Smart working e sicurezza dei dati: l’emergenza legata al diffondersi del COVID-19 sul territorio nazionale ha richiesto o, meglio, ha imposto, alle imprese di ricorrere allo strumento dello smart working per consentire ai propri dipendenti di proseguire le attività lavorative, esponendole a nuovi rischi.
Il ricorso allo strumento, introdotto nel nostro ordinamento già con la legge n. 81/2017 e attualmente attivabile secondo modalità semplificate, ha rappresentato una vera e propria novità organizzativa per molte realtà che nel periodo ante-emergenza non erano smart working oriented. Pertanto si ritiene necessario in questa sede soffermarsi sui rischi per la sicurezza dei dati, anche personali, e delle informazioni nello scenario emergenziale in parola.
Smart working e sicurezza dei dati: i rischi
Molte realtà aziendali – del tutto impreparate al generalizzato e massivo ricorso al lavoro agile – hanno dovuto acconsentire all’utilizzo dei dispositivi personali da parte dei loro dipendenti al fine di garantire la prosecuzione delle attività aziendali.
Tale fenomeno – noto come Bring Your Own Device – che consente al dipendente di poter accedere a dati, sistemi e applicativi aziendali mediante l’impiego di dispositivi personali, espone ad un elevato rischio la sicurezza dei dati aziendali e/o dati personali raccolti dalla società.
Tale rischio deriva, in particolare, dal fatto che le misure di sicurezza implementate sui pc personali possono non essere adeguate o sufficientemente robuste e, quindi, prestare il fianco a possibili cyberattacchi. Un ulteriore elemento di rischio è dato proprio dalla natura personale del dispositivo: tale circostanza, infatti, può dare spazio a comportamenti più “liberi” da parte dell’utente e, probabilmente, meno sicuri o parzialmente incompatibili con le policy di sicurezza aziendali.
Il punto nevralgico della sicurezza informatica nelle aziende è, infatti, spesso rappresentato dal comportamento degli utenti (i.e. dipendenti) e dalla loro scarsa sensibilità sui rischi cyber cui possono essere esposti e a cui possono esporre la propria società.
Smart working e sicurezza dei dati: le raccomandazioni da seguire
Al fine di fare fronte alle sfide che il lavoro agile lancia alle imprese, queste ultime sono chiamate ad un’attenta – ma allo stesso tempo rapida – riflessione sull’idoneità delle misure tecniche e organizzative adottate e sulla necessità o meno di renderle più stringenti. Tale valutazione deve tener conto del mutato conteso in cui i dipendenti svolgono la propria attività, nonché delle nuove esigenze operative che, spesso, mal si conciliano con gli iter autorizzativi e/o processi applicati al lavoro in sede.
Dal punto di vista pratico, l’individuazione delle misure tecniche da implementare può essere effettuata tenendo conto delle indicazioni contenute nelle “Recommendations for employers and staff” pubblicate il 24 Marzo 2020 dall’Agenzia europea per la sicurezza delle reti e dell’informazione. Sul punto, infatti, l’ENISA suggerisce ai datori di lavoro intenti a gestire l’emergenza, in particolare, di:
– verificare che le caratteristiche tecniche e le protezioni della rete VPN (Virtual Private Network, la rete di telecomunicazioni privata che, sfruttando un protocollo di trasmissione pubblico e condiviso, come ad esempio la rete Internet, permette ai soggetti che la utilizzano di comunicare tra loro in maniera sicura) aziendale siano in grado di sostenere un elevato numero di collegamenti simultanei;
– rendere accessibili tutti gli applicativi aziendali solo tramite canali di comunicazione cifrati;
– salvaguardare l’accesso alle applicazioni implementando sistemi di autenticazione a più fattori;
– verificare il livello di sicurezza dei dispositivi personali utilizzati come BYOD – bring your on device – utilizzando appropriate piattaforme;
– verificare l’idoneità delle procedure per fronteggiare incidenti di sicurezza e data breach e accertare che i dipendenti siano stati aggiornati su questi temi.
La necessità di una policy: le 11 regole per la Pubblica Amministrazione
È sicuramente, inoltre, auspicabile che le società si dotino di procedure interne e/o policy che regolamentino lo smart working al fine di fornire al dipendente non solo un quadro chiaro e completo in relazione alle norme di comportamento da adottare nell’utilizzo dei dispositivi informatici – siano essi aziendali o personali – ma anche una serie di istruzioni operative che possano essere agevolmente comprese dai dipendenti in ordine ai “do” e “don’t’” loro rivolti. In merito, le raccomandazioni recentemente formulate dall’Agenzia per l’Italia digitale, a seguito degli ultimi provvedimenti governativi che incentivano l’adozione dello Smart working nelle PA per favorire il contenimento del Covid-19, possono rappresentare un ottimo spunto anche per il settore privato.
Nel seguito le 11 raccomandazioni di AgID per uno Smart working sicuro:
1. segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione
2. utilizza i sistemi operativi per i quali attualmente è garantito il supporto
3.effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo (
4. assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati
5. assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione
6. non installare software proveniente da fonti/repository non ufficiali
7. blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro
8. non cliccare su link o allegati contenuti in email sospette
9. utilizza l’accesso a connessioni Wi-Fi adeguatamente protette
10. collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione)
11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.
A ciò si aggiunga che, soprattutto nelle società in cui il ricorso allo smart worker è del tutto inedito, è necessario coniugare policy/procedure idonee ed adeguate ad un piano formativo e informativo periodico nei confronti dei dipendenti che, tenuto conto del periodo, potrà essere promosso mediante piattaforme e-learning.
Smart working, come garantire la privacy dei clienti
Il ricorso “necessitato” e generalizzato allo smart working da parte dei dipendenti e collaboratori delle società nel corrente contesto emergenziale – che comporta per le organizzazioni degli indubbi vantaggi – rappresenta nel contempo anche un potenziale aumento del rischio per la sicurezza dei dati personali raccolti dalla società.
Sul punto giova ricordare che, oltre alle misure di sicurezza sinora esposte, al fine di garantire il rispetto delle prescrizioni impartite dalla normativa sulla tutela dei dati personali e, in particolare, dal Regolamento generale sulla protezione dei dati N. 2016/679 (nel seguito, anche “RGPD”), le società sono tenute ad aggiornare i propri presidi privacy, tenendo conto del mutato contesto organizzativo e dei nuovi strumenti utilizzati per il trattamento dei dati. Sul punto, le organizzazioni, infatti, sono chiamate, in particolare, a:
– verificare se l’utilizzo generalizzato dello smart working richieda lo svolgimento di una valutazione di impatto sul trattamento dei dati personali (rif. art. 35 RGPD)
– valutare la necessità di sospendere e/o modificare le operazioni di trattamento di dati personali particolarmente complesse e/o più rischiose;
– verificare l’idoneità delle istruzioni impartite ai soggetti autorizzati al trattamento (rif. art. 29 RGPD);
– aggiornare il proprio registro dei trattamenti (rif. art. 30 RGPD);
– valutare l’opportunità di implementare canali dedicati e/o procedure online per la gestione delle richieste degli interessati e/o segnalazioni di violazioni di dati personali (rif. art. 15-22 e 33 RGPD).
Al riguardo è necessario tenere in considerazione che l’inadeguatezza – anche parziale – delle misure sinora illustrate può esporre la società – oltre ai rischi sopra indicati – ad un rischio sanzionatorio fino a un massimo di 20 milioni di euro o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore nonché rischi di contestazioni da parte di terzi.
Organizzazione e tecnologia per ridurre i rischi dello smart working
Fermo quanto precede, è di fondamentale importanza – anche da un punto di vista strategico – che le società, per garantire una mitigazione dei rischi in parola, predispongano un’architettura organizzativa e tecnica adeguata alle proprie dimensioni, alla natura del proprio business e ai dati personali trattati. Sul punto è quindi auspicabile che si vengano a creare delle sinergie virtuose tra il management, il dipartimento IT, le funzioni Human Resources e il Legal al fine di prevedere misure che, oltre a consentire al personale della società di proseguire la propria attività in maniera efficiente, siano conformi alla normativa vigente e gli standard di sicurezza applicati