NEWS

Tutela della riservatezza delle informazioni aziendali e ISO 27002:2022: le misure di sicurezza per i trattamenti di dati personali verbali

A febbraio di quest’anno è stata pubblicata la nuova versione della ISO/IEC 27001:2022. Il documento ha riorganizzato i controlli, ne ha introdotti di nuovi, e ha integrato la parte relativa alle Linee Guida con nuove indicazioni. Tra queste alcune riguardano i trattamenti verbali come parte integrante del controllo 5.14 “Information transfer control”. In questo articolo si approfondirà questo tema, con un’attenzione specifica alle indicazioni provenienti dalla ISO/IEC 27002:2022, indicazioni che sono da considerarsi integrative ad altre misure.

 Monica Perego

(Nella foto: l'Ing. Monica Perego, è docente al Corso 'Sistemi di Gestione della sicurezza delle informazioni')

Il trasferimento di informazioni secondo la ISO/IEC 27002:2022 – controllo 5.14 - Nel controllo 5.14 “Information transfer control” si analizza il trasferimento delle informazioni; si tratta, stando alla descrizione degli attributi riportati nella descrizione, di un controllo di tipo “preventivo”, volto a tutelare dalla perdita di integrità, riservatezza e disponibilità, ed afferisce ai domini di sicurezza “difesa e “protezione”.

In sintesi, esso prevede che l'organizzazione, in relazione al trasferimento delle informazioni, dovrebbe stabilire e comunicare una politica mirata che comprenda regole, procedure e accordi per proteggere le informazioni in transito a tutte le parti interessate rilevanti, e dovrebbe essere coerente con l’etichettatura delle informazioni trattate (controllo 5.13 “Labelling of information”) e classificate (controllo 5.12 “Classification of information”). Ove le informazioni vengano trasferite tra l'organizzazione e terze parti, gli accordi di trasferimento (compresa l'autenticazione del destinatario), dovrebbero essere stabiliti, documentati ed aggiornati, quando il caso, per proteggere le informazioni in tutte le forme in transito, per mezzo di ogni possibile modalità (vedi 5.10 “Acceptable use of information and other associated assets”).
Il controllo considera il trasferimento di informazioni tramite modalità elettronica, supporti di archiviazione fisici e trasferimento verbale; come indicato in premessa, quest’ultimo aspetto è l’oggetto dell’approfondimento qui trattato.

Il trasferimento delle informazioni verbali secondo la ISO/IEC 27002:2022 – controllo 5.14 - Per proteggere il trasferimento verbale di informazioni, occorre adottare una serie di misure quasi esclusivamente di natura organizzativa che prevedano l’istruzione del personale in merito a:

- non avere conversazioni verbali riservate in luoghi pubblici o comunicazioni tramite canali che possono essere ascoltati da persone non autorizzate;
- non lasciare messaggi tramite sistemi di messaggistica istantanea o le ormai superate segreterie telefoniche o ancora tramite i gettonatissimi gli assistenti vocali; tali messaggi non solo possono essere ascoltati da malintenzionati, ma possono essere riprodotti da persone non autorizzate, memorizzati e/o archiviati per essere conservati, comunicati o diffusi anche in tempi diversi da quelli in cui sono stati raccolti;
- essere protetti in modo appropriato, assicurandosi che siano prese adeguate misure per proteggere il locale nel quale avviene la conversazione (ad es. insonorizzazione, porta chiusa);
- prima di dare inizio ad eventuali conversazioni sensibili avvertire i partecipanti in merito a comportamenti non concessi o comportamenti e azioni di cui sono responsabili (disclaimer) affinché i presenti conoscano il livello di classificazione delle informazioni che verranno trasmesse e qualsiasi altra misura da applicare in relazione a quanto stanno per ascoltare.

Un buon regolamento azienda dovrebbe prevedere di evitare conversazioni in locai pubblici o aree aperte al pubblico


E ancora, per quanto ciò non sia indicato nella Linea Guida:

- preferire conversazioni all’aperto piuttosto che in ambienti chiusi;
- evitare conversazioni in locai pubblici o aree aperte al pubblico;
- il disclaimer con il quale si dà inizio alla conversazione potrebbe prevedere che i cellulari siano spenti e lasciati al di fuori del locale dove la stessa avviene;
- riconoscere e porre attenzione a tecniche manipolatorie - social engineering - da parte dell’interlocutore, finalizzate a “catturare informazioni”;
- prestare un “ascolto attivo” per raccogliere sia segnali verbali che para-verbali del proprio interlocutore.

Dove riportare le regole? - Il supporto naturale per riportare le regole è il regolamento (istruzioni) per gli autorizzati (previsto dall’art. 29 del REG. UE 2016/679), che deve essere rivisto ed aggiornato ad intervalli e distribuito agli autorizzati (per la ISO/IEC 27001:2013 distribuito a tutti quelli che trattano dati e non solo a quelli che trattano dati personali). Ma ciò non basta: il documento deve essere anche supportato da adeguata formazione che favorisca la consapevolezza del personale.

Quali azioni di formazione per il personale? - Affinché i collaboratori di un’organizzazione siano resi consapevoli dei rischi connessi ai trasferimenti verbali è opportuno che la formazione dedicata a questo tema sia particolarmente incisiva; perché ciò avvenga devono essere attuate delle strategie opportune che coinvolgano attivamente gli allievi. Tali strategie possono comprendere:

- formare gli allievi sulle specificità dell’ascolto attivo; prestare molta attenzione a ciò che dice la persona con cui ci si confronta; mantenere un contatto visivo ed una posizione del corpo aperta; sedersi accanto e inclinati verso la persona, piuttosto che direttamente di fronte a lei, anche se la persona è in piedi, per non apparire minaccioso; evitare di agitarsi, ecc.;
- stabilire insieme agli autorizzati le regole (sotto forma di regolamento o parte del regolamento) da seguire durante la sessione di formazione, in modo che essi siano attori della stessa; in alternativa leggere e commentare le regole che dovranno seguire, per aumentare il loro coinvolgimento;
- esporre casi ed esempi, riconducibili al contesto aziendale, di trattamenti verbali impropri o lesivi (compresi eventuali casi che si siano effettivamente verificati), in modo da far percepire quanto le minacce siano reali.

Conclusioni - I trattamenti verbali, da parte di molti esperti di protezione dei dati, non sono stati considerati come meritevoli di attenzione. Finalmente la ISO/IEC 27002:2022 mette in luce le criticità potenziali insite in tali trattamenti e fornisce strumenti per ridurre l’impatto, che ovviamente, come del resto insito nel principio dell’accountability, è da considerare in relazione al contesto in cui opera l’organizzazione.

Nota: le parti della Linea Guida riportate nel testo dell’articolo sono state liberamente tradotte ed adattate dall’autrice; si ricorda che la Linea Guida è acquistabile sul sito www.uni.com.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy - Twitter: monica_perego

Prev Il registro dei visitatori: un trattamento di dati personali spesso non considerato
Next La dismissione dei componenti hardware a norma di Gdpr

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy