LA GUIDA PRATICA

Smart working: buone prassi per ridurre i rischi (non solo ICT)

Lo smart working offre innumerevoli vantaggi per aziende e lavoratori, ma comporta una serie di rischi (non solo ICT) che vanno adeguatamente presidiati. Ecco le buone prassi per lavorare in sicurezza anche da remoto

24 Mar 2020
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security


Lo smart working (il termine utilizzato dalla normativa è “lavoro agile[1]) è uno dei temi più discussi di questo periodo, ma poco si parla delle buone prassi per ridurre i rischi (non solo ICT) di questa particolare modalità lavorativa.

Lo smart working per la continuità operativa aziendale

In termini pratici si tratta di una modalità lavorativa nella quale i lavoratori operano (in genere per alcuni giorni nel corso della settimana) presso una sede diversa da quella abituale, di norma presso la propria abitazione o presso una sede aziendale vicino ad essa (ad esempio una filiale nel caso di un istituto di credito).

In realtà l’uso del lavoro a domicilio non è una novità. In passato era utilizzato anche da molte aziende manifatturiere (diversificando in questo modo il numero di fornitori, il che sarebbe molto utile anche nell’attuale situazione di crisi[2]), ma oggi è essenzialmente limitato ad attività di natura impiegatizia che comportano un trattamento più o meno esteso di informazioni e dati personali.

Nato per conciliare meglio vita e lavoro, lo smart working è considerato da alcune aziende come un benefit e da altre come una modalità per ottimizzare i costi, grazie alla riduzione degli spazi fisici e delle postazioni lavorative, dei costi di trasferta, dei viaggi, dei ticket e via dicendo e aumentare la produttività, grazie anche al maggior benessere di cui godono i lavoratori.

In questo momento di crisi e di limitazione nel movimento delle persone, lo smart working è diventata una delle modalità con cui garantire la continuità operativa per molte aziende, che possono pertanto limitare notevolmente il numero di addetti presenti presso la sede.

Questo fatto comporta un duplice vantaggio: i lavoratori che operano in smart working non devono uscire di casa e quindi non rischiano di essere veicoli o ricettori del contagio; i lavoratori che si recano al lavoro sono molto meno numerosi e quindi sia sui mezzi di trasporto[3], sia in azienda, è possibile mantenere agevolmente le distanze di sicurezza utili a evitare il contagio.

Smart working: i rischi delle soluzioni fai da te

Lo smart working è specificatamente normato per quanto attiene al rapporto fra dipendente e datore di lavoro e i recenti interventi normativi hanno consentito di estendere tale forma di lavoro ad un rilevante numero di soggetti senza particolari impegni burocratici.

Questo però non esonera il datore di lavoro in merito al fornire puntuali istruzioni e regole su come svolgere l’attività lavorativa, su come predisporre l’ambiente di lavoro e su come garantire l’adeguata sicurezza, sia per il lavoratore, sia per l’azienda.

In particolare, vanno evitate le soluzioni fai da te che molto spesso i dipendenti hanno già sperimentato e hanno messo in atto anche in periodi non di crisi, quali ad esempio l’accesso alla posta elettronica mediante propri strumenti personali (in particolare se la posta aziendale è accessibile con una webmail senza verifica del dispositivo che si connette) o la condivisione di documenti mediante uno dei tanti servizi gratuiti in cloud, l’uso di dispositivi esterni di memorizzazione[4] e altro ancora.

Spesso l’uso di tali soluzioni contrasta con le policy aziendali ufficiali, ma nella realtà le aziende ne hanno tollerato l’uso in quanto in tal modo si evita il ricorso a soluzioni alternative presidiate (e costose).

Dal punto di vista tecnico le soluzioni con cui vengono svolte le attività di smart working sono molto variabili e comportano di solito un collegamento con il sistema informativo dell’azienda, che non necessariamente permette l’accesso a tutte le funzionalità disponibili presso la sede.

Questo può comportare anche un cambio delle abitudini nella modalità di operare del lavoratore (in genere molto restio al riguardo), che in un normale rapporto di smart working che alterna lavoro a casa e presenza in sede può esser agevolmente gestito, ma che crea scompensi in un periodo di assenza prolungata dalla propria sede. Se ad esempio da remoto l’accesso alle cartelle di rete è difficoltoso il lavoratore può copiarne il contenuto in locale sul proprio portatile quando è in sede (o inoltrarle via mail a sé stesso) per averle disponibili quando lavora da remoto.

Periodi prolungati di assenza dalla sede vanificano tale modalità operativa e comportano un ripensamento sul modo di operare anche da parte di smart worker esperti.

La sicurezza nel trattamento dei dati aziendali e personali

Per poter svolgere la propria attività, il lavoratore deve disporre di norma di strumenti per elaborare le informazioni (un PC portatile), uno strumento per comunicare (che può essere lo stesso PC o uno smartphone), una connessione a Internet per supportare lo scambio di informazioni, una connessione alla rete aziendale (di norma tramite una VPN).

Tali strumenti possono essere sia dell’azienda, sia del lavoratore, con combinazioni variabili che possono influenzare l’architettura complessiva della postazione del lavoratore e la relativa sicurezza, con particolare riferimento a quella delle informazioni gestite.

Infatti, uno dei maggiori punti di attenzione che dovrebbe avere il datore di lavoro, nella gestione dello smart working, è il garantire quantomeno lo stesso livello di sicurezza nel trattamento sia delle informazioni aziendali, sia dei dati personali, garantendo nel contempo il rispetto di varie normative.

Di fatto queste non variano per il semplice fatto che il lavoratore opera, ad esempio, dal proprio domicilio.

Vanno quindi rispettate la normativa privacy, quella sulla safety, quella sui controlli a distanza, il modello 231 nel caso in cui l’azienda ne abbia uno.

Spetta al datore di lavoro verificare che sussistano le condizioni per il rispetto di tali normative, dando strumenti ed istruzioni in tal senso ai propri dipendenti.

Va precisato che in questo momento particolare, le circostanze in cui si svolge l’attività di smart working dovrebbe essere verificata anche per i dipendenti che svolgevano tale modalità di lavoro in situazione di precrisi, integrando eventualmente le istruzioni a suo tempo impartite. Sono infatti cambiate le circostanze in cui si opera.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Ad esempio, non sono molti quelli che dispongono in casa di uno spazio adeguatamente isolato in cui poter svolgere il proprio lavoro; se di norma questo non costituisce un problema in quanto coniuge e figli non sono di norma presenti durante l’intero arco della giornata, nell’attuale situazione di convivenza forzata potrebbe essere necessario rivedere le proprie abitudini di smart worker.

Io stesso ho dovuto abbandonare la mia tradizionale postazione davanti al camino, circondato dai miei sei trovatelli, e utilizzare nuovamente il mio studio al piano superiore.

Anche l’estensione temporale dell’attività di smart working di norma a tutta la settimana ha il suo effetto:

  • aumenta il numero di riunioni che si tengono esclusivamente da remoto e questo incrementa le criticità esposte al paragrafo precedente, motivo per cui, per mantenere un’adeguata riservatezza nelle comunicazioni, è consigliabile l’uso di cuffie e il divieto del riscorso alle comunicazioni in viva voce (non si deve dimenticare al riguardo che, a differenza del periodo precrisi, anche gli inquilini degli appartamenti vicini sono in casa e possono pertanto ascoltare le nostre conversazioni);
  • non sarà possibile recuperare documenti disponibili unicamente su carta, né di regola provvedere a digitalizzare documenti o a stampare, in quanto le relative periferiche non sono una dotazione di norma un uso ad uno smart worker.

Smart working: regole di sicurezza e conformità normativa

Quali sono quindi le regole essenziali per garantire la sicurezza e la conformità nello svolgimento delle attività di uno smart worker?

Tralasciamo, anche se importanti, quelle relative espressamente alla safety.

Il datore di lavoro dovrebbe dare indicazioni sull’ambiente in cui si svolge l’attività che, come prima ricordato, dovrebbe essere il più isolato possibile, affinché nemmeno accidentalmente un terzo, compresi i familiari (rischio notevolmente aumentato in questo periodo), possa accedere anche in sola consultazione alle informazioni presenti sulla postazione di lavoro.

La postazione dovrà quindi essere opportunamente orientata per evitare una tale eventualità e bloccata quando ci si allontana dalla medesima.

Tali indicazioni dovrebbero essere rimarcate nell’attuale situazione di crisi, in quanto il lavoratore potrebbe essere abituato a lavorare essendo da solo in casa e, quindi, non abituato a mettere in atto tali accorgimenti.

Dal punto di vista prettamente tecnico, se il lavoratore utilizza unicamente strumenti aziendali, si presuppone che l’azienda stessa abbia predisposto sia il PC sia lo smartphone con tutti gli accorgimenti richiesti, fra i quali:

  • cifratura;
  • antivirus;
  • patch aggiornate;
  • uso di utenze senza privilegi amministrativi;
  • blocco delle porte USB e dell’eventuale masterizzatore;
  • client VPN;
  • software per la gestione di conferenze audio e video;
  • eventuale software per il controllo remoto della propria postazione presso la sede;
  • la formazione sugli strumenti e sulle regole da adottare;
  • la relativa infrastruttura lato sede;
  • i manuali di supporto;
  • un servizio di supporto tecnico in caso di malfunzionamento;
  • una soluzione di backup che consenta comunque di operare anche se non tutti gli strumenti funzionano regolarmente[5].

Quanto sopra per far sì che sia le informazioni eventualmente presenti in locale, sia la rete aziendale al momento della connessione del dispositivo, siano protetti.

Sebbene spesso le policy aziendali vietino di conservare localmente dei dati, è innegabile che in questo momento di uso massivo dello smart working (e conseguente occupazione di banda) potrebbe essere necessario derogare a tale prescrizione, ricordando tuttavia di salvare i dati elaborati in locale anche sulle share di rete (sempre che sia un servizio disponibile).

I rischi dello smart working: l’uso dei dispositivi personali

Molto diverso è il caso dell’uso di dispositivi personali.

Al riguardo vanno distinte ovviamente le situazioni nelle quali è ad esempio consentito l’uso del proprio PC o smartphone rispetto al semplice uso della connettività.

È evidente che al di là di una rigorosa policy BYOD (Bring Your Own Device, letteralmente: portate il vostro dispositivo) solo la presenza di opportune misure di salvaguardia può garantire un certo livello di sicurezza.

Nel caso degli smartphone è possibile attivare delle partizioni separate nelle quali gestire e conservare i dati aziendali, mentre nel caso dei pc è possibile utilizzarli quali strumenti per accedere da remoto o alla propria postazione presente in azienda o a servizi virtualizzati che l’azienda ha reso disponibili (in questo caso sia le applicazioni software, sia i dati, resterebbero sui server aziendali e non vi sarebbe un trasferimento locale di informazione).

È evidente, tuttavia, che tale architettura comporta degli investimenti, sia di natura economica, sia in termini di tempo per la relativa implementazione e sperimentazione.

I tipi di soluzione quindi non mancano anche nel caso in cui si usino strumenti personali.

È evidente che consentire l’uso di strumenti personali senza alcun accorgimento, salvo la presenza di una policy anche rigorosa, non è sicuramente sufficiente e potrebbe esporre un’azienda, o meglio un titolare, a possibili sanzioni.

Non va infatti dimenticato che le prescrizioni del GDPR vanno sempre e comunque applicate e che la predisposizione di soluzioni per consentire un lavoro a distanza comportano necessariamente l’esecuzione delle varie analisi dei rischi previsti ai sensi degli artt. 24, 25 e 32.

Non devono essere presi in considerazione solo gli aspetti di sicurezza, ma anche le altre misure richieste per il rispetto della normativa privacy.

Al riguardo va anche considerato che alcune scelte aziendali già in essere prima di questa situazione di crisi, potrebbero richiedere una rivalutazione proprio alla luce dell’attivazione dello smart working.

Ho già citato in precedenza quanto poco conforme possa essere considerata la possibilità di accesso alla mail aziendale (o ad altre informazioni che contengano dati personali), semplicemente mediante una intranet accessibile via web che non consenta l’identificazione del dispositivo di accesso.

È evidente che in questo caso il semplice uso di user id e password o anche più sofisticati strumenti di autenticazione non garantiscano il fatto che l’accesso avvenga da uno strumento aziendale.

È evidente che tale modalità operativa, per quanto poco sicura, potrebbe essere tollerata se effettuata occasionalmente, ma sicuramente non può essere accettabile come normale strumento di lavoro; dati e documenti potrebbero essere trasferiti su un dispositivo al di fuori di qualunque controllo aziendale ed il cui livello di sicurezza non può essere garantito.

Smart working e documenti cartacei

Un discorso a parte merita la gestione dei documenti su carta, che in realtà non dovrebbero per nulla esistere e se presenti non vanno lasciati accessibili alla consultazione di terzi, familiari compresi.

In realtà portare fuori dall’azienda documenti dovrebbe essere di fatto vietato, ma è ben noto che molti hanno questa abitudine quando devono finire un lavoro importante ed urgente, la sera o nel week end.

La regola viene così infranta, sacrificando la sicurezza all’efficienza. In questo momento c’è anche il rischio che documenti particolarmente significativi, che nelle intenzioni di chi li ha portati fuori dall’azienda avrebbero dovuto farvi ritorno in tempi brevi, debbano essere necessariamente custoditi presso la casa del lavoratore, con un livello di sicurezza insufficiente. Al riguardo, se il documento è una copia, una idonea soluzione potrebbe essere la sua distruzione.

È innegabile che molte attività possono essere svolte molto più agevolmente sulla carta che non sul video e questo anche per un banale problema di affaticamento della vista e che quindi è ancora diffusa la stampa dei documenti per la loro revisione.

Tuttavia, non disponendo di regola di una stampante (o in ogni caso non essendo possibile, da parte del lavoratore, la sua autonoma configurazione su un PC aziendale adeguatamente protetto), lo smart worker deve anche abituarsi ad una modalità diversa di operare.

Il rischio in questo caso è che cerchi in qualche modo di aggirare l’ostacolo, bypassando i vincoli imposti ad esempio dall’impossibilità tecnica di effettuare delle copie su supporti esterni, inoltrando il documento che desidera stampare sulla casella di posta personale al fine di stamparlo dal proprio PC e con la propria stampante.

È evidente che in questo come in molti altri casi la volontà del lavoratore è solo quella di lavorare al meglio; non ha avvertenza dei relativi aspetti di sicurezza.

È per tale motivo che le regole che devono essere emanate devono comprendere tutti i possibili casi che il lavoratore potrà trovarsi ad affrontare, evitando di lasciare zone grigie che possano portare ad adottare soluzioni non idonee.

Non dimentichiamo che la responsabilità, ad esempio nel caso di trattamento di dati personali, è sempre in capo al titolare, che deve dimostrare di aver dato tutte le indicazioni possibile ai propri dipendenti affinché questi operino nel rispetto delle normative e delle regole predisposte dal datore di lavoro.

Queste dovrebbero comprendere anche indicazioni su come il lavoratore debba comportarsi ad esempio in caso di incidente di sicurezza.

Conclusioni

Garantire la continuità dell’operatività aziendale non può costituire un esimente per diminuire i livelli di sicurezza per quanto attiene il trattamento delle informazioni aziendali e dei dati personali.

Gli obblighi di analisi dei rischi imposti dal GDPR in tal senso, possono agevolare le aziende nel valutare quelli che sono i rischi dell’attività di smart working, se mai attività in precedenza, o della estensione del perimetro temporale e dei soggetti coinvolti se già in essere.

Ancora una volta quindi, il rispetto delle normative si dimostra non un inutile adempimento, ma un reale presidio del business aziendale.

NOTE

  1. Il cosiddetto telelavoro è invece già normato da oltre 20 anni.
  2. Si veda al riguardo anche l’articolo: Resilienza, contro gli attacchi informatici: linee guida per le aziende.
  3. Se ovviamente non viene ridotto proporzionalmente il numero dei mezzi in circolazione.
  4. Al riguardo va ricordato che molti smartphone sono visti da un pc come se fossero una chiavetta USB e quindi sono uno strumento ideale per salvare anche decine di GB di dati e documenti. Essendo inoltre uno strumento comune passano del tutto inosservati in azienda.
  5. Ad esempio se la VPN non è disponibile per un certo periodo la possibilità di utilizzare lo smartphone quantomeno per la consultazione di posta e documenti.
WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Cloud storage

@RIPRODUZIONE RISERVATA

Articolo 1 di 5