La diffusione della Covid-19 causata dal virus SARS-CoV-2 ha obbligato numerose organizzazioni ad adottare lo smart working per tutelare la salute dei lavoratori garantendo la continuità dei propri processi operativi: un’attuazione efficace dello smart working richiede, tuttavia, un’attenzione particolare per la sicurezza, intesa non soltanto come tutela della salute umana ma anche come protezione dei dati aziendali, e quindi più in generale per la cyber security.
Cyber security e smart working: quali rischi
Lavorare da remoto, in ambienti e con strumenti che sfuggono al controllo del datore di lavoro, espone il patrimonio informativo a nuovi rischi che devono essere analizzati in modo approfondito e indirizzati con misure tecniche e organizzative idonee.
Si pensi al dipendente che svolge le proprie mansioni lavorative da casa utilizzando il proprio PC. I rischi possono essere molteplici: il lavoratore potrebbe non aver effettuato i dovuti aggiornamenti software, non aver installato/aggiornato l’antivirus o non disporre di filtri anti-spam e anti-phishing sulla propria casella di posta elettronica.
Inoltre, il PC utilizzato per finalità lavorative potrebbe essere impiegato per scopi privati, ad esempio lo streaming, i giochi online o il download di file che potrebbero comportare dei rischi o l’accesso a siti web poco sicuri.
Il PC sarà poi verosimilmente connesso al Wi-Fi di casa, che se non configurato in maniera sicura può essere vulnerabile a tentativi di intrusione e intercettazione delle informazioni trasmesse.
La tecnologia non è l’unica fonte di rischio per chi lavora da remoto. Diverse insidie possono provenire dall’ambiente fisico in cui si sceglie di svolgere le proprie mansioni. Ai collaboratori che lavorano da casa, magari a stretto contatto con bambini, potrebbe capitare di danneggiare dispositivi hardware, causando una perdita di dati qualora non siano state adottate adeguate misure di backup.
Contesti operativi accessibili al pubblico potrebbero invece mettere a repentaglio la riservatezza delle informazioni: dati riservati potrebbero essere visualizzati da estranei sullo schermo dei nostri dispositivi o carpiti durante una conversazione telefonica in un luogo affollato.
Per non parlare della possibilità che PC, smartphone o supporti di memorizzazione vengano smarriti o sottratti, assieme ai dati contenuti al loro interno, magari perché lasciati incustoditi nel bagagliaio della nostra automobile o sul tavolino di un bar.
Cyber security e smart working: responsabilizzare i dipendenti
Le minacce ai dispositivi, alle reti e ai dati possono dunque essere di varia natura. D’altro canto, vi sono interventi di rapida attivazione che l’organizzazione può mettere in campo, anche nell’ottica di aumentare la produttività del lavoratore.
Fondamentale in tal senso è la responsabilizzazione dei collaboratori non soltanto nel rispetto di obiettivi professionali e di produttività, ma anche di tutela del patrimonio informativo, un asset altrimenti difficilmente presidiabile in maniera efficace dall’organizzazione.
È importante, per prima cosa, rafforzare la consapevolezza dei lavoratori in merito ai rischi connessi alle loro mansioni e alle cautele necessarie per la tutela dei dati durante lo smart working. In particolare, in caso di rapida attivazione delle modalità di lavoro flessibile per un ampio numero di collaboratori, l’attività di formazione e sensibilizzazione dovrà comprendere sia le regole specifiche previste dall’organizzazione, sia le misure di buon senso nell’uso degli strumenti informatici che ogni utente dovrebbe seguire a propria tutela.
Un occhio di riguardo dovrà esser dedicato alle principali minacce informatiche e alle modalità di accesso, archiviazione e trasmissione sicura dei dati. Ad esempio, i lavoratori dovranno essere adeguatamente formati affinché siano in grado di riconoscere ed evitare tentativi di phishing e siti Web non sicuri, e a utilizzare in modo corretto piattaforme di file sharing e repository di dati messe a disposizione dall’organizzazione.
Policy e regolamenti per lo smart working
Una secondo ambito di intervento per le organizzazioni, in ambito cyber security e smart working, è proprio la definizione e comunicazione al personale di politiche e regolamenti adeguati alle esigenze operative e di sicurezza, volte a guidare il personale nell’utilizzo degli strumenti informatici e nella protezione dei dati durante il lavoro da remoto.
Ad esempio, qualora l’organizzazione abbia autorizzato l’utilizzo di dispositivi personali adottando una politica di Bring Your Own Device (BYOD), si potrà richiedere la creazione di utenze separate per le attività lavorative da quelle destinate a scopi privati o all’utilizzo da parte di altri membri della propria famiglia.
L’organizzazione potrebbe inoltre decidere di vincolare lo svolgimento di alcune mansioni critiche che prevedono lo scambio di informazioni riservate all’utilizzo di spazi e strumenti di lavoro che offrano appropriate garanzie di riservatezza, specificando tali requisiti all’interno di clausole ad-hoc nella propria policy di smart working.
Strumenti idonei per la sicurezza dei dati
Una terza area d’intervento per le organizzazioni consiste nel mettere a disposizione dei propri collaboratori strumenti idonei a gestire le minacce alla sicurezza dei dati.
Uno strumento utile in tal senso è il privacy screen, una sottile pellicola di plastica o vetro da applicare sullo schermo del proprio smartphone o PC per impedirne la visualizzazione da posizioni laterali allo schermo stesso. Un accorgimento da utilizzare in modo sistematico in luoghi come bar o mezzi di trasporto pubblici per evitare che vicini curiosi possano carpire informazioni riservate sbirciando sul nostro dispositivo.
Un altro esempio sono le chiavette USB, un mezzo comodo per spostare i file da un PC all’altro oppure per consegnarli a collaboratori e fornitori ma che può essere rubato o smarrito con estrema facilità. L’azienda potrebbe pertanto decidere di limitarne l’uso e, ove necessario, proteggerne il contenuto tramite opportune tecniche di cifratura.
Ai collaboratori che dovessero trovarsi spesso in viaggio, l’azienda potrebbe inoltre fornire strumenti in grado di proteggere smartphone e tablet da fonti di alimentazione non sicure: caricabatterie e adattatori USB progettati per trasferire corrente elettrica da PC e colonnine di ricarica pubbliche – sempre più diffuse in ambienti pubblici come stazioni ferroviarie e aeroporti – impedendo il passaggio di dati ed eventuali malware annessi.
Conclusione
Molti degli interventi citati possono essere attuati in tempi relativamente brevi rispetto all’avvio delle attività di smart working. Nel lungo periodo, tuttavia, il datore di lavoro dovrà effettuare una valutazione più approfondita dei rischi e delle azioni necessarie, tenendo conto delle peculiarità dello smart working dal punto di vista delle minacce, degli impatti e dei rischi rispetto a un contesto operativo e tecnologico tradizionale.
In particolare, sarà opportuno domandarsi se ci sono nuovi rischi o minacce, o se vi sono rischi già noti che diventano più probabili o determinano impatti maggiori con il passaggio a una modalità di lavoro flessibile.
Un esempio è il rischio di furto di un PC: se agli utenti è consentito portarlo a casa o lavorare in spazi accessibili al pubblico, la probabilità di furto potrebbe aumentare a causa della maggiore esposizione a minacce e dell’assenza dei presidi di sicurezza fisica normalmente previsti all’interno dell’organizzazione.
Lo stesso vale per il rischio di perdita di dati, che potrebbe aumentare in assenza di soluzioni di backup automatiche sui dispositivi personali dei lavoratori. Tale rischio potrà essere gestito rafforzando i sistemi di collaboration e adottando regole che impongano al personale il salvataggio di dati e documenti su archivi centralizzati, misura che, tra le altre cose, incrementerà l’efficienza dell’azienda.
Anche in fase di valutazione dei rischi, quindi, risulta centrale il ruolo dell’utente che, attraverso i propri comportamenti, può rappresentare al tempo stesso una fonte di rischio e l’elemento chiave di un’efficace strategia di mitigazione.
La tecnologia e gli strumenti sono un fattore abilitante per raggiungere i livelli di sicurezza voluti, ma un’adeguata consapevolezza dei rischi e delle corrette modalità di utilizzo degli strumenti restano il presupposto fondamentale per proteggere i dati anche durante lo smart working. Saranno, pertanto, la formazione e la sensibilizzazione del personale le misure di sicurezza principali e più urgenti per iniziare a lavorare in modo agile e sicuro.
@RIPRODUZIONE RISERVATA
