La ricerca Forcepoint fa chiarezza e scioglie molti dubbi nei miti del monitoraggio della forza lavoro

Forcepoint rilascia il Whitepaper “Managing Workforce Cyber Risk in a Global Landscape: A Legal Review” in collaborazione con Hogan Lovells

Il leader mondiale della sicurezza informatica Forcepoint ha annunciato di aver sponsorizzato uno studio approfondito in collaborazione con lo studio legale Hogan Lovells per esplorare potenziali problematiche nelle attività di monitoraggio della forza lavoro a livello mondiale e identificare le implicazioni legali di 10 diverse attività di monitoraggio attraverso 15 paesi. Managing Workforce Cyber Risk in a Global Landscape è un documento essenziale per qualsiasi organizzazione che pianifica e implementa programmi di protezione dei dati in cui il monitoraggio della forza lavoro sia un elemento.

Mentre le organizzazioni di tutto il mondo riesaminano i processi interni di gestione dei dati per conformarsi a nuovi e più severi regolamenti e linee guida come GDPR, la protezione dei dati personali dei clienti sta diventando una priorità sempre più alta. Un modo per gestire la protezione dei dati e difendersi dalle minacce interne ed esterne è monitorare l’utilizzo delle risorse informative. Il monitoraggio della forza lavoro rappresenta una sfida per i team legali, i dipartimenti delle risorse umane, i team IT e gli imprenditori, in quanto bilancia la necessità di protezione dei dati e IP con la privacy e i diritti legali dei propri dipendenti. Per qualsiasi organizzazione che lavori a livello internazionale, le diverse leggi in ogni paese pongono ulteriori sfide, costringendo le imprese a sviluppare policy multiple a seconda dell’ubicazione della loro forza lavoro.

“Mentre sviluppavamo i nostri programmi di security incentrati sull’uomo, abbiamo esaminato le nostre valutazioni di impatto sulla privacy / protezione dei dati (DPIA / PIA) e ci siamo resi conto che avevamo bisogno di ulteriori indicazioni legali”, ha dichiarato Allan Alford, CISO di Forcepoint. “Sapevamo che anche i nostri clienti avrebbero dovuto affrontare questa sfida, quindi abbiamo incaricato lo studio legale per la privacy e la conformità Hogan Lovells di intraprendere questo studio che oggi disponibile al pubblico.”

Leggi anche:  WESTPOLE mette al sicuro i propri sistemi e quelli dei clienti con Trend Micro

Si ritiene che lo studio sia il primo del panorama legale internazionale che si rivolge specificamente all’attuazione del programma di protezione dalle minacce informatiche derivanti dalla forza lavoro e offre una guida utile per coloro che sono incaricati di rivedere e perfezionare i programmi di conformità dell’organizzazione. Il team di Hogan Lovells, supportato da selezionate società di consulenza locali, ha ricercato e fornito indicazioni sulle tre principali aree del diritto che regolano i programmi di difesa informatica che coinvolgono il monitoraggio della forza lavoro: la privacy dei dati e le leggi sulla protezione dei dati; leggi sul segreto delle comunicazioni; e leggi sull’occupazione.

Con una serie di domande che le organizzazioni devono porsi insieme suggerite a misura della salvaguardia della privacy, lo studio offre una serie di best practice da seguire per qualsiasi organizzazione e informazioni specifiche sui requisiti in quindici paesi diversi.

I cambiamenti nel panorama delle minacce e i nuovi regolamenti sono i driver delle esigenze di monitoraggio della forza lavoro

Gli strumenti tradizionali non riescono a fornire informazioni contestuali sul rischio umano e quindi la domanda delle organizzazioni di comprendere i comportamenti informatici, ossia di analizzare il punto di interazione di utenti, dati e reti – sta crescendo.

“Numerosi eventi recenti hanno dimostrato come gli incidenti informatici possono interrompere le operations, danneggiare la reputazione ed esporre le organizzazioni a conseguenze normative e contenziosi privati”, ha dichiarato Harriet Pearson, partner di Hogan Lovells. “La forza lavoro di un’organizzazione è una fonte di rischio in questo contesto, indipendentemente dal fatto che tale rischio derivi da intenti involontari o maliziosi. Per rilevare, prevenire e mitigare efficacemente gli effetti degli incidenti informatici, le organizzazioni devono affrontare sia le minacce interne che quelle esterne e ciò che vediamo lavorando con i clienti di diversi settori è che uno dei modi per attenuare efficacemente questo rischio è monitorare il modo in cui gli utenti interagiscono con dati critici e risorse informative. ”

Leggi anche:  Cyber security, l’unione fa la forza

Comprendere le differenze a livello internazionale

Il monitoraggio della forza lavoro differisce in complessità tra i 15 paesi esaminati nel white paper, e Hogan Lovells ha dato un punteggio complessivo allo sforzo di conformità legale richiesto in ogni paese. In alcune giurisdizioni, le organizzazioni hanno un’ampia autorità per monitorare l’utilizzo delle risorse informative da parte della forza lavoro. In altri, le organizzazioni potrebbero dover evitare di elaborare comunicazioni personali e avrebbero la possibilità di analizzare comunicazioni e informazioni private solo laddove vi siano ragionevoli sospetti di cattiva condotta.

Molti paesi richiedono che i programmi di monitoraggio della forza lavoro vengano attuati solo previa consultazione e consenso dei rappresentanti della forza lavoro o dei singoli dipendenti.

Negli Stati Uniti, ad esempio, la legge federale prevede che le organizzazioni siano esenti da responsabilità nella misura in cui monitorano i loro sistemi di informazione a fini di sicurezza informatica. In Finlandia o in Italia, tuttavia, ai datori di lavoro è generalmente vietato l’accesso ai contenuti delle comunicazioni inviate o ricevute dai dipendenti.

“Qualsiasi programma di monitoraggio della forza lavoro deve essere proporzionato, rispettoso e trasparente per garantire la fiducia continua della forza lavoro”, continua Alford. “È un atto di bilanciamento attento: i dipendenti e i datori di lavoro devono collaborare per proteggersi a vicenda. Vogliamo tutti una migliore protezione per noi stessi e le nostre informazioni e dati importanti, ma monitorare quando, come e perché i dipendenti interagiscono con vari dati aziendali ha implicazioni sulla privacy chiare e importanti.”