Lo smartworking sicuro al tempo del Coronavirus - Consulenza di Direzione ed Informatica

In questo periodo molte organizzazioni, sia pubbliche che private, hanno scoperto – per necessità – il lavoro a distanza, formalmente definito “lavoro flessibile”, telelavoro o smartworking. Fermo restando che il vero smart working non consiste nel farsi mandare un documento a casa via e-mail da un collega (o da sé stesso), lavorarci su fra le mura domestiche e poi rimandarselo in ufficio, cerchiamo di capire quali sono le modalità efficaci, efficienti e “sicure” per lavorare con continuità da casa o comunque da un sito che non è l’ufficio o la sede aziendale in genere.

In questo periodo molte organizzazioni ed i loro dipendenti, collaboratori e consulenti stanno sperimentando tecnologie che sono disponibili già da alcuni anni a basso costo o addirittura gratis, ma che necessitano di acquisire competenze informatiche di base per poterle utilizzare in modo produttivo.

Partendo dagli strumenti più semplici, i colossi dell’informatica e del web – come Microsoft e Google, ma anche Apple per i suoi utenti – hanno messo a disposizione, insieme alle relative suite di produttività (es. Office 365), anche alcuni strumenti per lavorare su documenti condivisi tramite cloud (ad es. Google Drive, One Drive), per comunicare in modo organizzato sul medesimo progetto, per organizzare riunioni via web (es. Skype for Business ora migrato in Teams, Google Meet, Hangout, oppure GoToMeeting, ecc.). Tali strumenti permettono di lavorare a distanza su documenti informatici, anche contemporaneamente, di condividere lo schermo e di vedersi in modo estremamente proficuo, anche per l’ambiente. Infatti, un effetto collaterale benefico di questa emergenza coronavirus è la riduzione del traffico – e quindi dell’inquinamento – nelle strade e l’eliminazione della carta, ovvero della stampa di documenti, quando non necessaria.

Le aziende più strutturate avevano già previsto modalità di “telelavoro” nelle quali il PC utilizzato dal dipendente fuori sede poteva collegarsi direttamente ai sistemi informatici aziendali tramite VPN.

Per fare questo passo ulteriore, e collegarsi tramite internet ai sistemi aziendali, occorrono maggiori competenze del reparto sistemistico aziendale (troppo spesso ridotto all’osso o demandato all’esterno a consulenti che magari in questo momento sono molto impegnati) ed altre tecnologie.

Il mercato degli applicativi gestionali ha favorito questa trasformazione attraverso il rilascio di applicativi web che non necessitano di installazione su server in azienda o comunque che non funzionano in tecnologia client-server, ma possono essere resi accessibili via web da qualsiasi parte del mondo, dunque anche da casa propria, anche se si è in quarantena, ma si gode di ottima salute!

Chiaramente l’utilizzo di tutti questi strumenti “innovativi” non può essere realizzato da un giorno all’altro in modo efficace ed efficiente, occorrerebbe un periodo di formazione del personale e di test. Ma l’emergenza non ci concede questo tempo e – come al solito – siamo costretti ad operare in modalità diverse a fronte di un evento destabilizzante. È giocoforza ricordare che proprio in questi giorni è uscita la versione italiana della norma UNI EN ISO 22301:2019 sui sistemi di gestione della continuità operativa, ovvero sulla business continuity. Ma quante aziende avevano un piano di business continuity che considerasse lo scenario della pandemia o comunque dell’assenza forzata dal lavoro di numerose persone?

Dunque molti sono costretti a improvvisare, ma occorre pensare anche alla sicurezza delle attività lavorative a distanza, ovvero occorre ragionare in termini di “security”, mentre alla “safety” delle persone si pensa cercando di evitare il più possibile i contatti fisici.

Se con lo smartworking preveniamo i l corona-virus, siamo sicuri di prevenire anche i virus informatici, ovvero il malware che potrebbe far perdere la necessaria riservatezza, integrità e/o disponibilità ai nostri dati? Riusciamo a garantire il rispetto della normativa sulla protezione dei dati (GDPR)?

Ci viene in soccorso la UNI EN ISO 27002 (Linea Guida sui controlli di sicurezza delle informazioni), al punto 6.2.2 Telelavoro, ma non solo. Tale norma ci insegna che:

«Dovrebbero essere attuate una politica e delle misure di sicurezza a suo supporto (del telelavoro) per proteggere le informazioni accedute, elaborate o memorizzate presso siti di telelavoro. »

Perciò le organizzazioni che permettono attività di telelavoro o smartworking – e in questo momento sono moltissime, anche a fronte della modifica normativa – dovrebbero emettere una policy che definisca le condizioni e le limitazioni al telelavoro, ovvero stabilire delle regole generali per gestire lo smartworking in modo sicuro, nelle diverse situazioni.

Gli aspetti da considerare dovrebbero essere i seguenti:

Il livello di sicurezza fisica del sito di telelavoro (es. l’abitazione del dipendente/collaboratore oppure il luogo pubblico dove esso può esercitare l’attività lavorativa), considerando gli edifici e l’ambiente circostante. In pratica consideriamo il fatto che se la postazione di lavoro non è all’interno della sede aziendale devono essere garantiti un accesso controllato in modo continuo delle persone estranee a documenti e dispositivi elettronici. L’abitazione ha una porta blindata e/o un sistema di allarme? La postazione di lavoro è facilmente accessibile da porte o finestre aperte?
L’ambiente di telelavoro proposto: l’azienda può prevedere l’utilizzo di determinati tipi di locali piuttosto che altri (es. divieto di lavorare in luoghi pubblici).
I requisiti per la sicurezza delle comunicazioni, tenendo in considerazione la necessità di accesso remoto ai sistemi interni dell’organizzazione (ad esempio l’accesso più sicuro è tramite VPN crittografata), la criticità delle informazioni che sono accedute e trasmesse attraverso il canale di comunicazione (ad es. dati personali appartenenti a categorie particolari di dati), nonché la criticità del sistema interno. Occorre cambiare il punto di vista: le comunicazioni non avvengono più all’interno dell’azienda, ma dall’interno all’esterno e viceversa e necessitano di essere protette con comunicazioni crittografate. Anche il semplice invio di e-mail dall’ufficio all’abitazione del dipendente dovrebbe comunque garantire trasmissioni sicure (es. con crittografia SSL/TLS) su un indirizzo privato approvato e l’accesso a siti sFTP dovrebbe essere preferito rispetto ai meno sicuri FTP.
La fornitura di accesso in modalità desktop virtuale che prevenga l’elaborazione e la memorizzazione di informazioni su dispositivi privati: se il dispositivo usato dal dipendente è il proprio PC casalingo – e non un notebook fornito dall’azienda – potrebbe essere opportuno non consentire il salvataggio di dati particolarmente riservati in locale, ma solo di lavorare in desktop remoto sul PC aziendale.
Le minacce di accesso non autorizzato alle informazioni o alle risorse da parte di altri soggetti che frequentano il luogo di lavoro flessibile, per esempio i famigliari e gli amici: evidentemente in un contesto privato possono esserci altri soggetti che non sono autorizzati ad accedere alle informazioni aziendali che potrebbero accedervi, pertanto occorre stabilire regole ferree con i dipendenti (es. divieto di divulgare password a conviventi).
L’uso di reti casalinghe e i requisiti o le limitazioni alla configurazione dì servizi wireless di rete: soprattutto se il collegamento alla rete aziendale non avviene tramite VPN è importante garantire la sicurezza della rete cablata o Wi-Fi dell’abitazione o di altro luogo ove si è abilitati a lavorare. Quasi tutti i dispositivi sono in grado di valutare se la rete Wi-Fi a cui ci si collega dispone almeno di un livello di sicurezza WPA2. In caso negativo occorre configurare adeguatamente il router/modem casalingo, se si è in un luogo pubblico meglio astenersi dalla connessione. In certi casi è l’azienda stessa a fornire una connessione sicura tramite scheda SIM 3G/4G.
Le politiche e le procedure per prevenire discussioni riguardo i diritti per la proprietà intellettuale sviluppatisi su dispositivi privati: è opportuno stabilire regole precise per chiarire al dipendente che eventuali progetti sviluppati in smartworking casalingo rimangono di proprietà dell’azienda.
L’accesso a dispositivi privati (per verificare la sicurezza del sistema o durante un’indagine), che potrebbero essere proibiti dalla legge. Se il dipendente usa un proprio dispositivo privato che contiene materiale illegale o viene usato per consultare siti illegali potrebbero esserci dei problemi.
Gli accordi di licenza del software tali per cui le organizzazioni potrebbero diventare responsabili per le licenze di software sulle workstation private di proprietà del personale o di utenti di terze parti. Chiaramente se il dipendente utilizza il proprio PC occorre che le licenze software siano conformi alla legge applicabile. Anche un Office con licenza Student o Privata non potrebbe essere usato per scopi aziendali o professionali. Eventuali indagini dell’Autorità potrebbero creare problemi al dipendente ed all’azienda.
Le protezioni dal malware e i requisiti per l’uso di firewall in caso di utilizzo di PC privati devono essere comunque garantiti. Sarebbe bene richiedere la presenza di un anti-malware ed un firewall di livello equivalente a quello aziendale (le licenze free degli antivirus sono da evitare).

In generale dovrebbero essere stabilite regole fra azienda e dipendente che definiscano quali dispositivi utilizzare, come utilizzarli, dove poter lavorare, quali misure di sicurezza occorre mantenere sempre, come gestire i backup delle informazioni e le stampe, quali informazioni si possono elaborare, se ci sono particolari restrizioni per il trattamento di dati personali appartenenti a categorie particolari di dati (art. 9 del GDPR), la gestione delle procedure di autenticazione e la gestione delle password, le attività non consentite dai dispositivi utilizzati anche per lavoro e così via.

Anche per attività che richiedono software particolari e costosi (es. editing grafico e progettazione CAD) i produttori di software stanno venendo incontro agli utenti con licenze non legate ad un particolare dispositivo fisico, ma utilizzabili, con il supporto del cloud, su dispositivi differenti, anche se non contemporaneamente.

Purtroppo sono tutti elementi che non si possono improvvisare da un giorno all’altro, ma che sarebbe opportuno considerare e gestire anche nell’emergenza.

Infine occorre considerare un problema di capacità: se un’azienda normalmente è strutturata per uno smartworking contemporaneo del 20% dei dipendenti (ad esempio una giornata lavorativa a settimana) e in questa situazione di emergenza il lavoro a distanza sale al 90%, probabilmente le reti e le VPN dovranno essere ridimensionati per supportare tutto il traffico, nella consapevolezza che le connessioni di rete delle abitazioni dei dipendenti potrebbero non garantire prestazioni sufficienti e questo problema potrebbe essere difficile da ovviare anche con connessioni tramite chiavette con SIM 4G se l’abitazione del dipendente si trova in una zona mal servita dai provider internet.