_svg.png){kind=small}
Con l’aumento esponenziale del numero di persone che adottano lo smart-working, si ha un aumentano proporzionale dei rischi per la sicurezza informatica.
Questo perché, da un lato la ridistribuzione delle postazioni di lavoro al di fuori dagli uffici con l'utilizzo di piattaforme di collaborazione virtuale multiple, porta ad un ampliamento della base dei potenziali attacchi. Mentre, dall’altro, sono offerte nuove opportunità di attacco mirato che traggono vantaggio dalla situazione di maggiore vulnerabilità in cui le persone si trovano ad operare.
Sicuramente è utile ricordare che nella gestione dello smart working, è necessario garantire quantomeno lo stesso livello di sicurezza nel trattamento sia delle informazioni aziendali, sia dei dati personali, garantendo nel contempo il rispetto di varie normative.
Di fatto queste non variano per il semplice fatto che il lavoratore opera, ad esempio, dal proprio domicilio.
Vanno quindi rispettate:
la normativa privacy,
quella sulla safety,
quella sui controlli a distanza,
e quelle sulla responsabilità penale dell'impresa (art. 102 del Codice Penale Svizzero o D.Lgs. 231/2001).
Dal punto di vista prettamente tecnico, se il lavoratore utilizza unicamente strumenti aziendali, si presuppone che l’azienda stessa abbia predisposto sia il PC sia lo smartphone con tutti gli accorgimenti richiesti, fra i quali:
cifratura;
antivirus;
patch aggiornate;
uso di utenze senza privilegi amministrativi;
blocco delle porte USB e dell’eventuale masterizzatore;
client VPN;
software per la gestione di conferenze audio e video;
eventuale software per il controllo remoto della propria postazione presso la sede;
la formazione sugli strumenti e sulle regole da adottare;
la relativa infrastruttura lato sede;
i manuali di supporto;
un servizio di supporto tecnico in caso di malfunzionamento;
una soluzione di backup che consenta comunque di operare anche se non tutti gli strumenti funzionano regolarmente
Molto diverso è il caso dell’uso di dispositivi personali.
Al riguardo vanno distinte ovviamente le situazioni nelle quali è ad esempio consentito l’uso del proprio PC o smartphone rispetto al semplice uso della connettività.
È evidente che al di là di una rigorosa policy solo la presenza di opportune misure di salvaguardia può garantire un certo livello di sicurezza.
I tipi di soluzione quindi non mancano anche nel caso in cui si usino strumenti personali.
È evidente che consentire l’uso di strumenti personali senza alcun accorgimento, salvo la presenza di una policy anche rigorosa, non è sicuramente sufficiente e potrebbe esporre un’azienda, o meglio un titolare, a possibili sanzioni.
Non devono essere presi in considerazione solo gli aspetti di sicurezza, ma anche le altre misure richieste per il rispetto della normativa privacy, non va infatti dimenticato che le prescrizioni del GDPR, per esempio, vanno sempre e comunque applicate e che la predisposizione di soluzioni per consentire un lavoro a distanza comportano necessariamente l’esecuzione delle varie analisi dei rischi previsti ai sensi degli artt. 24, 25 e 32.
Un discorso a parte merita la gestione dei documenti su carta, che in realtà non dovrebbero per nulla esistere in quanto dovrebbee essere vietato portarli , ma è ben noto che molti hanno questa abitudine, indipendentemente dalle attività in smartworking e la regola viene così costantemente infranta, sacrificando la sicurezza all’efficienza.
Alcuni utili accorgimenti, potrebbero essere:
Portare a casa solo i dispositivi e le informazioni assolutamente necessarie.
Salvaguardare la rete domestica e comunicare attraverso connessioni sicure.
Mantenere aggiornato il software su tutti i dispositivi.
Spegnere i dispositivi intelligenti come Alexa e Siri in prossimità della postazione di lavoro domestica e casa e coprire la webcam quando non è utilizzata.
Non utilizzare lo stesso dispositivo per le attività personali e per quelle aziendali, nel caso, creare due account di accesso separati.
Disconnettere i dispositivi quando si smette di usarli.
Diffidare dalle e-mail o degli allegati sospetti, soprattutto quando non si conosce il mittente.
In sostanza, vanno cambiate, e in molti casi anche radicalmente, le abitudini delle persone. In generale, ma sicuramente quando viene utilizzato un computer personale per motivi di lavoro, lo smart worker deve, considerare più attentamente tutti i possibili rischi informatici.
Garantire la continuità dell’operatività aziendale non può costituire un esimente per diminuire i livelli di sicurezza per quanto attiene il trattamento delle informazioni aziendali e dei dati personali.
I contenuti del post sono una libera interpretazione dell'utilizzo articolo "Smart working: buone prassi per ridurre i rischi"