Con la diffusione del virus COVID-19 ("Coronavirus") e le misure restrittive del nostro governo per contenerne gli effetti, molte aziende si stanno avvalendo dello Smart Working in questi giorni di emergenza.
Come noto, si tratta di un fenomeno già conosciuto nel mondo lavorativo, che consente al lavoratore di poter svolgere le proprie mansioni fuori dagli abituali luoghi di lavoro e che oggi si rende quindi indispensabile per garantire un minimo di operatività, quanto meno in attesa che passi l'emergenza.
Le implicazioni dello Smart Working sono di varie tipologie, e qui di seguito riassumiamo alcuni aspetti da considerare in tema di protezione dei dati personali e delle informazioni critiche per il business.
La rete aziendale permette infatti l'accesso da remoto a dati personali, quali i dati dei propri dipendenti e clienti, e alle informazioni commerciali o segreti industriali di vario tipo, quali documenti contrattuali o email contenenti le condizioni applicate alla clientela, know-how sui processi produttivi, progetti etc..
Eventuali accessi non autorizzati o finanche perdite di questi dati e informazioni possono avere conseguenze negative per le aziende, non solo sotto il profilo commerciale ma anche per violazione della normativa privacy, potendo comportare sanzioni anche molto consistenti.
L'importanza di una policy per consentire l'uso dello Smart Working in condizioni di sicurezza
Indipendentemente dal mezzo materiale utilizzato (dispositivo di proprietà del dipendente che si connette alla rete aziendale tramite VPN ovvero utilizzo di un dispositivo dell'azienda che opera come virtual machine collegata a sua volta tramite un meccanismo di riconoscimento alla rete aziendale), l'utilizzo della rete e degli strumenti aziendali di accesso da remoto deve essere regolato, non solo per circostanze eccezionali, ma anche per la normale operatività.
Ogni datore di lavoro deve quindi dotarsi di una policy, procedure e manuali interni con cui disciplinare l'utilizzo della rete aziendale, della casella di posta elettronica e dei vari devices (principalmente, telefono e computer/tablet).
Queste istruzioni contribuiscono a costruire in azienda una maggiore consapevolezza sulla protezione dei Dati Personali e delle informazioni critiche e, al contempo, sono un presidio per le aziende per proteggere i propri asset informativi, soprattutto in situazioni di "emergenza" come quella attuale rappresentata dal Coronavirus.
Oltre alle procedure è inoltre fondamentale verificare e mantenere attive le proprie misure di protezione tecniche, di modo che i dispositivi aziendali e/o gli accessi alla rete aziendale compiuti in questa particolare situazione siano effettuati nel massimo grado di sicurezza informatica (esempi lampanti sono gli hard disk protetti tramite crittografia, i sistemi di backup della posta e dei dati, firewall, etc.).
Alcuni esempi di istruzioni da fornire ai dipendenti in Smart Working
Anche qualora l'azienda si sia già dotata di una policy sull'utilizzo di strumenti informatici, riteniamo utile – in questo frangente - ricordare ai dipendenti che lavorano da remoto almeno i seguenti aspetti:
In generale, osservare la massima cura ed attenzione nella custodia e nell'uso degli strumenti informatici aziendali (oltre che nell'accesso alla rete), il che implica di:
- Usare i dispostivi aziendali forniti solo per finalità lavorative, salvo che non sia stato preventivamente consentito un uso anche personale al di fuori del normale orario di lavoro;
- Evitare di lavorare in luoghi pubblici in cui il dispositivo utilizzato per accedere alla rete possa restare incustodito e, quindi, essere sottratto;
- Evitare – almeno durante la giornata di lavoro – di prestare il proprio dispositivo a terzi (es., famigliari o amici), in quanto essi potrebbero potenzialmente accedere tramite esso alla rete aziendale;
- Modificare con frequenza la password di accesso agli account informatici aziendali e mantenerla riservate;
- In caso di inattività del dispositivo collegato con la rete aziendale, fare in modo che sia lasciato con tutti i programmi di lavoro chiusi e bloccati (utilizzando CTRL+ALT+CANC Blocca Computer – oppure – Windows+L);
Durante l'utilizzo di dispositivi per accedere alla rete:
- Non installare/usare qualsiasi software o applicativo non attinente all'attività lavorativa (es., programmi per streaming, download, musica, giochi, etc.), non installato/approvato dal datore o che violi il diritto d'autore di terzi o una licenza d'uso (salvo che l'azienda non abbia già previsto blocchi ex ante), anche qualora sia usato un dispositivo personale;
- Evitare, nel corso del collegamento alla rete aziendale, collegamenti ad altre virtual machine (in quanto si creerebbero rischi di potenziali collegamenti tra reti esterne e quella aziendale);
- Non inserire nella rete aziendale alcun file di origine esterna non pertinente alle mansioni lavorative e non salvare alcun file inerente all'attività lavorativa sul disco fisso del proprio dispositivo ovvero del laptop/computer aziendale. Il salvataggio e la conservazione devono avvenire unicamente presso la rete aziendale;
- Non utilizzare dispositivi esterni quali chiavette USB, connect card, etc. se non previa approvazione da parte dell'azienda (salvo che l'uso non sia già stato bloccato ex ante);
- Non utilizzare – se non per indifferibile esigenze lavorative – reti Wi-Fi in luoghi pubblici, senza password di accesso;
Al dipendente dovrà essere inoltre ricordato che l'azienda ha il diritto di effettuare controlli sull'uso degli strumenti, in conformità con la normativa applicabile (in particolare, con riferimento allo Statuto dei Lavoratori) e, se del caso, applicare sanzioni in caso di inosservanza.
Da parte sua, l'azienda dovrà fornire tutte le istruzioni tecniche per garantire l'accesso sicuro alla rete anche tramite dispositivi personali e dovrà poi attivare – se non lo ha già fatto - canali dedicati per il supporto IT necessario.
Mantenere alta l'attenzione dei dipendenti sulla cybersecurity, per proteggere la rete da attacchi esterni
Oltre a quanto sopra, si consiglia anche di richiamare l'attenzione dei dipendenti sulle misure da intraprendere in caso di episodi di perdita/alterazione/distruzione dei dati (cd. "data breach" – es., sia accidentali che, soprattutto, a seguito di attacchi esterni solitamente propagati tramite email fake quali trojan, macro malware, ransomware, phishing, etc.), ricordando al dipendente di riportare immediatamente quanto accaduto alla società.
Ad esempio, occorre prestare molta attenzione alle email ricevute quali:
- E-mail apparentemente inviate da fornitori o colleghi in cui, ad esempio, si chiede di aprire un link contenente una conferma d'ordine o la busta paga. In questi casi si raccomanda di verificare l'indirizzo associato al nome utente e se la firma in calce al messaggio sia genuina, in quanto spesso sono invece mittenti malintenzionati che cercano di carpire informazioni o credenziali di accesso al sistema;
- E-mail contenenti allegati in formato .doc che, una volta aperti, chiedono di installare una macro. In questo caso, occorre negare l'autorizzazione e, qualora fosse già stato fatto, arrestare immediatamente il sistema ed avvisare la Società.
Purtroppo, anche l'espandersi dell'emergenza Coronavirus ha già mostrato come essa sia sfruttata per condurre attacchi informatici via e-mail. Ad esempio sono già circolate in questi giorni e-mail contenenti un allegato "CoronaVirusSafetyMeasures.pdf" ovvero inviate dal finto account della dott.ssa Penelope Marchetti dell'OMS, che sono false.
Al contempo, è utile ricordare sempre l'importanza di adottare un approccio proattivo e responsabile. In caso di dubbi occorre rivolgersi sempre alla Società prima di aprire un link od un allegato che sembrano essere poco genuini. In tal senso, la raccomandazione del think before you click è sempre valida.
Il datore di lavoro, se possibile, dovrà mantenere aperto – anche in questi giorni di emergenza - un canale diretto per il supporto dedicato.