Come gestire lo smart working

Parliamo dello smart working come da definizione. Questo grande sconosciuto, almeno fino ad un anno fa circa, è stato descritto dall’Osservatorio Smart Working del Politecnico di Milano come:

“una modalità di lavoro che slega la prestazione professionale dai tradizionali vincoli di spazio, tempo e strumenti deputati allo svolgimento delle attività. Diverso dal cosiddetto telelavoro (dove la persona resta vincolata a una postazione fissa e a limiti di orario prestabiliti), si basa su principi di flessibilità e responsabilità personale, implicando una revisione della cultura organizzativa”.

Ma veniamo al dunque, dopo più di 12 mesi, che visione abbiamo dello smart working?
Parliamone insieme.

L’emergenza pandemica Covid-19 ha notevolmente contribuito a mettere in evidenza una certa vetustà organizzativa e gestionale tipica del mercato del lavoro italiano.

Confrontandomi regolarmente con colleghi che vivono e lavorano in altri Stati – con particolare riferimento a quelli del Nord Europa – ho spesso invidiato la flessibilità offerta da quello specifico mondo del lavoro.

Concetti come quello dello smart working, o home office che dire si voglia, sono in altre realtà lavorative europee delle condizioni ormai consolidate da tempo.

Si tratta di condizioni a disposizione dei dipendenti di gran parte delle aziende per due motivi: al fine di creare un senso di fidelizzazione e per migliorare la qualità della vita e di pari passo, della rendita lavorativa.

Fatta questa doverosa premessa iniziale ed introduttiva, devo ahimè citarne una seconda. Questo secondo inciso servirà a sottolineare come, gli argomenti di seguito trattati, siano stati affrontati esclusivamente da un punto di vista della sicurezza informatica tralasciando, volutamente, quelli altrettanto importanti inerenti gli aspetti giuslavoristi.

Pur non essendo in alcun modo un amante degli anglicismi devo riconoscere come la parola telelavoro abbia ben poco appeal se confrontata con un ben più moderno ed ambizioso termine smart working.

Ormai un anno addietro, le aziende furono costrette da un giorno all’altro ad organizzare le attività lavorative da remoto, non senza essersi prima confrontate con tutta una serie di difficoltà. D’altronde a marzo 2020, la conseguenza a cui si andava incontro era la totale interruzione dei servizi e  lo stop assoluto della produzione.

Un breve aneddoto.

Ricordo ancora la telefonata di un cliente che, sollecitato del commercialista/consulente del lavoro, mi esortava allarmato a “redigere i protocolli per la gestione del telelavoro in situazione di emergenza sanitaria”: per lui si trattava di qualcosa di simile ai protocolli per lo sbarco su Marte!

E ancora, ricordo nitidamente quando i collaboratori aziendali lasciavano il posto di lavoro portando a casa sottobraccio il PC aziendale: tutto per poter continuare a lavorare anche da casa.

I PC portatili sono diventati in breve tempo merce rara al punto che in molti, non avendo molte alternative, portarono a casa direttamente il PC che solitamente utilizzava in azienda.

Non tutte le aziende, infatti, erano pronte ad approcciarsi allo smart working. In molte non utilizzavano, ad esempio, strumenti di Digital Collaboration oppure soluzioni di Virtual Desktop Infrastructure (VDI); altre ancora, si sono adeguate di corsa, acquistando prodotti per il remote working senza ben sapere cosa stavano acquisendo.

In altre situazioni poi, le aziende ricorsero a una dotazione minima di sicurezza adottando soluzioni e software per lo smart working, attivando linee VPN, autenticazione a due fattori e consegnando ai dipendenti strumentazione aziendale pre-configurata.
Le soluzioni più “low cost” di aziende con poca cultura informatica si limitarono ad abilitare protocolli di Remote Desktop (RDP) sulle postazioni aziendali, per consentire ai propri collaboratori di collegarsi da remoto alle postazioni in ufficio.

Il risultato di questa organizzazione in extremis ha generato un vero disastro:

Consultando il sito shodan.io si possono vedere i dati aggiornati degli host connessi ad internet con i protocolli Remote Desktop abilitati; nel periodo iniziale della pandemia registravano un aumento fino ad un +300%!

Ma la vera domanda è: quanti di loro erano protetti?

Ancora, al netto della situazione di emergenza, qualcuno tra voi si è mai domandato:

In questo articolo voglio fare chiarezza su alcune “leggende metropolitane” fiorite e maturate in questi mesi affinché tutti i soggetti coinvolti possano consapevolmente operare in massima sicurezza e nel pieno rispetto delle regole, anche se da casa.

La scelta di utilizzare un dispositivo aziendale o device privato per svolgere le attività lavorative, non sempre è libera e/o condivisa.
Ogni caso deve essere valutato in un contesto molto più ampio.

Ad ogni modo, qualsiasi azienda specializzata in cyber security vi dirà sempre: escludete in modo categorico l’utilizzo dei dispositivi privati per l’uso aziendale.

Indipendentemente dal tipo di dispositivo utilizzato, l’azienda deve sincerarsi che le soluzioni tecniche ed organizzative scelte si adattino ai diversi modelli organizzativi aziendali e devono tenere conto della libertà del pensiero e della privacy dei soggetti coinvolti.

Bisogna altresì aggiungere come l’applicazione di normative specifiche obblighi l’adozione di particolari misure tecniche come, ad esempio, quelle previste da certificazioni ISO, dal GDPR ma anche dalla business continuity e dal disaster recovery del Regolamento NIS.

In buona sostanza, l’azienda deve essere in grado di potere monitorare e documentare gli accessi dei lavoratori da remoto che devono essere regolamentati in maniera chiara e condivisa tra le parti; con una relativa assunzione di responsabilità dei soggetti coinvolti. Il mio consiglio, pertanto, è quello di avere ben chiaro chi deve fare cosa utilizzando una vera e propria checklist che riassuma le situazioni di rischio per l’azienda e le criticità operative in carico al dipendente.

Premesso che gli spunti che seguiranno avranno uno scopo meramente indicativo , ogni singola azienda dovrebbe redigere un documento che rispecchi nel migliore dei modi la propria situazione. La checklist dovrà naturalmente fare riferimento al tipo di dato trattato dalla singola azienda.

Il mio primo consiglio per le aziende è di essere a conoscenza del tipo di strumento utilizzato e/o dato in dotazione al collaboratore per espletare gli obblighi lavorativi.

Serve pertanto sottoporre le apparecchiature ad un vero e proprio censimento periodico per avere concrete indicazioni su:

• sistemi operativi installati
• obblighi di aggiornamento degli stessi
• modalità di accesso alla rete aziendale
• i diritti e gli obblighi che azienda e dipendenti hanno.

Altri elementi di fondamentale importanza che devono assolutamente essere regolamentati sono:

• l’utilizzo e l’aggiornamento del software antivirus
• aggiornamento firmware (BIOS)
• l’aggiornamento del router utilizzato per la connessione
• elenco degli applicativi installati ed utilizzati
• le modalità di connessione alla rete aziendale da remoto.

La cifratura dei dati diventa un aspetto di fondamentale importanza perché:

• è un aspetto normato e regolamentato del GDPR
• deve essere definito in dettaglio quando si scaricano file in locale per potere essere elaborati con più facilità.

L’azienda dovrebbe stabilire se e a quali condizioni di sicurezza il dipendente possa gestire file locali.
Nel caso in cui dovesse essere utilizzato un software di controllo, il dipendente deve essere preventivamente informato, altrimenti si rischia di violare la sua sfera personale.
Un elemento troppe volte sottovalutato, purtroppo, è il pericolo che possa rappresentare la connessione di dispositivi personali del dipendente alla rete locale privata. Mi riferisco in modo particolare ai cosiddetti dispositivi IoT o Smartphone, Tablet, etc… che rientrano a far parte della rete domestica e che potrebbero ricoprire il pericoloso ruolo di trampolino di lancio, di cavallo di Troia (island hopping).

Una delle condizioni che espone le aziende al rischio di attacchi informatici nel caso in cui i collaboratori siano in smartworking è la presenza di vulnerabilità informatiche. in particolare questa condizione si verifica durante l’utilizzo di e-mail e dei sistemi di videoconferenza.

Lo smart worker, per sua natura è portato a scrivere molte più e-mail, generando così un intenso traffico di scambio di corrispondenza che in certe situazioni può diventare anche frenetico. Fenomeni come le cyber truffe e il phishing sono all’ordine del giorno e possono condizionare negativamente le attività lavorative del lavoratore da remoto.

Il mio consiglio, in modo particolare nel momento in cui non si opera su PC aziendali, è quello di operare in modalità Web-Mail. Questo perché molti rischi vengono minimizzati dagli operatori stessi e viene limitato ogni possibile danno derivante da una poco attenta gestione degli allegati.

In linea di massima: non sottovalutate mai la pericolosità che una e-mail può rappresentare per il sistema informatico aziendale!

Per la maggior parte dei lettori, il punto che sto per affrontare potrà risultare banale e scontato ma purtroppo non è così!

La corretta gestione della password (dalla creazione, alla conservazione, alla corretta sostituzione periodica) dovrebbe rispettare precisi principi di sicurezza.

Consiglio: inserite le regole per la gestione delle password all’interno della policy aziendale.
A maggior ragione dopo aver assistito agli episodi degli ultimi giorni, dove due attacchi informatici hanno sottratto oltre un miliardo di credenziali di accesso social (tra Facebook e LinkedIn).

Inoltre, suggerisco caldamente di utilizzare indirizzi e-mail differenti a seconda degli utilizzi creando appositi e specifici account.

Chiavette USB e hard disk esterni: da regolamentare

Le periferiche esterne (come ad esempio le pen drive) rappresentano statisticamente il 15-20% delle cause di un problema legato alla sicurezza informatica aziendale. Collegare una chiavetta USB utilizzata da più persone (o addirittura se non se ne conosce l’origine) può rappresentare una grave fonte di pericolo.

Un classico ma che spesso viene sottovalutato è la gestione dei dati in Cloud e il loro backup sicuro.

Purtroppo, è ancora opinione condivisa, che la gestione dei dati in Cloud sia sicura e che quindi, non ci si debba preoccupare di effettuare regolarmente operazioni di backup dei dati. Al contrario, l’azienda dovrebbe fornire precise indicazioni sulla modalità di backup di eventuali file aziendali salvati in loco così come per l’accesso al Cloud aziendale.

In questo caso specifico è assolutamente necessario che non ci si affidi a servizi Cloud gratuiti ma che offrano parametri di sicurezza/ripristino dati sicuri cominciando ad esempio da una autenticazione di accesso a due fattori.

Una checklist smart working non può prescindere dal dare indicazioni circa le modalità di connessione.

Certamente, sono da evitare in ogni circostanza le connessioni da remoto tramite accesso a reti pubbliche e/o aperte. Al contrario consiglio sempre di ricorrere ad una connessione protetta VPN.
In altre parole, le reti Wi-Fi pubbliche rappresentano un potenziale rischio di venire in contatto con virus informatici e hacker.

A tal proposito consigliamo sempre di ricorrere ad una VPN. Quest’ultima non dovrebbe essere scaricata da qualche sito web piuttosto, messa a disposizione dall’ufficio IT dell’azienda.

Uno degli scogli più ostici per la VPN è la qualità della connessione dello smart worker.

La rete internet italiana spesso non eccelle per qualità. La portata della banda in territori di periferia subisce in molti casi delle importanti limitazioni rispetto a quella della città.

Inoltre, l’utente in ambiente domestico deve condividere l’accesso alla rete con altri device: Smart TV, cellulari, tablet, ecc. Eppure, la banda non è l’unico elemento da considerare: vi sono, ad esempio, anche latenze DNS, jitter e altri disturbi che potrebbero rendere la connettività instabile e compromettere la sicurezza dalla trasmissione.

Purtroppo, uno dei limiti delle VPN è che si tratta di tubi di comunicazione: questi connettono l’utente alla rete e sono abbastanza agnostiche rispetto il contenuto che vi passa attraverso.
In altre parole, eventuali attacchi sviluppati sul device remoto potrebbero raggiungere la rete attraverso la VPN anche saltando normali strutture difensive quali quelle offerte dal Firewall: tutto questo sempre se si affida la protezione informatica ad aziende tutto fare.

Innanzitutto, bisogna definire:

chi lavora, da dove lavora, quando lavora e con quali strumenti.

Evidenzio pertanto di seguito quelle che possono essere considerate le best practice in situazioni di smart working volendo porre l’attenzione sui risvolti e sulle implicazioni che tale modalità di lavoro ha sugli aspetti della sicurezza informatica.

Definire una policy aziendale per gli aspetti dello smart working e verificare con il consulente del lavoro gli aspetti giuslavoristi.
Il mondo della sicurezza informatica è in continua evoluzione, per cui è fortemente consigliabile un regolare confronto con il pregevole contributo di Enisa (l’agenzia europea per la sicurezza cibernetica) che ha reso pubblico un memorandum in merito.

Riassumendo, una sintesi delle tematiche trattate:

•  Nel limite del possibile evitare l’uso di device privati. In particolare, quando l’utente è una figura professionale medio-alta in quanto può avere accesso a dati particolarmente sensibili e di know-how dell’azienda. Nel caso in cui lo smart worker utilizzi dispositivi privati, va revisionata la valutazione del rischio in ottica di privacy compliance e di security governance con particolare riferimento ai controlli che l’azienda metterà in atto (principio di responsabilizzazione previsto dal GDPR);

• Predisporre uno o più protocolli per la gestione di eventuali violazioni inerenti il trattamento dei dati personali e di interruzione delle attività e sincerarsi dell’avvenuta condivisione con gli smart worker;

• Predisporre un “kit di pronto soccorso”, documento che dovrà essere regolarmente aggiornato e messo a disposizione del lavoratore. Il documento dovrà contenere tutti gli aggiornamenti della policy aziendale in tema di cyber sicurezza e un vademecum con indicazioni in merito a situazioni di potenziale pericolo per la rete aziendale;

E ancora,

• Organizzare e gestire le attività di supporto tecnico;

• Definire un programma di gestione dei controlli da effettuare sul rispetto dei regolamenti interni;

• Assicurarsi, nel caso in cui dovesse ricoprire il ruolo di responsabile del trattamento dei dati ex art. 28 del GDPR, di avere comunicato ai titolari del trattamento l’utilizzo di forza lavoro in modalità smart working e di avere ottenuto il rispettivo assenso in forma scritta (meglio ancora se le comunicazioni avvengono con l’utilizzo della posta certificata)

• Verificare gli atti di nomina a soggetto autorizzato al trattamento ex art. 29 del GDPR dello smart worker così come aggiornare, dove necessario, il registro del trattamento.

Dopo avere messo in evidenza gli aspetti da tenere in considerazione in situazioni di smart working è mia intenzione chiudere con un suggerimento finalizzato all’ottimizzazione della cyber security in azienda.

Uno dei principi fondamentali del Regolamento Europeo sul trattamento dei dati personali – comunemente conosciuto come GDPR – è quello della responsabilizzazione.

Questo principio ha una sua valenza anche a prescindere da regolamenti e norme.

Il Vulnerability Assessment rappresenta lo strumento di lavoro con il quale l’azienda consapevolmente si responsabilizza.

Avere sempre una fotografia aggiornata dello stato delle cose è l’obiettivo di qualsiasi imprenditore. Ma soprattutto, avere dei riscontri immediati nel momento in cui alcuni parametri di sicurezza informatica non vengono rispettati. Per un’azienda è fondamentale mantenere aggiornato in tempo reale la variazione del grado di rischio di una vulnerabilità individuata: questi sono solo alcuni vantaggi che questo test di sicurezza IT offre.

Prendiamo coscienza che lo smart working rappresenta un’opportunità per le aziende.
Il lavoro da casa incontra l’interesse dei lavoratori e li fidelizza offrendo loro una migliore qualità di vita. Non solo, lo smart-working riduce il tempo legati ai trasferimenti e in conseguenza, l’inquinamento.

L’unico aspetto che non deve essere trascurato è quello della sicurezza cibernetica.

Il test di vulnerabilità può essere paragonato in questo senso ad un drone che sorveglia dall’alto il perimetro aziendale. Il monitoraggio non interviene direttamente per chiudere un cancello ma piuttosto si occupa di segnalare se un campanello di allarme non funziona o se non è stato aggiornato il numero di casa.

Un problema non è un rischio, bensì un quesito che la vita ti pone.
Rischioso è quando tu persisti a dare risposte sbagliate.

Articolo di:

• DPO certificato UNI:11697 e professionista certificato CSF NIST
• Lead auditor ISO 27001, 27701, 22301

Visita il profilo Linkedin