Coronavirus

Smart working, come garantire sicurezza informatica e privacy

L’emergenza coronavirus ha contribuito a “sdoganare” lo smart working. In molti casi, tuttavia, visto lo stato di contingenza, le aziende potrebbero non aver prestato la dovuta attenzione agli aspetti legati alla cyber security e protezione dati personali. Vediamo come cogliere le opportunità senza correre rischi

02 Mar 2020
Renato Castroreale

Direttore Tecnico

Monica Perego

Ingegnere

Chiara Ponti

Avvocato, Privacy Specialist


In questi giorni di emergenza, le organizzazioni stanno spingendo i dipendenti a “lavorare da casa”: si è quindi in un certo qual modo, “sdoganato” il lavoro “agile” o smart working. Per trarre il massimo vantaggio da questa opportunità, generata da eventi del tutto straordinari, occorre però dare la giusta attenzione ad aspetti non certo secondari, quali la sicurezza delle informazioni.

Pur senza sminuire la gravità della situazione e le difficoltà connesse, vogliamo quindi evidenziare le opportunità che questo complesso scenario emergenziale può offrire.

Proveremo perciò a esplorare le misure di sicurezza tanto dal punto di vista organizzativo, quanto dal punto di vista del dipendente — autorizzato — ponendo l’accento sulle:

  • misure relative alla sicurezza dei sistemi utilizzati da remoto;
  • politiche delle organizzazioni per l’applicazione del lavoro agile;
  • misure a carico del lavoratore agile.

Allo stesso modo esamineremo la famiglia delle ISO/IEC 27000 e l’utilizzo dello smart working in condizioni di emergenza.

Le misure relative alla sicurezza dei sistemi utilizzati da remoto

Vediamo quali sono le principali criticità, consigliando alcuni semplici comportamenti.

Si dà per scontato che lavorare all’esterno dell’azienda (da casa) sia sicuro come lavorare in ufficio, ma ragioniamo su alcuni aspetti che dimostrano esattamente il contrario.

Le aziende più “strutturate” che hanno già adottato un regime di smart working, hanno strumenti per rispondere pienamente a tutte le necessità di questa modalità lavorativa. Hanno cioè dotato i dipendenti di dispositivi appositamente predisposti, con applicativi pronti per una fruizione remota, dispositivi telefonici virtuali (software) adeguati allo scopo, se non finanche di portali per la gestione del tempo lavorativo (rilevazione presenze, ecc.), in un contesto gestito in modo formalmente ineccepibile.

Molte altre aziende, invece, hanno sperimentato il ricorso all’attività lavorativa in remoto in casi sporadici e non l’hanno pertanto mai regolamentata a sufficienza, dal punto di vista informatico, pensando, cioè, ai risvolti di sicurezza e all’uso di strumenti idonei.

I più stanno, quindi, spingendo i dipendenti all’attività in smart working senza avere idea di come affrontare in modo serio la questione, mettendo di fatto a rischio i dati aziendali.

Cercando di semplificare un tema che semplice non è, ci pare corretto affermare che la maggiore criticità sia data dal fatto che i dipendenti usino i loro dispositivi personali per accedere ai Sistemi aziendali, ivi incluse le connessioni di rete (ADSL, WiFi, ecc.) dove magari non si sono modificati i parametri standard (incluse le password amministrative, disponibili con una semplice ricerca su Google).

Molto spesso a casa, utilizzando dispositivi personali e non forniti dall’azienda, si tende a trascurare le misure di sicurezza, non si adottano (o non in maniera adeguata) sistemi antivirus/antimalaware, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità (accesso a siti pericolosi, download, ecc.).

In tale scenario, è quindi alta la possibilità che i computer abbiano malware attivi, o che qualcuno possa intercettare le nostre comunicazioni senza particolari difficoltà: uno scenario seriamente pericoloso se si accede, in questo modo, ai sistemi aziendali.

Ecco, quindi alcuni suggerimenti pratici:

  • Non usare sistemi personali, neppure per leggere la posta elettronica, ma ricorrere sempre a dispositivi forniti dall’azienda, sui quali dovrebbero essere attivi e verificati con regolarità sistemi di sicurezza adeguati.
  • In caso contrario, installare almeno un buon sistema antivirus (magari quello aziendale messo a disposizione per l’emergenza) ed effettuare un’accurata scansione preventiva.
  • Sempre se possibile è molto utile un sistema di gestione remota del PC, con il quale i colleghi tecnici possano monitorare e gestire eventuali problemi (come ad esempio piattaforme Kaseya, Solarwind, ManageEngine).

A questo punto, stabilito il dispositivo da usare e messo in condizioni di sicurezza, ci si deve collegare ai sistemi aziendali, con differenti possibilità di interazione.

Alcuni avranno a disposizione accessi remoti “terminalizzati” (ad esempio con strumenti Microsoft o Citrix, che sono i più utilizzati). In questo assetto sul computer remoto viene eseguita una sessione che mostra una elaborazione che viene svolta in totale sicurezza sui sistemi aziendali, evitando una interazione diretta tra il sistema remoto ed il sistema Informativo aziendale.

Altri usano sistemi accessibili via web, già predisposti all’uso remoto. Anche in questo caso, adoperando corretti criteri di sicurezza.

Ed infine, l’attivazione di una connessione VPN ovvero quel canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda, attraverso il quale si accede direttamente agli applicativi ed ai dati aziendali.

Questa è la condizione più critica, che richiede particolare attenzione in quanto mette in collegamento diretto il dispositivo remoto col sistema informativo aziendale, con il rischio ad esempio che un software malevolo infetti il dispositivo remoto e da qui l’intero sistema.

Da ultimo, resta ancora un aspetto assai delicato che è quello legato all’accesso (il login). Se non si usano adeguati sistemi di protezione -come protocolli sicuri e software di protezione adeguati- è possibile che le utenze e le password digitate vengano carpite.

Se possibile, l’adozione di sistemi di autenticazione a due fattori (con l’uso di codici o token, in aggiunta alla normale password), risolve questo problema.

In caso contrario, consigliamo almeno di aumentare il grado di complessità delle password utilizzate, e di forzarne il cambiamento molto più frequentemente di quanto si faccia normalmente (possibilmente anche una volta alla settimana, predisponendo tuttavia un servizio di supporto per chi inevitabilmente farà pasticci e resterà bloccato).

Le politiche organizzative

Se da un lato, al dipendente/autorizzato è richiesta una disciplina “agile”, in modo che sia altrettanto proficua per il lavoratore e per l’azienda, occorre che quest’ultima realizzi una serie di misure che facilitino tale modalità di lavoro limitandone eventuali abusi in virtù di una chiarezza e trasparenza nel rapporto lavorativo.

Nello specifico, è opportuno che l’organizzazione:

  • definisca e condivida un regolamento/procedura sullo smart working nel rispetto dei principi juslavoristici;
  • fornisca ai dipendenti/autorizzati i necessari mezzi per operare in modalità di lavoro agile;
  • favorisca, anche alla luce delle considerazioni precedenti, l’utilizzo di dispositivi a uso aziendale, consapevole che l’assenza di tale modalità presenta tutta una serie di rischi;
  • renda disponibili tecnologie e formazione proattiva nella condivisione “sicura” di documenti;
  • chiarisca nell’informativa all’autorizzato quali potrebbero essere i trattamenti dei dati pertinenti ai lavoratori, sempre nel rispetto della normativa della tutela dei medesimi, che potrebbero essere trattati nell’ambito dell’attività di telelavoro;
  • attivi un piano di lavoro condiviso per sapere “chi fa, che cosa” alla luce di un cronoprogramma comune facilitato dall’uso di strumenti (es. Microsoft Outlook, o Google Calendar, ecc) tali da consentire da un lato la pianificazione del lavoro, e dall’altro la visibilità di ciascuno, coinvolto da remoto;
  • preveda un Team Leader per coordinare i gruppi di lavoro operativa in smart working o in formule miste (collaboratori in smart working e collaboratori presenti nei siti dell’Organizzazione);
  • individui una modalità che faciliti la rendicontazione delle attività in smart working, senza sovraccaricare e talvolta ingolfare l’aspetto burocratico, pur nel rispetto dei principi che vietano il controllo a distanza.

In ogni caso, i controlli nel rispetto della normativa, sono utili, necessari, e dimostrativi dell’attuazione della sicurezza in modo serio ed efficace, come si dirà.

Ovviamente, affinché quanto sopra sia realizzabile il lavoratore agile/autorizzato deve essere fornito da remoto dei privilegi necessari per l’accesso alle aree del server ed agli applicativi al fine di poter operare a distanza con modalità analoghe a quelle previste per operare all’interno dell’organizzazione.

Riguardo, infine, le problematiche delle reti aziendali nel caso di un numero elevato di collaboratori richiedano, in contemporanea e da remoto, l’accesso ai sistemi questo non è, per la maggior parte delle aziende, un problema, anche se sarebbe opportuno, preventivamente, procedere con dei test.

Smart working e privacy

Dal punto di vista della privacy, i progetti di smart working implicano il coinvolgimento di tutta l’organizzazione e comportano una maggiore responsabilizzazione (accountability) dei lavoratori/autorizzati caratterizzata non solo da maggiore autonomia, ma anche da un orientamento ai risultati più forte rispetto al lavoro tradizionale.

Il lavoro agile se da un lato consente di migliorare la produttività delle imprese e di usufruire di diversi incentivi fiscali nonché di permettere ai lavoratori una migliore conciliazione tra lavoro e famiglia, producendo pertanto maggiori opportunità per le imprese e i lavoratori, dall’altro espone anche a maggiori rischi informatici.

A maggior ragione in contesti esterni o in occasione di trasferte o di lavoro in mobilità dovranno essere aggiornate e rispettate le policy (IT e posta elettronica o telefono aziendale). Al riguardo, alcune semplici accortezze:

  • evitare l’uso dei social network, o altre applicazioni social facilmente hackerabili;
  • adoperare “misure di sicurezza” nell’utilizzo di pc o tablet come paraschermi (privacy-screen) che impediscano la visuale laterale del vicino, non tanto e solo per motivi di riservatezza, ma anche per la circolazione dei dati;
  • evitare di rivelare al telefono informazioni aziendali;
  • evitare il collegamento a reti non sicure o sulle quali non si abbiano adeguate garanzie;
  • non lasciare portatili o incartamenti incustoditi in treno o locali pubblici.

Tutto ciò trova, in materia di Privacy, tutela rafforzata in particolare nel GDPR laddove il legislatore ha voluto introdurre una politica di responsabilizzazione (cd. accountability) del Titolare del trattamento.

Le misure a carico del lavoratore agile (autorizzato)

Chiariamo, fin da subito, che non tutti i lavoratori sono anche autorizzati.

Il lavoratore (autorizzato) che lavora in smart working deve lavorare considerando tale attività come un’attività lavorativa vera e propria la quale favorisca una qualità di lavoro paritetica, per quanto gli compete, in termini sia di tempo, che di denaro oltre che in qualità di vita personale/familiare.

L’autorizzato, nella fattispecie, deve pensare che oltre a tutelare il know how deve salvaguardare anche i dati personali.

Costui, infatti, deve pensare di:

  • organizzare all’interno della propria abitazione una postazione di lavoro dedicata. Tale postazione dovrà disporre di appositi device, analogamente a quella lavorativa;
  • ridurre al minimo le interferenze di altri soggetti, eventualmente presenti nell’abitazione, in termini di rumore ed ingerenze/distrazioni;
  • organizzarsi con degli orari ben precisi (dal puntare la sveglia, al mattino, alla solita ora) cui attenersi riducendo al minimo le interruzioni o “pause caffè” pur prendendosi quelle necessarie, come se fosse in azienda;
  • rendere conto e ragione del proprio lavoro per dare e ricevere feedback; rendendosi presente ed efficiente, anche da remoto.

Per quanto possa sembrare risibile o secondario il suo abbigliamento dovrà essere lo stesso che indosserebbe sul luogo di lavoro, mettendosi in ordine, ed in modo decoroso.

Questo non soltanto perché potrebbe essere “visto” ad esempio conference call, ma anche perché ciò lo colloca in quella “mentalità” necessaria tipica, con lo spirito consono alla professionalità che si richiede.

L’obiettivo, infatti, è quello di lavorare da casa o altrove in modo veramente efficace e “smart”.

La famiglia delle ISO/IEC 27000 ed il lavoro a distanza

La ISO/IEC 27001:2013 “Sistemi di gestione della sicurezza delle informazioni – Requisiti” dedica a questo tema il controllo “A.6.2.2 Telelavoro” il quale prevede che “devono essere attuate una politica e delle misure di sicurezza a suo supporto per proteggere le informazioni accedute, elaborate o memorizzate presso siti di telelavoro”. Tale controllo riguarda anche le attività svolte da postazioni occasionali come potrebbero essere le situazioni di collegamento, ad esempio, dalla sede di un cliente oppure da un albergo (si pensi all’attività di un agente di commercio).

La linea guida “ISO/IEC 27002:2013 Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni” che, come è noto, fornisce le linee guida attuative per l’applicazione dei controlli previsti dalla ISO/IEC 27001:2013 precisa che “Il telelavoro si riferisce a tutte le forme di lavoro condotte al di fuori dell’ufficio, compresi gli ambienti di lavoro non tradizionali quali quelli indicati come “telecommuting”, “posto di lavoro flessibile”, ambienti di “lavoro remoto” e di “lavoro virtuale””.

Rilevanti sono dunque le indicazioni fornite come linee guide attuative dalla ISO/IEC 27002:2013 e tra queste, ad integrazione di quanto già sopra evidenziato, nella parte dell’articolo dedicata alle misure da mettere in atto, se ne segnalano diverse e, nello specifico,

Per quanto riguarda gli aspetti legati al lavoratore/autorizzato, dovrebbero essere messe in atto misure che prevengano eventuali minacce di accesso non autorizzato ai dati da parte di persone, come ad esempio familiari, amici e visitatori, frequentanti il luogo ove si svolge l’attività di telelavoro. Allo stesso modo va gestito l’accesso da parte dei medesimi soggetti) alle apparecchiature utilizzate per il telelavoro.

Lato organizzazione si dovrebbe:

  • gestire l’aspetto delle licenze software laddove l’autorizzato operi attraverso i propri dispositivi personali;
  • regolamentare a priori gli aspetti relativi ai diritti di proprietà intellettuale dei contenuti sviluppati su dispositivi privati;
  • definire le modalità di accesso ai dispositivi privati in caso di indagini sia interne sia che da parte delle forze dell’ordine;
  • considerare di sottoscrivere polizze assicurative specifiche;
  • gestire concessione e revoca dei privilegi e dei diritti di accesso alle informazioni sui dispositivi laddove terminasse l’attività di telelavoro.

Il lavoro agile, in condizioni di emergenza

Il lavoro agile, o smart working, rappresenta una delle “modalità di esecuzione del rapporto di lavoro subordinato, caratterizzato dall’assenza di vincoli orari o spaziali nonché una organizzazione per fasi, cicli ed obiettivi” (art. 18 L. 81/2017).

Dal punto di vista giuslavoristico, la legge prevede, all’art. 19 che “l’accordo relativo alla modalità di lavoro agile è stipulato per iscritto ai fini della regolarità amministrativa e della prova, e disciplina l’esecuzione della prestazione lavorativa svolta all’esterno dei locali aziendali, anche con riguardo alle forme di esercizio del potere direttivo del datore di lavoro ed agli strumenti utilizzati dal lavoratore. L’accordo individua altresì i tempi di riposo del lavoratore nonché le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro”

Lo smart working si differenzia dal telelavoro; o meglio: l’uno deriva direttamente dell’altro.

Vediamone le differenze.

TelelavoroLavoro Agile
La parola stessa indica il lavoro che si svolge a distanza (tele…) rispetto alla sede centrale.

Si è diffuso negli anni ’70 grazie allo sviluppo delle tecnologie informatiche. I cd teleworkers lavoravano per lo più da casa o in un luogo specifico distaccato/ decentrato.

Con l’Accordo Quadro del 2004, il telelavoro segue normative specifiche, come ad esempio l’obbligo – da parte del datore di lavoro – di eseguire ispezioni per sincerarsi del regolare svolgimento del lavoro, con tutto ciò che ne consegue in termini di prestazione, allo stesso modo, performante che di sicurezza.

Al netto delle considerazioni già svolte in proposito, la sostanziale differenza rispetto al telelavoro risiede nella non più necessità di “legarsi” ad un luogo fisico fisso (di fatto, poi sempre il medesimo, come potrebbe essere il domicilio) ove lavorare.

In smart working si può lavorare da casa, così come in un bar o ristorante, ovvero ancora in un parco o qualunque luogo altro luogo nel quale poter adoperare un pc o uno smartphone, o un tablet, ed avere una connessione WIFI.

L’orario viene autodeterminato, purché si raggiunga l’obiettivo prefissato ed il monte ore è gestito dal dipendente (smart workers).

A costoro, i meglio noti come “lavoratori agili”, è garantita la parità di trattamento:

economico e giuridico.

Ciò premesso, se da un lato, i vantaggi dello smart working presentano una serie di opportunità anche economiche, eliminando costi e tempi di spostamento in favore di una migliore organizzazione della vita personale, sussistono altresì vantaggi per l’organizzazione riducendo quanto meno:

  • postazioni di lavoro;
  • microconflittualità;
  • costi generali di esercizio (energia, stampa, ecc.);

Per completezza ed onestà intellettuale non possono sottacersi, pure, alcuni svantaggi per il dipendente tra cui una riduzione della socialità; una difficoltà oggettiva di reperire informazioni ovvero di recuperarle, ma in modo meno efficiente.

Si pensi al caso di due lavoratori che, per necessità lavorativa, devono scambiarsi informazioni. Questi a distanza ed in assenza di sincronia, potrebbero sì incontrare alcune difficoltà nella comunicazione, a discapito delle proprie performance lavorative.

Ancora, lato organizzazione, maggiori potrebbero essere i costi che la stessa è chiamata a sostenere per rendere disponibili, ai singoli dipendenti/autorizzati, dispositivi aziendali (smartphone, tablet, pc) evitando l’uso promiscuo di analoghi strumenti, ma di proprietà dei dipendenti/autorizzati.

Nell’attuale stato di emergenza, con il DPCM dello scorso 23.02.2020 il Governo è prontamente intervenuto per rendere più immediato il ricorso a questa tipologia di lavoro, nelle aree considerate a rischio per l’emergenza epidemiologica da COVID-2019.

In dette zone, al fine di favorire il normale svolgimento dell’attività lavorativa, il Decreto del Presidente del Consiglio dei ministri consente l’attivazione dello smart working anche in assenza dell’accordo individuale, di cui si è detto. Per renderlo ancora più agile, in una situazione decisamente disagevole.

In questi casi, parrebbe bastare una mera “autocertificazione”.

A ben guardare, le circostanze odierne sono tutte riconducibili ad un (qualsiasi) evento di epidemia, ricomprese nel perimetro più ampio delle attività di Business Continuity, le quali presuppongono una serie di accortezze particolari nonché specifiche misure dovendo, tra le altre, prevedere che il lavoratore si porti sempre appresso, e non solo nel fine settimana, i dispositivi che gli sono stati assegnati.

Quanto successo in questi giorni è emblematico allorché molti datori di lavoro hanno — la domenica sera — avvisato o fatto avvisare i propri dipendenti di rimanere a casa.

In tempi di emergenza, oggi del coronavirus un domani non si sa, tra protezione dei dati delle persone e tutela della salute (sicurezza) pubblica, pur trattandosi di due grandi valori, prevale tendenzialmente la seconda.

Non dimentichiamoci che il diritto alla protezione dei dati è un diritto strumentale, da bilanciare con altre libertà ed interessi, fondamentali.

Il vero equilibrio, in definitiva, risiede tanto nel soddisfare un diritto ad informare e ad essere informati da un lato, quanto nel tutelare l’incolumità fisica del singolo e della collettività, dall’altro.

Non è trascurabile, in ogni caso, l’aspetto privacy soprattutto dal lato delle organizzazioni, le quali — anche sulla scia di quelle indicazioni date dalle alte rappresentanze — volendo operare in modo sinergico con le istituzioni (Ministero della Salute ed amministrazioni comunali), sia che siano in via diretta perché rientrati nel perimetro di quelle zone colpite, ovvero indirettamente coinvolte, dovrebbero raccogliere dati (appartenenti a particolari categorie ex art. 9 del Reg. UE 679/2016) tenendo conto dei principi di minimizzazione affinché gli stessi siano pertinenti e non eccedenti.

Conclusioni

La situazione che stiamo vivendo in questi giorni, ci insegna – oltre a mantenere la calma e a non farsi prendere da forme di psicosi eccessiva – a considerare una (qualunque) epidiemia/pandemia come un evento in grado di minare la Business Continuity e conseguentemente i sistemi informativi.

Allora, è bene porre in essere tutta una serie di mitigazioni di queste come di altre minacce. Le politiche – se presenti, eventualmente potenziate – di smart working ne sono senz’altro un esempio.

Una volta che avremo superato questa emergenza e saremo tornati ad una normale operatività, occorrerà:

  • pensare di pianificare delle simulazioni in cui ipotizzare scenari con una disponibilità ridotta di lavoratori sia in presenza che da remoto, ovvero la mancanza di fornitori strategici;
  • verificare con regolarità l’efficienza degli apparati tecnologici utilizzati per lo smart working;
  • tornare a lavorare sull’analisi dei rischi, facendo tesoro dell’esperienza e delle criticità superate. L’analisi del contesto, che è il momento iniziale da cui scaturisce la consapevolezza che guiderà il modello di analisi, non potrà non considerare questa nuova grande minaccia come un fattore ad alto rischio per il sistema aziendale.

Solo così saremo in grado di aumentare il livello di sicurezza dei sistemi, includendo la valutazione di una nuova minaccia (come quella del coronavirus per l’appunto, o di ogni simile evento), attivando sistemi efficaci al fine di rendere maggiormente operativa l’azienda anche in momenti di crisi, mantenendo la piena sicurezza.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4