Lo smartworking sicuro al tempo del Coronavirus

In questo periodo molte organizzazioni, sia pubbliche che private, hanno scoperto – per necessità – il lavoro a distanza, formalmente definito “lavoro flessibile”, telelavoro o smartworking.

Fermo restando che il vero smartworking non consiste
nel farsi mandare un documento a casa via e-mail da un collega (o da sé stesso),
lavorarci su fra le mura domestiche e poi rimandarselo in ufficio, cerchiamo di
capire quali sono le modalità efficaci, efficienti e “sicure” per lavorare con
continuità da casa o comunque da un sito che non è l’ufficio o la sede
aziendale in genere.



In questo periodo molte organizzazioni ed i loro dipendenti,
collaboratori e consulenti stanno sperimentando tecnologie che sono disponibili
già da alcuni anni a basso costo o addirittura gratis, ma che necessitano di acquisire
competenze informatiche di base per poterle utilizzare in modo produttivo.

Partendo dagli strumenti più semplici, i colossi dell’informatica
e del web – come Microsoft e Google, ma anche Apple per i suoi utenti – hanno messo
a disposizione, insieme alle relative suite di produttività (es. Office
365), anche alcuni strumenti per lavorare su documenti condivisi tramite
cloud
(ad es. Google Drive, One Drive), per comunicare in modo organizzato
sul medesimo progetto, per organizzare riunioni via web (es. Skype for
Business ora migrato in Teams, Google Meet, Hangout, oppure GoToMeeting, ecc.).
Tali strumenti permettono di lavorare a distanza su documenti informatici, anche
contemporaneamente, di condividere lo schermo e di vedersi in modo estremamente
proficuo, anche per l’ambiente. Infatti, un effetto collaterale benefico di
questa emergenza coronavirus è la riduzione del traffico – e quindi dell’inquinamento
– nelle strade e l’eliminazione della carta, ovvero della stampa di documenti,
quando non necessaria.

Le aziende più strutturate avevano già previsto modalità di “telelavoro”
nelle quali il PC utilizzato dal dipendente fuori sede poteva collegarsi
direttamente ai sistemi informatici aziendali tramite VPN.

Per fare questo passo ulteriore, e collegarsi tramite
internet ai sistemi aziendali, occorrono maggiori competenze del reparto
sistemistico aziendale (troppo spesso ridotto all’osso o demandato all’esterno
a consulenti che magari in questo momento sono molto impegnati) ed altre
tecnologie.

Il mercato degli applicativi gestionali ha favorito questa
trasformazione attraverso il rilascio di applicativi web che non
necessitano di installazione su server in azienda o comunque che non funzionano
in tecnologia client-server, ma possono essere resi accessibili via web da
qualsiasi parte del mondo, dunque anche da casa propria, anche se si è in
quarantena, ma si gode di ottima salute!

Chiaramente l’utilizzo di tutti questi strumenti “innovativi” non può essere realizzato da un giorno all’altro in modo efficace ed efficiente, occorrerebbe un periodo di formazione del personale e di test. Ma l’emergenza non ci concede questo tempo e – come al solito – siamo costretti ad operare in modalità diverse a fronte di un evento destabilizzante. È giocoforza ricordare che proprio in questi giorni è uscita la versione italiana della norma UNI EN ISO 22301:2019 sui sistemi di gestione della continuità operativa (leggi l’articolo), ovvero sulla business continuity. Ma quante aziende avevano un piano di business continuity che considerasse lo scenario della pandemia o comunque dell’assenza forzata dal lavoro di numerose persone?

Dunque molti sono costretti a improvvisare, ma occorre
pensare anche alla sicurezza delle attività lavorative a distanza, ovvero
occorre ragionare in termini di “security”, mentre alla “safety” delle persone
si pensa cercando di evitare il più possibile i contatti fisici.

Se con lo smartworking preveniamo i l corona-virus,
siamo sicuri di prevenire anche i virus informatici, ovvero il malware che
potrebbe far perdere la necessaria riservatezza, integrità e/o disponibilità ai
nostri dati? Riusciamo a garantire il rispetto della normativa sulla protezione
dei dati (GDPR)?

Ci viene in soccorso la UNI EN ISO 27002 (Linea Guida
sui controlli di sicurezza delle informazioni), al punto 6.2.2 Telelavoro, ma
non solo.  Tale norma ci insegna che:

«Dovrebbero essere attuate una politica e delle misure di
sicurezza a suo supporto
(del telelavoro) per proteggere le informazioni
accedute, elaborate o memorizzate presso siti di telelavoro.
»

Perciò le organizzazioni che permettono attività di
telelavoro o smartworking – e in questo momento sono moltissime, anche a
fronte della modifica normativa – dovrebbero emettere una policy che definisca
le condizioni e le limitazioni al telelavoro, ovvero stabilire delle regole
generali per gestire lo smartworking in modo sicuro, nelle diverse
situazioni.

Gli aspetti da considerare dovrebbero essere i seguenti:

  • Il livello di sicurezza fisica del sito
    di telelavoro (es. l’abitazione del dipendente/collaboratore oppure il luogo
    pubblico dove esso può esercitare l’attività lavorativa), considerando gli
    edifici e l’ambiente circostante. In pratica consideriamo il fatto che se la
    postazione di lavoro non è all’interno della sede aziendale devono essere
    garantiti un accesso controllato in modo continuo delle persone estranee a
    documenti e dispositivi elettronici. L’abitazione ha una porta blindata e/o un
    sistema di allarme? La postazione di lavoro è facilmente accessibile da porte o
    finestre aperte?
  • L’ambiente di telelavoro proposto: l’azienda
    può prevedere l’utilizzo di determinati tipi di locali piuttosto che altri (es.
    divieto di lavorare in luoghi pubblici).
  • I requisiti per la sicurezza delle
    comunicazioni
    , tenendo in considerazione la necessità di accesso remoto ai
    sistemi interni dell’organizzazione (ad esempio l’accesso più sicuro è tramite
    VPN crittografata), la criticità delle informazioni che sono accedute e
    trasmesse attraverso il canale di comunicazione (ad es. dati personali
    appartenenti a categorie particolari di dati), nonché la criticità del sistema
    interno. Occorre cambiare il punto di vista: le comunicazioni non avvengono più
    all’interno dell’azienda, ma dall’interno all’esterno e viceversa e necessitano
    di essere protette con comunicazioni crittografate. Anche il semplice invio di
    e-mail dall’ufficio all’abitazione del dipendente dovrebbe comunque garantire
    trasmissioni sicure (es. con crittografia SSL/TLS) su un indirizzo privato
    approvato e l’accesso a siti sFTP dovrebbe essere preferito rispetto ai meno
    sicuri FTP.
  • La fornitura di accesso in modalità desktop
    virtuale
    che prevenga l’elaborazione e la memorizzazione di informazioni su
    dispositivi privati: se il dispositivo usato dal dipendente è il proprio PC
    casalingo – e non un notebook fornito dall’azienda – potrebbe essere opportuno
    non consentire il salvataggio di dati particolarmente riservati in locale, ma
    solo di lavorare in desktop remoto sul PC aziendale.
  • Le minacce di accesso non autorizzato alle
    informazioni o alle risorse
    da parte di altri soggetti che frequentano il
    luogo di lavoro flessibile, per esempio i famigliari e gli amici: evidentemente
    in un contesto privato possono esserci altri soggetti che non sono autorizzati
    ad accedere alle informazioni aziendali che potrebbero accedervi, pertanto
    occorre stabilire regole ferree con i dipendenti (es. divieto di divulgare
    password a conviventi).
  • L’uso di reti casalinghe e i requisiti o le
    limitazioni alla configurazione dì servizi wireless
    di rete: soprattutto se
    il collegamento alla rete aziendale non avviene tramite VPN è importante
    garantire la sicurezza della rete cablata o Wi-Fi dell’abitazione o di altro
    luogo ove si è abilitati a lavorare. Quasi tutti i dispositivi sono in grado di
    valutare se la rete Wi-Fi a cui ci si collega dispone almeno di un livello di
    sicurezza WPA2. In caso negativo occorre configurare adeguatamente il
    router/modem casalingo, se si è in un luogo pubblico meglio astenersi dalla
    connessione. In certi casi è l’azienda stessa a fornire una connessione sicura
    tramite scheda SIM 3G/4G.
  • Le politiche e le procedure per prevenire
    discussioni riguardo i diritti per la proprietà intellettuale sviluppatisi
    su dispositivi privati
    : è opportuno stabilire regole precise per chiarire al
    dipendente che eventuali progetti sviluppati in smartworking casalingo
    rimangono di proprietà dell’azienda.
  • L’accesso a dispositivi privati (per verificare
    la sicurezza del sistema o durante un’indagine), che potrebbero essere proibiti
    dalla legge. Se il dipendente usa un proprio dispositivo privato che contiene
    materiale illegale o viene usato per consultare siti illegali potrebbero
    esserci dei problemi.
  • Gli accordi di licenza del software tali
    per cui le organizzazioni potrebbero diventare responsabili per le licenze di
    software sulle workstation private di proprietà del personale o di utenti di
    terze parti. Chiaramente se il dipendente utilizza il proprio PC occorre che le
    licenze software siano conformi alla legge applicabile. Anche un Office con
    licenza Student o Privata non potrebbe essere usato per scopi aziendali o
    professionali. Eventuali indagini dell’Autorità potrebbero creare problemi al
    dipendente ed all’azienda.
  • Le protezioni dal malware e i requisiti per
    l’uso di firewall
    in caso di utilizzo di PC privati devono essere comunque
    garantiti. Sarebbe bene richiedere la presenza di un anti-malware ed un
    firewall di livello equivalente a quello aziendale (le licenze free degli
    antivirus sono da evitare).

In generale dovrebbero essere stabilite regole fra azienda e
dipendente che definiscano quali dispositivi utilizzare, come utilizzarli, dove
poter lavorare, quali misure di sicurezza occorre mantenere sempre, come
gestire i backup delle informazioni e le stampe, quali informazioni si possono
elaborare, se ci sono particolari restrizioni per il trattamento di dati
personali appartenenti a categorie particolari di dati (art. 9 del GDPR), la
gestione delle procedure di autenticazione e la gestione delle password, le
attività non consentite dai dispositivi utilizzati anche per lavoro e così via.

Anche per attività che richiedono software particolari e
costosi (es. editing grafico e progettazione CAD) i produttori di software
stanno venendo incontro agli utenti con licenze non legate ad un particolare
dispositivo fisico, ma utilizzabili, con il supporto del cloud, su dispositivi
differenti, anche se non contemporaneamente.

Purtroppo sono tutti elementi che non si possono
improvvisare da un giorno all’altro, ma che sarebbe opportuno considerare e
gestire anche nell’emergenza.

Infine occorre considerare un problema di capacità:
se un’azienda normalmente è strutturata per uno smartworking
contemporaneo del 20% dei dipendenti (ad esempio una giornata lavorativa a
settimana) e in questa situazione di emergenza il lavoro a distanza sale al 90%,
probabilmente le reti e le VPN dovranno essere ridimensionati per supportare
tutto il traffico, nella consapevolezza che le connessioni di rete delle
abitazioni dei dipendenti potrebbero non garantire prestazioni sufficienti e
questo problema potrebbe essere difficile da ovviare anche con connessioni
tramite chiavette con SIM 4G se l’abitazione del dipendente si trova in una zona
mal servita dai provider internet.