Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Vietare i social media e le app di messaggistica è un grande (e costoso) punto dolente
Le organizzazioni e i loro responsabili della conformità stanno lottando per controllare i divieti di comunicazione fuori canale, vietando ai dipendenti l’uso di app come WeChat, Whatsapp o TikTok, solo per citarne alcuni.
In uno studio, il 61,5% dei leader della compliance intervistati ha affermato che “la loro più grande preoccupazione era far sì che i dipendenti rispettassero le regole per la comunicazione elettronica”. L’indagine ha inoltre rivelato che solo il 3% dei responsabili della conformità ha affermato di “credere fortemente” che i divieti dei canali siano efficaci nel garantire comunicazioni conformi alla propria organizzazione.
Questa sensazione di inutilità persiste, anche se la maggior parte (59%) ha vietato l’uso dei social media e delle app di messaggistica a causa del maggiore controllo normativo.
Rob Mason, direttore dell'intelligence normativa presso Global Relay, spiega che i divieti sui canali sono inefficaci perché vengono quasi sempre aggirati, da qui il gran numero di multe che sono state inflitte negli ultimi anni.
Oltre alle sanzioni della FTC, le aziende che consentono lo shadow IT e la comunicazione fuori canale corrono anche un rischio maggiore di fughe di dati e violazioni della sicurezza, poiché i team IT e di sicurezza non hanno supervisione o controllo su come i dipendenti utilizzano questi strumenti e su quali dati vengono condiviso.
È inoltre probabile che le organizzazioni debbano sostenere costi maggiori nel lungo termine associati allo shadow IT.
“Mentre sono in vigore i divieti sui canali, vedremo sempre una corrente sotterranea di comunicazione fuori canale per le aziende”, afferma. “Credo che i divieti sui canali siano ora una misura tattica temporanea mentre vengono implementate strategie per gestire il rischio in modo più efficace”.
Aggiunge che il divieto di canali di comunicazione non approvati è sempre stato vero.
"I colleghi sono consapevoli che devono condurre comunicazioni aziendali su supporti registrati, che sono quindi soggetti a sorveglianza e tenuta dei registri in linea con le normative", osserva. "Ciò soddisfa la conformità con le politiche interne che riflettono le normative pertinenti."
Quando ha colpito il COVID-19, il lockdown ha richiesto alle persone di lavorare da casa, ma il “controllo” della politica di divieto di mobilità non è avvenuto, anche se i confini tra comunicazioni personali e aziendali sono diventati sempre più sfumati.
Nonostante ciò, c’è stato un uso chiaro e diffuso di WhatsApp e di altri canali di comunicazione non approvati per scopi commerciali, scoperto per la prima volta da un’indagine della SEC.
Ciò ha comportato sanzioni e multe per quasi tutte le grandi banche, cosa che è ancora in corso a 18 mesi dalla prima notifica.
"Le sanzioni per le violazioni di queste politiche di divieto sono state aumentate, ma questo è un deterrente, non un controllo", afferma Mason.
John Harden, senior product manager di Auvik, afferma che l'efficacia dipende fondamentalmente da quali sono le fasi del divieto.
"Ad esempio, un promemoria indirizzato ai dipendenti dell'organizzazione senza alcuna applicazione, monitoraggio o misura IT secondaria è destinato a fallire", afferma. "Come l'acqua che segue il percorso di minor resistenza, abbiamo visto qui ad Auvik, i dipendenti tendono a utilizzare lo shadow IT per semplificare i loro ruoli."
È fondamentale sapere se l'obiettivo è selezionare la casella "abbiamo fatto qualcosa" o se l'obiettivo è rafforzare quella casella e garantire che venga bloccata con misure protettive.
"I dipendenti non utilizzano la comunicazione fuori canale perché desiderano infrangere la policy IT", aggiunge. "Lo fanno perché è più facile per loro o per i loro clienti."
Harden afferma che in questo caso le aziende devono guardare allo shadow IT in modo opportunistico: devono capire perché vengono utilizzati strumenti come WhatsApp e WeChat e cercare di innovare internamente con il proprio stack tecnologico.
“Dire semplicemente ai dipendenti di utilizzare uno strumento sanzionato anziché quello che preferiscono non porterà a grandi risultati”, afferma. “I dipendenti hanno le loro preferenze e i leader IT dovrebbero ascoltare perché i dipendenti preferiscono utilizzare uno strumento non autorizzato e coglierlo come un’opportunità di innovazione per soddisfare le esigenze dei dipendenti pur rimanendo conformi”.
Chris Audet, vicepresidente di Gartner, spiega che in molti casi i responsabili della conformità tendono a monitorare il rischio retroattivamente e guardano agli eventi di rischio che si sono verificati, piuttosto che adottare un approccio prescrittivo per valutare gli eventi di rischio che potrebbero verificarsi.