Il GDPR ha impartito chiare regole per il corretto trattamento delle informazioni, anche attraverso l’adozione di specifiche misure organizzative. Ve ne sono alcune strettamente legate con il reparto tecnico che meritano un approfondimento e tra queste vi è certamente la segregazione delle funzioni.
Cosa è la segregazione dei compiti
“Segregation of duties” (SoD), tradotto in italiano come “separazione dei compiti”, è un principio di controllo interno che si applica all’interno di un’organizzazione per mitigare il rischio di frode, errore o abuso. Il concetto fondamentale della segregazione dei compiti è che le responsabilità e i compiti critici siano suddivisi tra più individui o dipartimenti, in modo che nessuna persona o entità abbia il controllo completo su un processo o una transazione dall’inizio alla fine. Questa divisione serve a garantire che nessun individuo possa eseguire o completare una transazione senza il coinvolgimento o la supervisione di altre persone.
Ad esempio, in un contesto aziendale, la segregazione dei compiti potrebbe essere applicata nel processo di autorizzazione e pagamento delle fatture. In un sistema ben segregato, la persona che autorizza l’acquisto non dovrebbe essere la stessa che autorizza il pagamento della fattura, e nemmeno la stessa che ha accesso ai fondi per effettuare il pagamento. Questo assicura che più individui debbano agire in collaborazione per completare un’operazione finanziaria, riducendo così il rischio di frode o errori.
La segregazione dei compiti è una pratica chiave nelle politiche di controllo interno e di gestione del rischio nelle organizzazioni, ed è spesso incorporata in normative e standard come la SOX (Sarbanes-Oxley Act) negli Stati Uniti o le linee guida della ISO/IEC 27001 per la gestione della sicurezza delle informazioni. In particolare nella ISO 27001:2002 se ne parla anche nell’Annesso A al controllo di sicurezza 5.3.
Conflicting duties and conflicting areas of responsibility shall be segregated.
I compiti contrastanti e le aree di responsabilità contrastanti devono essere separati.
L’importanza della SoD nella mitigazione del rischio informatico
Nei processi di mitigazione del rischio è importante capire, pertanto, se siano stati presenti trattamenti e informazioni che richiedono la segregazione dei compiti. Dal punto di vista tecnico è chiaro che segregare le funzioni significa anche segregare i dati, attraverso ruoli, privilegi, cartelle ad accesso opportunamente limitato. La segregazione delle funzioni non è una caratteristica straordinaria ma ha un diretto legame con la gestione in qualità delle informazioni. Le organizzazioni che implementano la ISO 9001, ad esempio, potrebbero sviluppare procedure e politiche interne per controllare l’accesso ai documenti e ai file pertinenti per garantire la riservatezza, l’integrità e la disponibilità delle informazioni. In queste procedure interne, potrebbe essere utile definire i ruoli e le responsabilità delle persone autorizzate ad accedere ai diversi tipi di documenti o cartelle. Detto ciò è chiaro che la segregazione, tecnicamente, si può raggiungere in più modi e con più scopi: dal singolo file, fino all’istituzione di segmenti di rete virtuali riservate a ciascun reparto/settore/ufficio (le VLAN).
Un esempio pratico: la normativa SOX
La Sarbanes-Oxley Act (SOX)1 è una legge federale degli Stati Uniti promulgata nel 2002 in risposta a una serie di scandali finanziari che hanno coinvolto grandi società statunitensi. La SOX è progettata per migliorare la trasparenza finanziaria e la responsabilità aziendale, e include disposizioni che richiedono la segregazione dei compiti come parte integrante dei controlli interni delle società quotate in borsa negli Stati Uniti. La SOX richiede che le società pubbliche implementino controlli interni efficaci per garantire l’affidabilità e l’integrità delle informazioni finanziarie. Questi controlli devono includere la segregazione dei compiti per ridurre il rischio di frode o manipolazione delle informazioni finanziarie. Nel contesto della SOX, la segregazione dei compiti può implicare:
- Separazione delle funzioni chiave: le funzioni critiche o sensibili, come l’autorizzazione delle transazioni, l’esecuzione delle transazioni e la registrazione delle transazioni, devono essere assegnate a persone diverse per garantire che nessuna persona abbia il controllo completo su un processo finanziario dall’inizio alla fine.
- Rotazione dei compiti: la SOX può richiedere che le società implementino politiche di rotazione dei compiti per garantire che le responsabilità finanziarie chiave siano distribuite tra più individui nel tempo, riducendo così il rischio di collusioni fraudolente.
- Controllo degli accessi e autorizzazioni: la SOX può richiedere che le società implementino controlli rigorosi sugli accessi ai sistemi finanziari e che le autorizzazioni per l’accesso e le transazioni finanziarie siano limitate solo alle persone autorizzate.
In sintesi, la SOX incorpora la segregazione dei compiti come un elemento chiave dei controlli interni, con l’obiettivo di migliorare l’integrità e l’affidabilità delle informazioni finanziarie.
Elementi di attenzione e potenziali criticità
La segregazione delle funzioni richiede, tuttavia, che l’organizzazione sia adeguatamente per accogliere tale capacità. Vi sono, infatti, dei rischi intrinsechi nell’attuazione della SoD, tra cui:
- Complessità operativa: una divisione eccessiva delle funzioni può portare ad un aumento eccessivo della complessità operativa. Se i compiti sono suddivisi troppo finemente, potrebbe diventare difficile coordinare e comunicare tra i dipartimenti o gli individui coinvolti. Ciò potrebbe rallentare i processi decisionali e causare inefficienze operative.
- Ritardo nei processi decisionali: la necessità di coinvolgere più individui o dipartimenti in un processo decisionale può causare ritardi. Se le decisioni richiedono il consenso o la cooperazione di diverse parti, potrebbe essere difficile raggiungere un accordo tempestivo, rallentando così il progresso dei progetti o delle iniziative.
- Aumento dei costi: la segregazione delle funzioni può aumentare i costi operativi. Suddividere le responsabilità tra più individui o dipartimenti potrebbe richiedere risorse aggiuntive per la formazione del personale, la creazione e il mantenimento di procedure documentate e la gestione dei flussi di lavoro complessi.
- Responsabilità indefinita: se le responsabilità sono troppo suddivise, potrebbe verificarsi l’eventualità in cui nessun individuo si ritiene responsabile dell’intero processo o risultato. Questo può portare a una mancanza di assunzione di responsabilità e a un maggiore rischio di errori o inefficienze.
Per mitigare questi rischi, è importante bilanciare la segregazione delle funzioni con l’efficienza operativa e la responsabilità chiaramente definita. Le organizzazioni dovrebbero valutare attentamente i vantaggi e gli svantaggi della segregazione delle funzioni e adottare un approccio equilibrato che tenga conto delle proprie esigenze e obiettivi. Tuttavia è essenziale anche mantenere sotto controllo la SoD con cicli iterativi di monitoraggio, al fine di stabilizzarne l’efficienza e ottimizzarne i costi.
Conclusioni
L’istituzione di un controllo di segregazione delle informazioni non può essere eseguito esclusivamente a livello tecnologico. Prima di tutto è una scelta organizzativa che deve essere opportunamente studiata sulla base del patrimonio informativo e dei relativi flussi. Successivamente si procede ad un approccio tecnologico a supporto dell’attività di segregazione, come garanzia dell’effetto che si desidera raggiungere. Pertanto, è possibile certamente attuare un processo di restrizione degli accessi ma solo dopo aver individuato correttamente ruoli e flussi informativi interessati dalla misura tecnica.
Note
- Per maggiori informazioni si veda anche “Interventi del Sarbanes-Oxley Act of 2002 sulla corporate responsibility nelle società quotate statunitensi” di S. Cammarata, Centro Ricerche per il Diritto d’Impresa, LUISS, 2002, reperibile qui ↩︎