Vista l’importanza dell’argomento, ci sono delle specifiche linee guida e politiche per l’uso dell’ICT, delle regole chiare che forniscono uno standard che deve essere seguito dagli utenti e disciplinano l’utilizzo delle tecnologie informatiche e delle telecomunicazioni (ICT) per preservare i dati, personali e aziendali, dal furto, dallo smarrimento e da un utilizzo non consentito. Assicurano una posizione chiara su come dovrebbe essere usata l’ICT per assicurare la protezione dei dati aziendali. In questo modo le aziende (come i privati) possono tutelarsi e devono, a loro volta, tutelare i propri dipendenti, clienti e fornitori.
Alcune di queste linee sono:
Non lasciare che i dettagli dei principali conti aziendali siano di pubblico dominio, così che i frodatori possano ottenere dettagli sufficienti per intaccarli.
Predisporre un’accurata politica di gestione e archiviazione dei documenti: è il primo passo per proteggere l’azienda e i dipendenti contro il furto di identità.
Distruggete tutti i documenti riportanti dati sensibili: le aziende hanno il dovere di conservare e proteggere le informazioni dei propri clienti e dei propri dipendenti oltre che l’obbligo. Abbiamo visto che in Italia è in vigore il Decreto Legislativo n. 5 del 9 febbraio 2012 che dichiara che “chiunque per motivi professionali conserva o tratta dati sensibili altrui (e quindi, tutte le organizzazioni, le aziende, gli enti pubblici, i professionisti …) è soggetto alle cautele e agli obblighi previsti dalla legge in quanto responsabile civilmente e penalmente anche in modo oggettivo di ogni danno cagionato al titolare o a terzi da un trattamento non corretto; il trattamento dei dati è considerato un’ attività pericolosa e come tale gode dell’inversione dell’onere della prova (art. 2050 Codice Civile): è il responsabile del trattamento dei dati che ha l’onere di dimostrare il corretto utilizzo per evitare di incorrere in sanzioni civili e penali. L’ufficio del Garante della Privacy può richiedere alle autorità di polizia di effettuare controlli e le sanzioni per il mancato rispetto della legge possono arrivare a 80.000 euro (articoli da 161 a 172 del decreto). La legge elenca 17 possibili operazioni di trattamento dei dati. In particolare, i dati su supporti cartacei o multimediali una volta cessato il trattamento devono essere distrutti
(art. 16, c. 1-a). Distruggere i supporti, cartacei e non, è infatti il modo migliore per evitare che i criminali possano avere accesso ai dati sensibili.
Mettere i dipendenti a conoscenza dei rischi di frode di identità aziendale: questo può garantire che rimarranno vigili.
Assicurarsi che la procedura di gestione dei documenti sia comunicata e correttamente eseguita da tutti i dipendenti. Fare in modo che siano cauti nel fornire le informazioni dell’azienda on-line o via telefono, verificando con chi effettivamente hanno a che fare.
Assicurarsi che il sistema operativo antivirus e firewall (che vedremo nei capitoli successivi) siano tenuti aggiornati. In questo modo i dipendenti possono aprire in sicurezza gli allegati delle e-mail ricevute.