Offboarding dei dipendenti: benvenuti al nostro dodicesimo appuntamento sulle linee Guida ENISA che riguarda la sicurezza delle risorse umane.
La sicurezza aziendale non riguarda solo l’assunzione; i momenti di cambiamento di ruolo o cessazione del rapporto di lavoro rappresentano il picco del rischio operativo e informatico. Le best practice richieste dal mercato, e formalizzate dalla Direttiva NIS2, impongono di gestire questi passaggi critici in modo rigoroso per prevenire fughe di dati e accessi non autorizzati.
Dimostrare un processo strutturato di Offboarding dei Dipendenti ti qualifica come un partner maturo, capace di controllare il rischio umano fino all’ultimo giorno.
Vediamo quindi le regole stabilite dalle linea guida ENISA per eseguire una cessazione del rapporto di lavoro sicura.
Per approfondire > Sicurezza Risorse Umane e NIS2: la verifica del background è la prima misura necessaria
Protocolli di offboarding dei dipendenti: cessazione e modifica del ruolo (mitigazione del rischio)
Il trasferimento o la cessazione di un dipendente richiede un protocollo check-list impeccabile per garantire che le responsabilità di sicurezza non vengano interrotte e che i beni aziendali siano protetti. In particolare è importante rispettare i seguenti punti:
- responsabilità post-impiego: devi garantire che le responsabilità e i doveri di sicurezza che rimangono validi dopo la cessazione (es. clausole di riservatezza, accordi di non divulgazione) siano definiti e applicati contrattualmente.
- revoca tempestiva degli accessi: la revoca dell’accesso alla rete e ai sistemi informativi deve avvenire tempestivamente in caso di cessazione o cambio di ruolo.
- trasferimento di responsabilità: devi identificare e trasferire a un altro individuo i ruoli e le responsabilità in materia di sicurezza ricoperte dalla persona uscente.
- restituzione dei beni: devi identificare e documentare tutti i beni aziendali (dispositivi, token, chiavi) da restituire.
Suggerimento operativo: conduci colloqui di uscita approfonditi (exit interviews) per ricordare ai dipendenti che stanno cambiando lavoro le loro responsabilità in materia di sicurezza e per raccogliere informazioni utili al miglioramento.
Processo disciplinare: gestione delle violazioni di sicurezza
Il Processo Disciplinare è la procedura formale e documentata, resa obbligatoria dalle linee guida ENISA, stabilita per gestire le violazioni delle politiche di sicurezza della rete e dei sistemi informativi.
Questo processo non è solo punitivo, ma è una componente essenziale della governance di sicurezza, con un duplice obiettivo:
- deterrenza e responsabilità: Ritenere i dipendenti responsabili delle violazioni (azioni dolose o negligenze), fungendo da deterrente contro future non conformità e rafforzando la cultura della sicurezza;
- conformità legale: garantire che qualsiasi azione intrapresa (sanzione o richiamo) sia trasparente e rispetti i requisiti legali, statutari e contrattuali vigenti (incluse le normative sul lavoro e il GDPR).
Il processo disciplinare si integra con la gestione generale del personale e si estende al processo di offboarding per gestire le violazioni che si verificano anche al termine del rapporto lavorativo. Deve essere formalmente documentato, comunicato a tutti i dipendenti e mantenuto (rivisto e aggiornato regolarmente) per restare efficace e applicabile.
Criteri di Implementazione: i fattori chiave per la trasparenza procedurale
Per assicurare che il processo disciplinare sia equo, conforme e funga da deterrente efficace, la tua PMI deve seguire i seguenti criteri di implementazione e valutazione:
- trasparenza e forma: devi stabilire, comunicare e mantenere un processo disciplinare formale per la gestione delle violazioni delle politiche di sicurezza. Il processo deve essere allineato ai requisiti legali e contrattuali;
- coinvolgimento HR e legale: è cruciale coinvolgere i reparti Risorse Umane (HR) e Legale per garantire che l’attuazione sia in linea con le leggi sul lavoro e la protezione dei dati;
- analisi della violazione: il processo disciplinare deve considerare la natura e la gravità della violazione, se l’infrazione è stata intenzionale o accidentale e se si tratta di una prima infrazione o di una recidiva;
- revisione e aggiornamento: il processo deve essere riesaminato e aggiornato regolarmente per tenere conto dei cambiamenti legali e operativi;
Evidenze documentali per il controllo del rischio
Per dimostrare la corretta gestione dell’offboarding dei tuoi dipendenti, la tua PMI deve poter fornire le seguenti prove agli auditor interni e ai partner commerciali:
- clausole contrattuali: documenti (contratti, accordi di non divulgazione) che delineino le responsabilità e i doveri validi dopo la cessazione;
- registri di revoca degli accessi: registrazioni che confermino la tempestiva revoca dei diritti di accesso ai sistemi e alle facility;
- liste di controllo (Check-list) standardizzate: documenti utilizzati durante il processo di cessazione per garantire che siano stati compiuti tutti i passi necessari (revoca accessi, restituzione beni, exit interview);
- documentazione disciplinare: registri di eventuali violazioni delle politiche e delle relative azioni disciplinari intraprese, che dimostrino l’aderenza al processo formale.
Una gestione rigorosa delle procedure di offboarding dei dipendenti è vitale per mitigare due rischi principali: rischio interno residuo e perdita di dati.
Vuoi formalizzare le tue procedure e dimostrare la tua affidabilità? Contattaci subito!
