Share This Post

Travel management

Data Travel, GDPR e Sicurezza Aziendale: il Travel Manager può fare la differenza

Data Travel, GDPR e Sicurezza Aziendale: il Travel Manager può fare la differenza

Sono molti i manager, responsabili di politiche di trasferte aziendali e travel mobility manager, che ieri sera hanno partecipato all’evento organizzato dalla community di Travel for business in collaborazione con IH Hotels e Worldshotels.

Tema dell’incontro:  Vulnerabilità dei Viaggi di lavoro sotto il profilo del cyber security, ma anche di cyber difesa, cyber spionaggio e gestione e sicurezza dei dati aziendali.

Rosemarie Caglia, CEO Travel for business

Il contesto globale in cui stiamo vivendo, così come lo sviluppo dell’economia digitale sta rendendo la vulnerabilità delle imprese una vera e propria emergenza.

Secondo uno studio di PWC, il cybercrime è oggi il 4° crimine economico, con una dimensione di “fatturato” di oltre 100 miliardi di dollari all’anno, superiore a quello dello spaccio di droga, traffico degli esseri umani e di armi.

Le nuove forme di lavoro “agile” così come i viaggi d’affari sono i più colpiti da questi fenomeni poiché il mondo del Cybercrime e quello del Cyber Espionage hanno compreso, abbastanza di recente, quanto sia più «comodo” e semplice violare gli hotel o gli spazi comuni -aeroporti, centri congressi- dove i viaggiatori d’affari si recano frequentemente. Rubare a questi soggetti è quindi diventato spesso un “gioco da ragazzi”.

Uno dei rischi che tocca in particolare il mondo dei viaggiatori d’affari è che il 40 percento dei problemi sulla sicurezza informatica sono causati da errori di terze parti. Immaginate quante “terze parti” ci siano in un processo di gestione dei viaggi di lavoro di un’azienda: dal momento in cui si inizia a programmare una trasferta, al momento in viaggio utilizzando i vari servizi incluse le app, fino a quando si rientra in sede.

Quanto il fattore umano e i processi aziendali sono l’anello debole della protezione dei dati aziendali?

Su questo tema è intervenuto l’Ing. Guido Savio, consulente dei processi aziendali, che ha spiegato come la disattenzione o spesso il comportamento delle persone che viaggiano per lavoro sono gli elementi più critici di questo fenomeno e che più in generale la mobilità dei dipendenti può dimostrarsi disastrosa se non è gestita.

Oltre il 35 per cento delle aziende ha infatti citato lo smarrimento di laptop o di altri dispositivi mobili come principale causa della violazione dei dati e che questi smarrimenti avvengono spesso durante un viaggio di lavoro.

Savio ha sottolineato che in una logica di Sicurezza aziendale bisogna esaminare l’intero processo End to End: “non c’è un unico punto da guardare, ma il processo deve essere il più sicuro dall’inizio alla fine. Perché se è sicuro in tutti i punti tranne uno, è certamente possibile che quell’uno possa determinare un potenziale problema serio. E poi bisogna gestire la pressione normativa di legge nazionale e internazionale perché deve essere vissuto come un momento di gestione manageriale per rafforzare la propria sicurezza aziendale”.

Dal punto di vista del travel, che è l’unione di congiunzione tra sicurezza e business dell’azienda, Savio afferma che è necessario:

  1. Sensibilizzare i viaggiatori sui rischi
  2. Misurare la compliance alla travel e security policy
  3. Utilizzare IT per aumentare la protezione in viaggio

Il Travel manager, quindi, è attore fondamentale in questo processo aziendale a cui non si può certo oggi sottrarre: “l’area della mobilità  è una delle più importanti da tenere sotto controllo per la gestione della sicurezza aziendale”, ha concluso Savio.

Profili informatici del business traveller

L’Ing. Roberto Obialero di Clusit, – la più numerosa ed autorevole associazione “no-profit” italiana nel campo della sicurezza informatica – nel secondo intervento ha posto l’accento sulle Policy & procedure di sicurezza, sulla Security Governance e sulla misura di sicurezza tecnologiche su server ed applicazioni.

Interessante la suddivisione dei cinque profili informatici dei business traveller, dove Obialero ha indicato quali tipi di rischio incorre ognuno dei profili sotto indicati:

  • C- Level > dati aziendali strategici (acquisizioni, fusioni, quotazione in borsa, partnership, lista clienti)
  • Forza commerciale > dati aziendali (strategie di marketing, determinazione listini prezzi, lista prospect e clienti, partnership)
  • Responsabili aziendali > dati proprietà intellettuale (formulazione prodotti e servizi, tecniche di produzione, attività di ricerca)
  • Referenti HR e legali > dati personali (sensibili con impatto privacy relativi a dipendenti e collaboratori)
  • Tecnici di assistenza > dati proprietà intellettuale (architetture, formulazione prodotti, disegni tecnici)

Le principali minacce per i business traveller:

  • Furto del dispositivo
  • Intercettazione delle comunicazioni e furto di credenziali
  • Infezione da malware
  • Spionaggio tramite Social Media
  • Spear Phishing
  • Uso non autorizzato del dispositivo

Obialero ha concluso il suo intervento indicando alcuni suggerimenti importanti per i Travel Manager, sottolineando anche lui l’importanza di questo ruolo nella gestione della sicurezza informatica.
In particolare ha evidenziato come il Travel e Mobility Manager debba,  attraverso un’azione mirata di condivisione e supporto della funzione aziendale preposta alla sicurezza ICT nel contesto di business e degli scenari di utilizzo, verificare e rendere coerente le travel policy per l’uso dei dispositivi mobili ed infine essere capace di progettare interventi di formazione coinvolgenti con la popolazione viaggiante.

Travel Policy e Data Protection by design

L’intervento finale è stato quello dell’Avvocato Chiara Ponti, del Centro Studi di Informatica Giuridica di Ivrea-Torino (CSIG) –  un’associazione indipendente che ha come mission l’aggiornamento professionale, studio, approfondimento dell’evoluzione dei diritti digitali, dell’ICT e dell’Informatica Giuridica a livello locale e nazionale.

Con le nuove direttive del GDPR –  le cui norme saranno applicate da maggio 2018- , l’Avvocato ha messo l’accento su come il nuovo Regolamento in tema di protezione dei dati riguardi molto da vicino anche i viaggiatori di un’impresa.

La Travel Policy dovrà quindi seguire un processo di assessment e di valutazione secondo l’approccio “data protection by design”.

Per una corretta gestione dei viaggi d’affari, ad esempio si dovranno identificare, formalizzare e mantenere la mappatura dei ruoli del business traveller con le responsabilità organizzative in ambito Data Protection, ma anche definire le misure di sicurezza (tecniche e organizzative) idonee in relazione alla valutazione del rischio.

Ai fini privacy nel pacchetto «comodo viaggio» – si deve prevedere il sistema di protezione dei dati, anche secondo i criteri di Condotta e Responsabilità del viaggiatore d’affari come ad esempio l’Obbligo di diligenza e fedeltà, Custodia e trattamento dei dati, Mancanza di diligenza nello svolgimento delle attività.

Conclusioni

È possibile che molte aziende debbano attuare cambiamenti notevoli, che potranno impattare l’organizzazione nel complesso ma anche specifiche aree come quella della mobilità aziendale.

L’evento di ieri sera vuole quindi indicare come l’approccio del Travel Manager debba essere orientato su un rapporto di stretta collaborazione e condivisione con tutta l’organizzazione aziendale in tema di DATA Travel.
Non un semplice esercizio, ma un’occasione per valorizzare il ruolo del Travel e Mobility Manager nel suo complesso.

 

Presentazioni disponibili registrandosi –  disponibile in versione PC

Autorizzo al trattamento dei dati personali (richiesto)

  Iscriviti alla newsletter

Share on FacebookShare on LinkedInShare on Google+Pin on PinterestTweet about this on TwitterEmail this to someone

Share This Post

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>