Lo Smart Working (che non è solo lavorare da casa o telelavoro) richiede un approccio organizzativo, un livello di conoscenze e competenze e di responsabilizzazione, a cui le nostre imprese non sembrano preparate.
Cominciamo col dire che “Smart Working” non significa solo lavorare da casa o da remoto. E’ un diverso approccio strategico che punta sull’integrazione e sulla collaborazione tra le persone: è un diverso paradigma che richiede un profondo ripensamento di come è concepita l’organizzazione delle nostre imprese: condivisione, responsabilizzazione, modelli di controllo.
Tuttavia, ed è qui, per quanto mi riguarda, il punto di maggior rilievo e maggiore criticità, la sicurezza delle informazioni non sembra, quasi mai, sufficientemente garantita: mancano gli strumenti culturali, le conoscenze e, quindi la consapevolezza, gli anticorpi, per poter affrontare e gestire in sicurezza una situazione di questo tipo.
Smart Working e GDPR
Se è vero, come è vero, che il maggior fattore di rischio che grava sulla sicurezza dei dati e delle informazioni è quello umano, ancora di più in situazioni di questo tipo, è importante la conoscenza, consapevolezza, la responsabilizzazione.
A rendere concreta la possibilità di lavorare in modalità “smart” ci sono delle tecnologie, già molto diffuse. Molte aziende hanno già sperimentato la modalità di lavoro in remoto, magari anche solo sporadicamente, ma per questo motivo non l’hanno mai regolamentata a sufficienza, soprattutto dal punto di vista informatico e della sicurezza delle informazioni e dei dati.
Si pensa quindi che tutto si possa risolvere, semplicemente, con l’utilizzo di software di connessione remota senza pensare alle implicazioni sulla sicurezza legate all’uso di strumenti idonei, alla giusta formazione e responsabilizzazione dei lavoratori: senza avere idea di come affrontare in modo serio la questione si mettono, ancora di più di quanto già non lo siano, a rischio i dati aziendali.
Provando a spiegare un po’ meglio possiamo ipotizzare uno scenario in cui vengono usati dispositivi personali, ad esempio ADSL e WiFi di casa; in uno scenario di questo tipo magari non sono mai stati configurati parametri di protezione della wifi, incluse le password di amministratore, facilmente rintracciabili con una semplice ricerca su Google: ciò può consentire facilmente, ad un malintenzionato, senza neanche grande capacità tecniche, di violare i sistemi aziendali, e quindi le informazioni in essi contenuti, semplicemente violando, appunto, la wifi di casa.
Oltre a ciò, lavorando da casa, molto spesso si trascurano, o non vengono usate in modo adeguato, le minime misure di sicurezza come sistemi antivirus e antimalware, o vengono sottovalutati rischi normalmente connessi alla navigazione in rete e accettati con ingenuità (accesso a siti pericolosi, download, pop-up ecc.).
In una situazione del genere, i dispositivi connessi da remoto ai sistemi aziendali diventano dei malware attivi, delle vere e proprie porte aperte che aumentano, in modo esponenziale, la possibilità che qualcuno possa intercettare le nostre comunicazioni: uno scenario seriamente pericoloso se si accede, in questo modo, ai sistemi aziendali.
Se da un lato il lavoro agile offre degli indubbi vantaggi, soprattutto in situazioni di emergenza, dall’altro espone anche a maggiori rischi informatici.
In questo contesto andranno, di conseguenza aggiornate, revisionate, le policy aziendali in materia di protezione dei dati (ICT, posta elettronica, ecc), predisposte “misure di sicurezza” che prevengano eventuali minacce di accesso non autorizzato ai dati da parte di persone, come ad esempio familiari, amici e visitatori, frequentanti il luogo ove si svolge l’attività, evitare di rivelare al telefono informazioni aziendali, evitare il collegamento a reti non sicure o sulle quali non si abbiano adeguate garanzie, non lasciare portatili o incartamenti incustoditi in treno o locali pubblici, predisposti sistema di collegamento ai sistemi e reti aziendali con adeguate protezioni (VPN, cifrature, ecc).
Dal punto di vista del GDPR, lo smart working comporta, una maggiore responsabilizzazione (accountability) del Titolare del Trattamento e dei lavoratori (autorizzati ai trattamenti). E’ importante che tutti siano sensibilizzati sulle problematiche legate alla sicurezza informatica e che siano In4mati adeguatamente sia dal punto di vista normativo che da quello pratico in modo da poter utilizzare correttamente gli strumenti, in modalità aderenti alle procedure di sicurezza, ma anche evitando di farsi “ingannare” da da mail di phishing, siti web compromessi o maligni ecc.
Un livello sufficiente di responsabilizzazione può essere raggiunto solo con misure idonee, tecniche e organizzative, e con una formazione adeguata su rischi, procedure, utilizzo degli strumenti e delle tecnologie.
Conclusioni
Sicuramente il rispetto alla normativa sulla privacy è sia stressante che dispendioso in termini di risorse. Se vedi la cosa solo come obbligo rischi di essere miope. Adeguarsi agli standard sulla privacy è, ancora una volta, un modo per reagire a situazioni di emergenza o difficoltà far crescere la tua attività, stare un passo avanti alla concorrenza sempre rispettando la privacy, intesa come diritto alla protezione dei dati personali, delle persone.
From www.in4mati.com.
