Sono diverse le motivazioni che possono spingere all’analisi del computer di un dipendente, prima tra le tutte la poco piacevole sensazione (e spesso certezza) che il soggetto in questione abbia trafugato dati aziendali o che abbia inviato del materiale riservato alla concorrenza, spesso in concomitanza delle dimissioni.

Non è difficile imbattersi nel c.d. fenomeno del “dipendente infedele”, il quale, anche dopo anni di onorato lavoro, decide di trafugare informazioni riservate per rivenderle alla concorrenza o soggetti terzi.

Spesso, la situazione si presenta anche nel caso in cui il dipendente decida di avviare la propria attività, magari sotto falso nome, per fare concorrenza al luogo di lavoro dove ha passato il proprio tempo.

Le investigazioni aziendali a questo punto sono di fondamentale importanza per accertare la copia o il furto di dati aziendali e per ricostruire lo storico dei dispositivi informatici a disposizione dall’ex dipendente (o ancora tale).

In questo articolo, cercheremo di capire come muovere i primi passi.

Informatica forense

L’intervento di un consulente informatico forense, come spiegato in questo articolo di Luca Mercatanti, prevede la realizzazione di una copia bit a bit dei dispositivi “sospetti” o comunque in uso da parte del dipendente (o ex che sia).

Dal punto di vista informatico, l’operazione non è estremamente complessa da portare avanti: dopo aver “clonato” i dispositivi d’interesse, avviene l’indicizzazione e categorizzazione dei dati, operazione che permette di applicare dei filtri con cui l’operatore andrà ad analizzare i dati copiati, inviati, le attività sospette poste in essere entro un determinato arco temporale ed eventuali dispositivi USB collegati (spesso utilizzati per trafugare i dati dal computer o rete aziendale).





La normativa vigente in Italia

L’Italia, come membro dell’Unione Europea, segue il GDPR, che impone rigidi requisiti per il trattamento dei dati personali. Le aziende devono assicurare che il monitoraggio dei dipendenti sia giustificato da un legittimo interesse aziendale e che sia proporzionato allo scopo perseguito. È necessario informare i dipendenti in modo trasparente sulle modalità e le finalità del monitoraggio.

L’articolo 4 dello Statuto dei Lavoratori (Legge n. 300/1970) vieta il controllo a distanza dell’attività dei lavoratori senza l’accordo con le rappresentanze sindacali o l’autorizzazione dell’Ispettorato del Lavoro. Tuttavia, le tecnologie che non hanno come scopo specifico il controllo a distanza dell’attività lavorativa, ma che sono utilizzate per esigenze organizzative e produttive, possono essere adottate previa informativa ai lavoratori.

In tale contesto si inserisce quindi la possibilità di analizzare i dispositivi in uso da parte dei dipendenti: per quanto non si tratti sicuramente di controllo a distanza dell’attività dei lavoratori, è opportuno limitare le verifiche delle attività poste in essere dal dipendente a circostanze anomale e non all’operato quotidiano.

Quali impostazioni attivare su Windows per agevolare l’analisi

In Windows, non esiste una funzione specifica integrata nel sistema operativo che permetta di attivare direttamente il logging dei file copiati, per quanto questa funzione potrebbe essere estremamente utile.

Nonostante ciò, è possibile configurare alcune funzionalità e strumenti per monitorare e registrare le attività sui file.

Windows offre la possibilità di configurare l’audit di sicurezza tramite le policy di gruppo (Group Policy).

Per attivare tale funzione, è necessario seguire questi passaggi:

Apri gpedit.msc per accedere all’editor delle Criteri di Gruppo.

Naviga fino a Configurazione Computer > Criteri > Impostazioni di Windows > Impostazioni di Sicurezza > Criteri Locali > Criteri di Audit.

Attiva le opzioni relative all’accesso agli oggetti, come Audit object access.

Configura gli oggetti specifici da monitorare impostando l’audit sulla cartella o sui file desiderati tramite il loro Security Tab.

Una soluzione che è possibile adottare, ma che richiede conoscenze tecniche medio-alte, è quella di realizzare uno script PowerShell in grado di monitorare directory specifiche (e sottodirectory) per eventi di creazione, modifica, eliminazione e rinomina di file.

Nel caso in cui non si possiedano le conoscenze tecniche per fare ciò, è possibile utilizzare gli ormai diffusi sistemi di intelligenza artificiale per la realizzazione dello script (basterà infatti chiedere la realizzazione di uno script Pweshell per monitorare una directory su eventuali modifiche o copie dei file).