Smart working: che c’è da fare per lavorare in sicurezza da remoto - Cyber Security 360

LA GUIDA PRATICA

Smart working: che c’è da fare per lavorare in sicurezza da remoto

L’adozione dello smart working richiede attente valutazioni di differenti aspetti di privacy e sicurezza delle informazioni, degli adempimenti di sorveglianza e di sicurezza dei lavoratori e, non da ultimo, di aspetti di diritto del lavoro. Ecco il vademecum per lavorare in sicurezza da remoto

30 Dic 2020
N
Anna Nardon

Privacy Legal Specialist, Larese & Associati srl

La pandemia ha obbligato numerose aziende pubbliche e private a cambiare le modalità di lavoro mutando le condizioni logistiche e strumentali delle prestazioni di lavoro ma trascurando, a volte, la protezione dei dati e improvvisando nella costituzione di un nuovo modo di lavorare che però è soggetto a delle specifiche condizioni: lo smart working è multidisciplinare, racchiude aspetti di privacy e sicurezza delle informazioni, si rivolge ad adempimenti di sorveglianza e di sicurezza dei lavoratori e non da ultimo di aspetti di diritto del lavoro.

È utile, dunque, delineare questa varietà di istituti con informazioni utili in merito ad azioni da mettere in pratica.

Smart working: le regole per lavorare in sicurezza

Utilizzando l’espressione “lavoro a distanza” è facile intuire i problemi fondamentali per un datore di lavoro ovvero la perdita di controllo e la vulnerabilità della propria azienda.

La delocalizzazione della postazione di lavoro comporta la messa a disposizione di documenti, file al di fuori del perimetro aziendale e pertanto la protezione dei dati deve avere una maggior tutela. Di fatto, in capo all’azienda incombe l’onere della protezione dei dati stessi tramite l’adozione di adeguate misure di sicurezza.

Sicuramente per sopperire a tutte le implicazioni del caso, il titolare e il lavoratore devono fare “gioco di squadra”. Dove termina l’accountability dell’uno, inizia la diligenza comportamentale dell’altro. La collaborazione del dipendente ha una forte rilevanza in termini di tutela del patrimonio aziendale e dei dati da proteggere.

Smart working: utili consigli pratici

Proviamo, dunque, a redigere un utile vademecum sulle pratiche e le buone regole che è basilare mettere in atto.

Una policy sull’utilizzo dei dispostivi aziendali e BYOD

È opportuno dotare lo smart worker di strumentazione aziendale, in quanto la promiscuità nell’utilizzo di apparecchiature personali pone rilevanti problemi sul tema della privacy.

Il WP29 nell’Opinion 2/2017 on data processing at work rivolge tra l’altro l’attenzione sul BYOD delineando i maggiori rischi per la privacy del lavoratore come, ad esempio, il monitoraggio della posizione e del traffico di rete, il quale potrebbe essere illegale qualora raccogliesse anche i dati relativi alla vita privata e familiare del dipendente.

Si raccomanda quindi l’uso di tecnologie adeguate al fine di evitare il monitoraggio o comunque l’accesso a dati attinenti alla sfera privata del lavoratore, comportando enormi rischi. Nella pratica si suggerisce di redigere un regolamento interno sull’utilizzo dei dispositivi personali come strumentazione di lavoro.

Pertanto, nella migliore delle ipotesi, si predilige la strumentazione aziendale per poter svolgere la prestazione di lavoro.

La distribuzione di un regolamento sull’utilizzo delle strumentazioni aziendali è un’attività prodromica a questa modalità di lavoro flessibile. Lo smart worker deve essere messo nelle condizioni di sapere le finalità, i mezzi e le modalità di utilizzo delle apparecchiature rese disponibili dal datore.

È necessario rendere ben chiaro che l’utilizzo delle risorse informatiche e telematiche deve sempre ispirarsi al principio della diligenza e correttezza, comportamenti che normalmente si adottano nell’ambito dei rapporti di lavoro.

In un documento di questo tenore dovrebbero essere trattati i temi sulle modalità di utilizzo dei personal computer con particolare riguardo alla gestione delle credenziali; l’utilizzo della rete aziendale e dei dispositivi elettronici e removibili, la navigazione su Internet, gli incidenti e data breach.

Questi sono solo alcuni argomenti di cui rendere edotto lo smart worker.

Formazione del personale allo smart working

Il solo regolamento sull’utilizzo delle apparecchiature aziendali e dei sistemi informativi in senso lato non è sufficiente. È necessario approfondire con corsi anche a distanza, con nozioni e casi pratici contestualizzati all’attività che effettivamente viene svolta dai lavoratori, che includa inoltre suggerimenti per utilizzare in modo corretto le password, gli antivirus e i periodici aggiornamenti del sistema.

Si ritiene utile che la formazione consapevole passi attraverso degli accorgimenti semplici ma di chiaro effetto, come le 11 raccomandazioni rese disponibili a cura del Cert-PA di AgID (Agenzia per L’Italia Digitale) per aiutare i dipendenti pubblici a utilizzare in maniera sicura PC, tablet e smartphone quando lavorano da casa:

  1. segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione;
  2. utilizza i sistemi operativi per i quali attualmente è garantito il supporto;
  3. effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo;
  4. assicurati che i software di protezione del tuo sistema operativo (firewall, antivirus ecc.) siano abilitati e costantemente aggiornati;
  5. assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione;
  6. non installare software proveniente da fonti/repository non ufficiali;
  7. blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro;
  8. non cliccare su link o allegati contenuti in e-mail sospette;
  9. utilizza l’accesso a connessioni Wi-Fi adeguatamente protette;
  10. collegati a dispositivi mobili (pendrive, HDD esterno ecc.) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione);
  11. effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

Le stesse indicazioni possono essere calate facilmente in un ambito di lavoro privato.

Utilizzo della posta elettronica

La posta elettronica ha una diffusione estrema. È uno dei metodi di comunicazione più utilizzato. Il lato oscuro che racchiude è nella possibilità di poter essere un canale privilegiato per attacchi informatici.

Una delle attività più diffuse è infatti il phishing che consiste nell’appropriarsi di informazioni riservate e di dati di altrui proprietà con lo scopo di compiere attività illecite; è da poco stato pubblicato nel sito del Garante una slide intitolata IL PHISHING: attenzione ai pescatori di dati personali.

Il Garante dispensa cinque consigli pratici che devono essere dei “must” finalizzati alla propria difesa e che in un contesto di esternalizzazione come lo smart working è opportuno analizzare.

  1. Il buon senso prima di tutto. Quanto è vero. La normale diligenza dovrebbe portarci a riflettere prima di agire. L’autorità garante evidenzia alcune attività da evitare tra le quali non comunicare dati personali a sconosciuti.
  2. Occhio agli indirizzi. Osservare attentamente la comunicazione. Molte volte racchiude degli errori evidenti di grammatica, anche lo stesso indirizzo mail è differente rispetto ad uno conosciuto, potrebbero cambiare poche lettere o punteggiatura.
  3. Proteggersi meglio. La protezione può avvenire tramite antivirus, password complesse, e accorgimenti come non attuare la memorizzazione automatica in browser.
  4. Acquisti online in sicurezza. Nel caso in cui gli utenti siano soliti ad effettuare acquisti on line si consiglia di adoperare carte prepagate in modo che in caso di violazione di dati possa limitarsi il più possibile la condivisione di dati di conti correnti o carte di credito.
  5. La prudenza non è mai troppa. È utile attivare ad esempio nei propri conti correnti delle funzioni di segnalazione che permettano di essere tempestivamente avvisati in caso di movimentazioni nel proprio conto. Non solo. Qualora si pensi di essere vittima di phishing contattare le persone di riferimento degli istituti di credito.

Questi suggerimenti trovano ampio spazio nel comportamento usuale a cui dovrebbe attenersi uno smart worker.

Soluzioni idonee per la connessione alla rete aziendale

Il datore di lavoro dovrà scegliere la soluzione più idonea al proprio contesto. Tra le scelte vi è la possibilità di utilizzare VPN (Virtual Private Network) che consentono allo smart worker, mediante client, di connettersi alla rete aziendale ed elaborare e memorizzare i file direttamente nel server aziendale; oppure l’opportunità di utilizzare sistemi in Cloud conservati su un server virtuale nel web.

Per una protezione più sofistica sono emersi nel tempo anche strumenti come le ACL (Access Control List) che consentono l’accesso alle informazioni sulla base di permessi prestabiliti.

Un’altra metodologia è basata sullo Zero Trust che protegge da avanzate minacce sul web. Consiste in un processo di verifica dell’identità dell’utente con autenticazione a più livelli.

Pertanto l’azienda ha l’onere di proteggere il perimetro aziendale che diventa vulnerabile con l’apertura verso l’esterno.

Informativa sullo smart working

Una completa informativa è quella proposta dall’INAIL, la quale presenta alcune disposizioni previste nella legge 81/2017 recante “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”.

Alcune parti disciplinano lo smart working all’esterno, indicazioni che in questo momento epidemiologico, non sono consigliate. Diciamo però che è molto dettagliata e offre molti spunti per lo svolgimento del lavoro in ambienti domestici e può essere un’ottima base di partenza.

Accordo tra le parti per lo svolgimento dell’attività in smart working

Come definito nelle FAQ del Ministero del Lavoro la modalità di lavoro agile può essere applicata dai datori di lavoro privati a ogni rapporto di lavoro subordinato anche in assenza degli accordi individuali, ovvero utilizzando la procedura “semplificata”, e ciò sino alla fine dello stato di emergenza.

È utile riportare le date indicate sul sito del Ministero del Lavoro e delle Politiche Sociali ossia “Nel periodo in cui è stato dichiarato lo stato di emergenza (attualmente fissato al 31 gennaio 2021), le modalità di comunicazione del lavoro agile restano quelle previste dall’art. 90, commi 3 e 4, del D.L. 19 maggio 2020, n. 34, convertito dalla legge n. 77 del 17 luglio 2020, utilizzando la procedura semplificata già in uso (per la quale non è necessario allegare alcun accordo con il lavoratore), con modulistica resa disponibile dal Ministero del Lavoro e delle Politiche Sociali”.

Di norma, questo accordo deve essere in forma scritta e deve contenere almeno alcuni contenuti minimi in termini di durata, di esecuzione della prestazione lavorativa al di fuori dei locali aziendali, con particolare riguardo agli strumenti tecnologici utilizzati e al rispetto del diritto alla disconnessione per il lavoratore e di controllo della prestazione lavorativa all’esterno dei locali aziendali, tenendo conto dell’articolo 4 dello Statuto dei Lavoratori.

Smart working e accountability del datore di lavoro

Il datore di lavoro mette in atto comportamenti proattivi al fine di dimostrare l’adozione e il rispetto del regolamento europeo e normative connesse. Pertanto deve dar prova delle proprie decisioni in riferimento allo smart working.

In primis, aggiornare il registro alla luce dei nuovi trattamenti che si possono avverare attuando il “lavoro da casa”. Qualora fossero utilizzate tecnologie che impattano sul controllo a distanza del lavoratore, in ossequio al principio di proporzionalità e bilanciamento degli interessi, verificare se necessario effettuare una DPIA, aggiornando compiutamente la valutazione dei rischi privacy in azienda.

Rammentare al dipendente che rimangono valide le istruzioni impartite in qualità di autorizzato stante che in questo contesto varia la logistica della prestazione lavorativa e non l’oggetto di prestazione.

Prevedere una breve informativa sulla privacy in merito all’utilizzo dei dati dei dipendenti in funzione della nuova metodologia di lavoro. In ultimo, ma non per importanza, vagliare le misure di sicurezza adottate alla luce di quanto disposto dall’art. 32 GDPR in relazione alla protezione dei dati.

New call-to-action

@RIPRODUZIONE RISERVATA

Articolo 1 di 3