“Persone di tua dimestichezza abbine molte, ma possessore del tuo segreto sia uno tra mille”
(Bibbia, Siracide 6)
Qualche settimana fa, su un treno Milano-Roma, un ciarliero professionista seduto di fronte a me ha trascorso il 90% delle 3 ore del viaggio spifferando a tutti i suoi affari al cellulare.
Non potendo concentrarmi su altro a causa del suo tono di voce concitato, ho acceso il PC e ho cominciato ad ascoltare cosa diceva, mettendomi degli auricolari in realtà spenti per dissimulare interesse e aprendo la home page di Google che di lì a poco mi sarebbe tornata utile. In effetti il tizio si è rivelato una vera miniera di informazioni.
Dopo un paio di minuti si era palesato come bid manager e parlava di un’offerta che stavano preparando per un appalto IT (càspita, il mio settore di interesse!) di cui era responsabile.
Con gli elementi che mi ha dato parlando coi suoi capi e collaboratori, integrati da qualche ricerca al volo sul web, ho identificato nel giro di un quarto d’ora appalto e cliente, l’azienda per cui lavorava, quali erano i loro punti di forza (secondo lui), quelli di debolezza e i criteri con cui stavano preparando l’offerta.
L’ho anche identificato. Grazie al volume a prova di acufeni a cui teneva il suo smartphone, ho potuto sentire il suo interlocutore mentre lo apostrofava, a quel punto è bastato cercare su Linkedin incrociando col nome dell’azienda, che aveva nominato diverse volte (“…no, perché come XXX non possiamo permetterci di non entrare su questo cliente…”, “…il cliente si aspetta che come XXX esprimiamo innovazione…”, ecc.).
Insomma, arrivato a destinazione, avevo pronto un dossier su un potenziale competitor.
Progetti e sicurezza delle informazioni
Preparare un’offerta per una gara d’appalto è tecnicamente un progetto. Si deve presentare una documentazione entro una certa scadenza con obiettivi ben precisi. Il nostro bid manager sul Frecciarossa era dunque un Project Manager.
Il Project Manager è sempre responsabile della protezione delle informazioni di progetto, riguardanti strategie, affari, risorse, riferimenti personali e altro. Queste informazioni vanno identificate, classificate e ne va definito il trattamento. Al di là di considerazioni sull’educazione e sull’opportunità di chiedersi se parlando per tre ore a voce alta non si arrechi disturbo a persone sedute a un metro da te, possiamo senz’altro affermare che come Project Manager il tizio del treno era un vero disastro.
Nessuna riservatezza, nessuna cautela nel trattamento dei dati, informazioni su fatti, nomi e persone pronunciate a voce alta in un contesto (la business class di un treno ad alta velocità) dove è possibile che quelle informazioni possano interessare altri.
È un classico esempio di mancata applicazione di risk management, che non a caso rappresenta un’area di azione fondamentale della gestione di qualsiasi progetto.
Volendo semplificare, la gestione dei rischi si basa sulla valutazione preliminare della cosiddetta esposizione, definita nella teoria classica come prodotto della probabilità che il rischio si verifichi per l’impatto conseguente.
Nel caso del nostro viaggiatore l’esposizione, come ho mostrato con la mia azione di “intelligence” nemmeno troppo difficile, era medio-alta perché la probabilità che qualcuno potesse carpire informazioni di interesse era elevata e l’impatto potenziale addirittura catastrofico (perdita dell’appalto a causa delle informazioni sensibili rivelate dal chiacchierone).
Progetti e giusto livello di riservatezza
In casi come questi basterebbe applicare il buon senso. Tuttavia, volendo approcciare il problema in maniera più strutturata, ci sono diverse linee guida e buone pratiche per assicurare il giusto livello di riservatezza e trattamento dei dati di progetto.
In particolare, l’annex “A.6.1.5 Information Security in Project Management” della norma ISO27001 relativa ai sistemi di gestione della sicurezza delle informazioni. Qualsiasi progetto richiede risorse, attività da sviluppare e obiettivi temporali stabiliti. La sicurezza delle informazioni può essere integrata nelle attività di gestione dei progetti in vari modi.
Come prima cosa è necessario includere gli obiettivi di sicurezza delle informazioni negli obiettivi più generali del progetto.
Poi si deve eseguire una valutazione del rischio (probabilità e impatti) sia nella fase iniziale del progetto che successivamente, sia con cadenza periodica che in occasione di eventi specifici che possano suggerirne un aggiornamento. Infine, si deve effettuare il trattamento dei rischi identificati e attuare le azioni di contrasto ritenute più idonee.
In conclusione…
La politica di sicurezza delle informazioni dovrebbe essere una parte indispensabile di tutte le fasi di un progetto. Se questo è importante in qualsiasi settore o industry, diventa addirittura cruciale negli ambiti che riguardano o mirano all’integrità, alla disponibilità e alla riservatezza di contenuti e informazioni digitali, come la maggior parte dei progetti IT. Se poi la riservatezza delle vostre informazioni non dovesse starvi a cuore, riflettete sul fatto che al vostro vicino di treno di quello che avete da dire non importa più che tanto. Almeno all’inizio…
Marco Caressa
