Mettere in atto le corrette procedure di cyber security è il primo, fondamentale passaggio per cogliere i vantaggi dello smart working disinnescando il timore di subire un’ingente sanzione. Timore che ha finora contrastato l’ascesa di un cambiamento radicale nel modo di concepire il lavoro.
Facciamo allora una panoramica sulle misure di sicurezza che le società possono attuare per salvaguardare i dati sensibili degli interessati e al contempo assecondare l’inarrestabile riforma del lavoro agile.
Le norme che regolano lo smart working
A seguito di un lungo iter parlamentare, l’approvazione della legge n. 81/2017 ha sancito per la prima volta in Italia una regolamentazione ufficiale al fenomeno dello smart working, una vera e propria rivoluzione che ha portato il lavoro “agile e intelligente” ad essere considerato a distanza di due anni una forma di occupazione al passo con il progresso tecnologico, efficiente (fino al 30% in più produttività) e favorevole la conciliazione tra vita professionale e privata.
Smart working e sicurezza dei dati
Il significativo sviluppo delle velocità di connessione, la maggiore fruizione delle stesse e i dispositivi sempre più versatili e performanti rendono possibile anche lontano dalla sede di lavoro il disimpegno di attività complesse e richiedenti una continua relazione con altri colleghi. Nell’era digitale però le comunicazioni, le informazioni, le trasmissioni, non restano solamente qualcosa di aleatorio e impercettibile, tutto viene trasformato in dati i quali a loro volta saranno archiviati oppure modificati e rimessi in circolazione nelle infinite vie della connettività globale. Durante questo ingente passaggio di bit, nascosti dietro l’angolo si celano incidenti di sicurezza in cui i dati sensibili vengono consultati, copiati, trasmessi, rubati o utilizzati da soggetti non autorizzati. Tale divulgazione (involontaria o volontaria) può avvenire in seguito a: perdita accidentale, furto, infedeltà aziendale, accesso abusivo o divulgazione non autorizzata. D’altro canto, il GDPR è chiaro, non importa quale sia la causa scatenante, conta solo il danno risultante: il Garante Privacy può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Dagli ultimi dati pubblicati dal CNIL (il garante privacy Francese nonché la fonte più autorevole della zona Euro) una considerevole quantità di data breach con la conseguente diffusione di dati sensibili o confidenziali si è concretizzata all’interno di ambienti con buone misure di sicurezze e strutturati, dove la presenza di amministratori di rete non è bastata ed evitare spiacevoli incidenti.
A questo punto, sulla base di tali considerazioni c’è una domanda che sorge spontanea: se nonostante le misure di sicurezza e l’organizzazione si sono comunque verificate violazioni, cosa potrebbe succedere ad uno smart worker che svolge le sue mansioni da casa con il proprio pc, senza alcuna competenza di cyber security, senza alcuna supervisione, ma che gestisce la stessa quantità di dati e informazioni di un suo collega in sede? Nel caso la domanda apparisse retorica, la successiva sarebbe: cosa può fare il datore di lavoro per porre rimedio e ridurre al minimo il rischio di violazione della privacy?
Il rischio sanzioni
Il famigerato rovescio della medaglia, da una parte progresso ed efficienza, dall’altra il rischio di subire una sanzione pecuniaria più che considerevole. Si potrebbe pensare che la scelta migliore sarebbe quella di optare per una soluzione sicura e tradizionale, la buona e vecchia strada dal lavoro in ufficio: d’altronde perché rischiare se nessuno ci obbliga a stipulare contratti di smart work?
Non potrei essere più in disaccordo: in primis il lavorare agile non è altro che il risultato di un cambiamento tecnologico, culturale, nel modo di concepire l’ufficio e la società; in secondo luogo sono fermamente convinto che l’inerzia sia la morte dell’imprenditore. Badate bene, le stesse considerazioni sono ugualmente applicabili alle pubbliche amministrazioni: perché un dirigente dovrebbe opporsi all’avere un dipende più efficiente e allo stesso tempo, meno stressato, esonerato dalle spese di trasporto e con maggiore flessibilità? Solamente per paura di una sanzione? La soluzione in questo caso può riassumersi in due parole: sensibilizzazione e monitoraggio. Un famoso comandante cubano disse: ”la vera rivoluzione dobbiamo cominciare a farla dentro di noi”, ebbene, sarebbe eticamente e moralmente corretto se il datore di lavoro aiutasse il dipendente in questo suo percorso di apprendimento.
Un lavoro flessibile prevede solitamente un notebook, uno smartphone e alle volte un tablet. Quando questi dispositivi vengono forniti dall’azienda, è il datore di lavoro, in qualità di titolare o responsabile del trattamento, a garantire la sicurezza costante dei dati sensibili. Numerosi comportamenti quotidiani possono portare a potenziali rischi quali lo smarrimento dei device o la navigazione tramite reti non sicure. Se aggiungiamo l’assenza di supervisione del datore di lavoro il cocktail diventa letale. Tali condotte vanno a sommarsi purtroppo a ciò che viene considerato il peggior male dell’epoca informatica: i cyber attacchi.
L’incertezza perciò si addensa in quanto incombe il dovere di protezione da attacchi esterni ma altrettanto da attacchi interni. La prima soluzione da impiegare è puntare sul monitoraggio al fine di integrare man mano soluzioni sempre più efficienti, pratiche e razionali. Per le imprese però non è sempre così agevole e immediato. Oltretutto, applicando lo smart working la sicurezza in itinere dovrà necessariamente essere a carattere bilaterale: da un lato orientata verso la realtà aziendale e uno verso il lavoratore. Tanto è vero che suddetti dispositivi sono destinati ad utilizzare sì la rete aziendale ma anche tutte le altri reti wireless come quelle domestiche, le pubbliche e qualsiasi hot spot messo a disposizione da un qualsivoglia esercizio commerciale. Come supervisionare perciò su queste tecnologie? Di seguito analizzeremo una serie di atteggiamenti proattivi, di procedimenti risolutivi e come approcciarli nel giusto modo.
Investire nella formazione del personale
Investire nella formazione del personale è il primo step da compiere. La prima linea di difesa deve essere la sensibilizzazione ai pericoli in tutte le loro forme. Dovrà essere implementata una formazione persistente sulle esatte procedure, i software, le utility, le suite; di sicuro giovamento sarebbe l’ottenimento di alcune tra le più importanti certificazioni quali: CISM (Certify in Info Security Management); CISSP (Certified Information Systems Security Professional); CIS (Certified Information Systems Auditor); CEH (Certified Ethical Hacker). Sarà altrettanto importante da parte dei vertici aziendali dare il buon esempio in termini di consapevolezza e coscienza, senza dimentica di far sentire importanti i propri collaboratori. Trasmettere al proprio gruppo di lavoro che sarà il dirigente preposto a svolgere un ruolo fondamentale per la sicurezza dei dati è una forma di fiducia lodevole e incisiva.
Protezione dei dispositivi
I dispositivi utilizzati nel lavoro agile devono essere protetti sotto ogni punto di vista: i mezzi cardine saranno l’implementazione di un software antivirale (o una security suite) e un sistema di backup (incrementale o differenziale). Ugualmente rilevante sarà la crittografia dei dati. Se la cifratura (consigliabile dai 256 bit in su), trasparente per l’utente finale, è associata alle sue credenziali di accesso, in caso di perdita o appropriazione indebita del dispositivo le informazioni sensibili saranno al sicuro. Discorso analogo ed ugualmente valido sussiste per le comunicazioni crittografate tra il device e i server aziendali. Le società dovrebbero altresì tutelarsi adottando sistemi MDM (Mobile Device Management). Queste piattaforme sono molto valide per la gestione da remoto e l’amministrazione di tutti i device mobile, poiché possono gestire la sicurezza, la configurazione, il rilascio di aggiornamenti per i software e per il sistema operativo. Tutto ciò delinea una buona tattica per soddisfare le esigenze dei lavoratori, degli analisti CIO, degli amministratori di dominio e dei responsabili IT: i vertici aziendali hanno il pieno controllo dei dati e il dipendente può operare comodamente a distanza senza preoccuparsi per la privacy degli interessati, nel pieno rispetto del GDPR. Infatti, qualsiasi sistema di gestione, in conformità al GDPR, dovrà mettere “in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato” in conformità, tenendo conto delle modalità di accesso ai dati tramite software attendibili autorizzati dalla società e dell’adeguamento del produttore al sistema operativo (Microsoft, Android o Apple). In ogni caso la loro configurazione non dovrà mai consentire al datore di lavoro di perpetrare sistemi di controllo occulti e quindi lesivi della privacy dell’interessato.
Instaurare delle restrizioni
Il lavoratore agile dovrà accedere alla intranet aziendale per poter lavorare efficientemente, sfruttando però tutte le informazioni ascrivibili esclusivamente alle sue funzioni. Instaurare delle restrizioni risulta un’ottima prassi associata allo smart working in quanto in caso di ingerenza, il malintenzionato non potrebbe consultare né manomettere nessun’altra area dell’infrastruttura aziendale avendo accesso solamente a cartelle e dati strettamente pertinenti alla specifica mansione del lavoratore vittima. Oltretutto, è necessario tentare un metodo di accesso più moderno e affidabile rispetto al semplice uso di una password associata ad uno user name. Un accesso che preveda l’impiego di un dispositivo hardware (una pendrive USB, un mobile token, un sistema OTP, una smartcard) oppure l’utilizzo di un codice usa e getta inviato su richiesta, previo riconoscimento, direttamente sul dispositivo dello smart worker. Insomma, le vie da percorrere sono molteplici, per attuarle sostanzialmente servono: un relativo investimento (del tutto giustificato nonché ripagato), lungimiranza e buona volontà.
Concludendo, lo smart working in Italia è una realtà oramai consolidata che non può più essere ignorata, così come la necessita di sicurezza informatica ad essa legata. Ad oggi i lavoratori agili, in continuo aumento peraltro, rappresentano ben il 9% del totale. Una corretta politica di sensibilizzazione dei dipendenti e un progetto di sicurezza creato su misura per queste risorse, permettono alle società di creare, condividere e archiviare dati sensibili in sicurezza. Nell’era dell’impresa 4.0 non è la sede di lavoro che conta bensì i risultati ottenuti, la produttività e il modo in cui si conseguono le giuste procedure di cyber security.