Cyber Crime Conference 2019 – Aperte le Iscrizioni
11 Aprile 2019
WatchGuard va in aiuto degli MSP con una piattaforma cloud di gestione dei servizi di sicurezza
12 Aprile 2019

Sicurezza e selezione del personale

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000.

In merito di selezione del personale, la ISO/IEC 27001 e la ISO/IEC 27002 dedicano il controllo 7.1.1 con titolo, in inglese, “Screening”.

Il controllo prevede, semplificando, due sotto-controlli per la selezione del personale: la verifica delle competenze e la verifica delle caratteristiche personali. Nel seguito sono fornite alcune riflessioni.

Verifica delle competenze

Prima di inserire persone in alcuni ruoli, è necessario verificarne le competenze.

Vale la pena ricordare che è opportuno stabilire preliminarmente quali competenze sono necessarie e selezionare persone con quelle (o simili) competenze  o con attitudini tali per cui possono, in tempi e modi da stabilire, acquisirle. Per maggiore sicurezza, si consiglia sempre di chiedere copia dei certificati di competenza dichiarati nel CV.

La richiesta e la verifica delle competenze possono però essere impossibili per aziende molto piccole. In questo caso bisogna seguire lo stesso criterio per cui si scelgono i dentisti (passaparola o parentela) o ci si può rivolgere ad agenzie di selezione del personale (alternativa sicuramente consigliabile per quasi tutte le organizzazioni medio-piccole, dove per ogni ruolo è prevista una sola persona, spesso non formata per valutare le competenze necessarie ad altri ruoli).

Va ricordato che il Provvedimento del Garante cosiddetto “Amministratori di sistema” richiede che, prima di designarli, vanno valutate le competenze (oltre che l’affidabilità) degli amministratori di sistema. La valutazione delle competenze, se fatta non solo per rispettare il dettato normativo, non deve ridursi agli amministratori dei sistemi informatici, ma deve considerare anche altri ruoli. Per esempio, vista l’importanza della contabilità, anche la persona addetta a tale settore deve avere le opportune competenze.

Verifica delle caratteristiche personali

Parte delle cosiddette caratteristiche personali riguardano le cosiddette “soft skill”. Si tratta di competenze sociali,  capacità di comunicazione, tratti caratteriali, attitudini, capacità di relazione con i collaboratori, livello di intelligenza emotiva, eccetera. Solitamente un colloquio di persona può far capire se il candidato ha le giuste caratteristiche per entrare positivamente nel nuovo gruppo di lavoro. Alcuni sono molto bravi a intuire le caratteristiche personali dei candidati, altri non lo sono e poi si ritrovano con collaboratori inadeguati; è bene che questi ultimi riconoscano questa loro incapacità e, durante i colloqui, richiedano il supporto di altri.

Altre caratteristiche personali sono quelle relative all’affidabilità (come richiesto anche dal Provvedimento “Amministratori di sistema”). Questa è molto difficile da valutare e spesso questo compito è demandato all’analisi del curriculum (per esempio, identificando se alcune voci possono segnalare cambi troppo frequenti di datori di lavoro e interruzioni non amichevoli dei rapporti, oppure se la redazione indica disattenzione o sciatteria).

Molti vorrebbero condurre analisi dei precedenti penali o indagini sulla posizione economica del candidato. Sebbene il GDPR vieti, per esempio, la raccolta di dati relativi ai precedenti penali (tranne che per chi è obbligato dalla normativa vigente a trattare questi dati), molte organizzazioni hanno cercato di interpretarlo in modo “flessibile”.

La valutazione dell’affidabilità di una persona sulla base dei precedenti penali (e anche di problemi economici) è fondata su errori tecnici ed etici approfonditi nei due capoversi successivi e pertanto sconsiglio regolarmente di prevederla.

Tecnicamente, una persona che ha già avuto dei problemi con la giustizia potrebbe sapere bene come evitare di commettere ulteriori reati, ossia di ripetere i propri errori; una persona senza precedenti penali potrebbe rimanere invischiata in attività illegali senza rendersene conto finché non è troppo tardi (il cosiddetto “effetto della rana nell’acqua che bolle”) oppure potrebbe sempre aver commesso reati senza, però, essere stata identificata. D’altra parte è chiaro che una persona con precedenti penali potrebbe aver mantenuto, volontariamente o involontariamente, contatti con altre persone che possono spingerla a commettere ulteriori atti illeciti. Tecnicamente, insomma, la presenza di precedenti penali non fornisce alcuna indicazione sui comportamenti futuri e pertanto è inutile.

Eticamente, una persona che è già stata condannata ha già pagato il suo debito. È il principio per cui nella Bibbia è detto che nessuno deve uccidere Caino: ha già pagato per il suo peccato e non deve pagare ulteriormente. Questo principio religioso riflette il medesimo principio civile (ai tempi della scrittura della Bibbia, l’educazione civile e quella religiosa si sovrapponevano), che si traduce proprio nel divieto di trattare dati giudiziari se non necessario e non impedire l’accesso a un lavoro adeguato a causa di errori passati. Va ricordato che proprio l’inserimento lavorativo può fornire una via di fuga dallo stile di vita che aveva portato, in precedenza, a commettere reati.

In conclusione, è bene riflettere attentamente su quali caratteristiche dei candidati è necessario considerare in fase di assunzione o di inserimento (nel caso dei consulenti esterni) e osservare che i precedenti penali sono solitamente l’aspetto meno importante.

Recenti sentenze

Negli ultimi anni, le sentenze si sono sempre più orientate verso la tutela dei datori di lavoro. Un caso molto recente (Cassazione civile, Sezione lavoro, sentenza n. 428 del 10/01/2019) dà ragione al datore di lavoro per un licenziamento avvenuto adducendo come giusta causa reati presso il precedente datore di lavoro. È necessario notare che il “precedente” datore di lavoro è in realtà lo stesso datore di lavoro con cui il rapporto è stato modificato per transazione novativa.

Importanti sono le motivazioni della Cassazione: “è ravvisabile una giusta causa di licenziamento ogniqualvolta venga irrimediabilmente leso il vincolo fiduciario che è alla base del rapporto, perché il datore di lavoro deve poter confidare sulla leale collaborazione del prestatore e sul corretto adempimento delle obbligazioni che dal rapporto scaturiscono a carico di quest’ultimo. La fiducia, che è fattore condizionante la permanenza del rapporto, può essere compromessa, non solo in conseguenza di specifici inadempimenti contrattuali, ma anche in ragione di condotte extralavorative che, seppure tenute al di fuori dell’azienda e dell’orario di lavoro e non direttamente riguardanti l’esecuzione della prestazione, nondimeno possono essere tali da ledere irrimediabilmente il vincolo fiduciario tra le parti qualora abbiano un riflesso, sia pure soltanto potenziale ma oggettivo, sulla funzionalità del rapporto e compromettano le aspettative d’un futuro puntuale adempimento dell’obbligazione lavorativa, in relazione alle specifiche mansioni o alla particolare attività”.

La sentenza n. 428 fa a sua volta riferimento ad altre recenti sentenze per confermare il proprio orientamento.

Purtroppo, la medesima sentenza non si sofferma sulle modalità con cui sono state raccolte le informazioni sul dipendente e, quindi, le modalità di applicazione della normativa in materia di privacy.

 

Articolo a cura di Cesare Gallotti

Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.

Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.

Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.

E’ capodelegazione del WG1 del comitato italiano ISO/IEC SC27 in UNINFO.

Ha pubblicato il libro, aggiornato nel 2017, “Sicurezza delle informazioni: valutazione del rischio; i sistemi di gestione; la norma ISO/IEC 27001:2013”.

Cura la pubblicazione, dal 2008, della newsletter “IT Service management news” (http://www.cesaregallotti.it/Newsletter.html).

Web: www.cesaregallotti.it; Blog: blog.cesaregallotti.it

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy