Articoli

Classificazione dei documenti e privacy

Argomento:

In ambito aziendale un aspetto molto importante relativo alla gestione della sicurezza è rappresentato dalle informazioni che circolano attraverso i documenti, sia digitali che cartacei. Molto spesso però le aziende non adottano metodi specifici per la classificazione dei documenti. La segregazione delle informazioni tra uffici e/o settori è un aspetto che non va sottovalutato: spesso, anzi, potrebbe essere l’ultima arma di salvezza contro attacchi di social engineering.

La classificazione dei documenti in Italia non ha uno standard di riferimento tranne per i casi in cui l’azienda in questione operi in settori governativi e/o militari. Spesso le aziende si basano sulla legge della privacy D. Lgs 196/2003 per la gestione delle informazioni al di fuori e dentro l’azienda, ma purtroppo non è sufficiente.

 

È importante stabilire uno standard di riferimento e classificare le informazioni utilizzando delle regole precise e obblighi da parte dei dipendenti. Molto spesso si ha la sicurezza di avere sotto controllo i documenti che circolano in azienda, affidando il compito al software di gestione documentale, che ha al suo interno la suddivisione di gruppi e regole di accesso ai file aziendali.

Ad ogni modo, si corre il rischio che un dipendente che non ha la conoscenza del grado di riservatezza del documento con cui sta lavorando possa inavvertitamente e/o volontariamente inviarlo a terzi tramite posta elettronica, cadendo in una possibile violazione della riservatezza.

 

È dunque necessario informare (e formare) i dipendenti e classificare i documenti per una più sicura gestione delle informazioni. È consigliabile utilizzare poche categorie di riservatezza per non confondere il personale con troppe etichette da ricordare. Di seguito alcuni gradi di classificazione più usati:

 

  • Public
  • Internal use
  • Confidential
  • Secret

 

Nessuno vieta di creare, a partire da queste macro categorie, dei sottoinsiemi che permettano di dettagliare i diritti di accesso alle informazioni presenti nel documento.
A livello internazionale il National Institute of Standards and Technology (NIST) ha creato diversi documenti molto interessanti con cui cerca di dare delle linee guida per facilitare il compito della gestione della sicurezza delle informazioni in azienda. Di seguito dei documenti interessanti realizzati dal NIST per un uso governativo e militare, ma che possono comunque dare un aiuto per iniziare a creare un piano di classificazione:

 

 

Un altro documento utile è l’Information Security Classification, realizzato da Stephan Freeman (Information Security Manager) per la London School of Economics & Political Science, che fornisce un valido sussidio alla classificazione dei documenti.

 

 

Fabio Natalucci, blogger ed esperto di sicurezza informatica