LA TUTELA DELLE INFORMAZIONI AZIENDALI (di Mirko Giuseppone)

La norma UNI 10459:2017, costituente la direttrice principale all’interno dei processi del security management, individua tra le principali attività del professionista della security la “tutela del know-how, segreto industriale e delle risorse immateriali” e la “protezione da spionaggio industriale”.
Il reato di spionaggio industriale, deducibile dall’art. 623 del Codice Penale per cui “…chiunque, avendo acquisito in modo abusivo segreti commerciali, li rivela o li impiega a proprio o altrui profitto…”, introduce il tema dei “segreti commerciali”. Questo, stando all’art. 98 del Codice di Proprietà Industriale: “le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:

• siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;
• abbiano valore economico in quanto segrete;
• siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete”.

Sono pertanto oggetto di tutela da parte della Aziende quelle informazioni che possono essere riconducibili alla definizione di cui sopra, ovvero aventi un ruolo rilevante nel raggiungimento negli obiettivi di business. Tuttavia è doveroso operare innanzitutto una distinzione tra le informazioni la cui tutela rappresenta un obbligo per l’Azienda, e quelle cui invece è una facoltà. Se le informazioni non vengono protette, nel primo caso si incombe in sanzioni sia amministrative che penali, nel secondo caso invece non vi saranno tali sanzioni ma sarà più difficile far valere i propri diritti sulle informazioni che sono state sottratte e/o usate in maniera non vantaggiosa per l’Azienda.
CONTESTO NORMATIVO DI RIFERIMENTO
Principalmente, rientrano nella tipologia di informazioni la cui tutela è un obbligo per l’Azienda quelle oggetto del: DPCM del 06 novembre 2015 n.5 concernenti le “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva”; Regolamento Generale per la Protezione dei Dati Personali n. 2016/679 (General Data Protection Regulation o GDPR); Testo unico delle disposizioni in materia di intermediazione finanziaria (o T.U.F.) e Regolamento (UE) N. 596/2014 sugli abusi di mercato (il c.d. M.A.R.) in riferimento alle c.d. “informazioni privilegiate” per le aziende quotate in borsa.
Vi sono invece delle informazioni per cui l’ordinamento non prevede specifici obblighi di tutela in capo all’Azienda, ma riconosce alla stessa il diritto di proteggere le informazioni che possano essere reputate come “segrete”. Tale diritto viene previsto sempre dall’art. 98 del Codice di Proprietà Industriale poiché “Costituiscono oggetto di tutela i segreti commerciali” (vds definizione di cui sopra). In altre parole è facoltà dell’azienda porre in essere le misure necessarie per proteggere le informazioni, ma quali misure? Eccezion fatta per le informazioni rientranti nel DPCM del 2015 (e per alcuni aspetti le informazioni privilegiate) dove vi sono specifici riferimenti normativi disciplinanti in maniera dettagliata le misure da implementare, quando si parla della tutela delle informazioni gli ordinamenti tendono per lo più a prevedere generici requisiti di sicurezza e strumenti giuridici a seguito di una violazione di sicurezza, e non degli strumenti operativi per prevenirle.
PRINCIPI GESTIONALI DI MESSA IN SICUREZZA DELLE INFORMAZIONI
Una efficace strategia di messa in sicurezza delle informazioni si articola nella definizione e adozione di norme e procedure, organizzative ed esecutive, nei settori delle abilitazioni di sicurezza, della sicurezza fisica, della tecnologia delle informazioni e delle comunicazioni.  Il concetto di sicurezza delle informazioni si sviluppa attorno a tre requisiti che devono essere mantenuti:

• Confidentiality: proteggere le informazioni da accessi non autorizzati;
• Integrity: impedire che le informazioni vengano modificate in modo non autorizzato o indesiderato;
• Availability: ovvero la capacità di poter accedere alle informazioni quando se ne ha bisogno.

Il principale strumento per supportare le organizzazioni nell’implementazione di tale strategia è la norma internazionale ISO/IEC 27001, la quale stabilisce i principi del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). Si riportano di seguito alcuni spunti per l’implementazione di un SGSI:

• Pianificazione del SGSI:
  • Definizione del campo di applicazione e della politica del SGSI in riferimento al business dell’organizzazione, alla sua localizzazione, a beni e tecnologia adottata;
  • Elaborazione di linee guida per la classificazione delle informazioni affinché le stesse ricevano un adeguato livello di protezione;
  • Definizione dell’approccio metodologico alla valutazione del rischio;
  • Identificazione e analisi dei rischi;
  • Identificazione delle possibili azioni per mitigare i rischi e scegliere le azioni da implementare.
• Attuazione del SGSI:
  • Formulazione ed esecuzione e di un piano di mitigazione del rischio che identifichi le azioni gestionali appropriate, le risorse, le responsabilità e le priorità per gestire i rischi riguardanti la sicurezza delle informazioni;
  • Erogazione di programmi di formazione e addestramento per lo sviluppo di una consapevolezza in tema di sicurezza delle informazioni;
  • Gestione delle risorse coinvolte nel SGSI;
• Monitoraggio e riesame del SGSI:
  • Esecuzione di procedure di monitoraggio e riesame per individuare errori nei risultati dei processi previsti del SGSI e consentire una pronta individuazione degli eventi relativi alla sicurezza e la reazione agli incidenti di sicurezza;
  • Conduzione di audit per verificare l’efficacia delle azioni intraprese;
  • Riesame delle valutazioni del rischio e delle misure di mitigazione;
• Mantenimento e aggiornamento del SGSI: ovvero individuazione, attuazione e monitoraggio delle azioni di miglioramento.

CONSIDERAZIONI
La tutela delle informazioni aziendali si configura pertanto come un processo volto a mitigare il rischio di sottrazione e/o utilizzo improprio/non autorizzato delle stesse. Trattandosi di un processo di mitigazione di uno specifico profilo di rischio, è bene ricordarsi, nella sua predisposizione e implementazione, che lo stesso deve operare all’interno del più ampio processo di Enterprise Risk Management posto in essere dall’Azienda. Una strategia di tutela delle informazioni aziendali definiti in assenza di un’analisi del contesto interno e esterno di riferimento, e che non prenda in considerazioni gli approcci e gli strumenti con cui l’Azienda vuole mitigare i rischi identificati, difficilmente potrà essere di successo.
Inoltre è bene ricordarsi che un efficace processo di security, soprattutto per quanto riguarda il tema in oggetto, non può prescindere da una visione sinergica delle misure di sicurezza fisiche, logiche e organizzative che saranno individuate e implementate. La tentazione di focalizzarsi su una sola tipologia di misure a scapito delle altre potrebbe produrre effetti non desiderati.  

Mirko Giuseppone
Physical Security