzione; 
  • Violazioni del codice fiscale; 
  • False richieste di risarcimento sanitario o assicurativo; 
  • Violazioni alla normativa; 
  • Violazioni delle policy di sicurezza informatica.

Il caso  Uber

Uber, quello che tutti conosciamo, è un esempio concreto di come le violazioni portino a frodi. Nel novembre 2016, infatti, alcuni hacker hanno violato il database di Uber, minacciando la società di renderli pubblici a meno che non avessero ricevuto un riscatto. Purtroppo, i dirigenti di Uber decisero di pagare il riscatto senza denunciare l’incidente come previsto alla legge. Nell’ottobre 2022 però, una giuria ritenne Sullivan, responsabile della sicurezza dell’azienda, colpevole di aver ostacolato un’indagine attiva e di aver nascosto una violazione di dati. Ecco qua l’esatto scenario che la legge sul Whistleblowing si prefigge di evitare: se il team di sicurezza di Uber si fosse sentito a proprio agio nel segnalare il fatto, appena verificato, tutto ciò che ne è derivato dopo, forse, non si sarebbe mai verificato.  

Coltivare una  cultura di sicurezza

Cosa comporta tutto ciò? In primis che ogni capo della sicurezza dovrà rivedere attentamente le proprie politiche e la tecnologia che le supporta: qualsiasi sistema che non riesca a proteggere i dati e la privacy degli utenti potrà infatti, essere oggetto di una segnalazione da parte di un informatore. Nella migliore delle ipotesi, gli informatori segnaleranno le violazioni della sicurezza internamente, dando all’organizzazione il tempo di implementare le modifiche e colmare le lacune di sicurezza, ma potrebbero anche scegliere di riferire il tutto direttamente alle agenzie governative. A quel punto ne deriverebbe un’indagine dispendiosa in termini di tempo che si tradurrebbe sicuramente in sanzioni. E’ perciò fondamentale capire che i datori di lavoro non possono dettare dove i dipendenti devono presentare le loro relazioni. Possono e devono però incoraggiarli a compilare report interni e coltivare così una cultura di sicurezza sul posto di lavoro che valorizzi e premi la sicurezza. 

Play Video

Prova gratuitamente BlackFog per 30 giorni

Prova BlackFog gratuitamente su un massimo di 25 devices. Richiedi ora l’installazione guidata.

Compila il form per avere maggiori informazioni su BlackFog

Articolo originale: The state of Ransomware 2023 – Autore: Brenda Robb

Traduzione e riadattamento da parte di CIPS Informatica - BlackFog - © Copyright 2023 BlackFog

Torna in cima