L’allerta coronavirus ha spinto molte aziende a incentivare il lavoro da remoto. Ma occorre prendere contromisure di sicurezza per i dati aziendali e personali
Il telelavoro e lo smart working (lavoro agile) in questi giorni sono tornati sotto i riflettori a causa dell’allarme coronavirus. D’altronde le misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da Covid-19, previste dal decreto legge 23 febbraio 2020, impongono cautela e poche alternative alle imprese. Da ricordare che si può fare ricorso a smart working “in via automatica” fino al 15 marzo solo nelle regioni oggi interessate dai contagi, quindi la procedura sarà agevole per le aziende che si sono già organizzate da tempo e piuttosto complicato per quelle costrette ad accordi individuali da registrare sul portale del ministero del Lavoro.
I principali vantaggi del lavoro remoto, com’è risaputo, sono legati al fatto che gli strumenti informatici software e i servizi cloud consentono in molti casi di proseguire nelle attività lavorative senza recarsi nelle sedi della propria azienda. Il problema è che i rischi per la sicurezza informatica e per la privacy (Gdpr) possono aumentare se non vengono rispettate le procedure suggerite dagli specialisti. In sede le barriere difensive sono costantemente presidiate, mentre a casa vi sono più fronti esposti.
Sincronizzazione e condivisione dei file
La prima criticità riguarda le tecnologie di sincronizzazione e condivisione dei file. Il lavoro remoto difficilmente può prescindere dall’accesso ai dati aziendali interni e la possibilità aggiornarli. Se si considera anche che spesso questo avviene con dispositivi di tipologia diversa (smartphone, pc, tablet) è comprensibile quanto sia fondamentale l’affidabilità dei canali di comunicazione e trasferimento dati.
“Per ciò che concerne la rete aziendale, i team IT possono facilmente proteggere i dispositivi dei professionisti, ma ciò diventa molto più difficile da fare quando un dipendente accede al sistema dall’esterno della rete”, sottolinea la specialista in protezione informatica Acronis: “Al di fuori della rete aziendale, i dispositivi sono facilmente soggetti agli attacchi di terze parti e di criminali informatici”. Un attacco andato a buon fine può rivelare le credenziali di accesso del dipendente, creando così potenziali varchi per accedere ai sistemi delle società oppure per inoculare virus capaci di bloccare attività o congelare database. Un po’ quello che sta avvenendo con i ramsonware negli ultimi tempi.
Ecco quindi l’esigenza di impiegare soluzioni ad hoc che garantiscano la sincronizzazione e la condivisione sicura dei file – ovvero con crittografia end-to-end, controlli utente e sequenze cronologiche di informazioni. Nello specifico vuol dire che i dipendenti possono facilmente accedere ai file aziendali mentre il reparto interno It aziendale gestisce la privacy e la sicurezza dei dati. Allo stesso tempo viene implementata una strategia per la prevenzione della perdita di dati e ripristino di emergenza. “Quando i dati aziendali sono archiviati centralmente, sono meglio protetti dal rischio di perdite di dati causati, per esempio, da un attacco informatico, un errore del dipendente o un dispositivo smarrito o rubato”, consiglia Acronis. Di conseguenza i dati aziendali sensibili dovrebbero essere mantenuti in costante sicurezza e protetti.
La protezione a casa
Un secondo fronte critico è quello dell’account impiegato. Dato per scontato l’uso di quello aziendale è evidente che però i diritti di accesso in esterno dovrebbero essere più limitati, dovrebbe essere attivato uno strumento di cifratura e soprattutto il collegamento – nella migliore delle ipotesi – dovrebbe avvenire con una Vpn (Virtual private network) con un protocollo sicuro.
Scontata poi la presenza sul computer del lavoratore di un valido e aggiornato antivirus con funzioni di cifratura per gli hard disk interni ed esterni. Senza contare strumenti capaci di identificare, monitorare e proteggere i dati in uso – riducendo i rischi di perdita di informazioni. Insomma, gli esperti concordano sul fatto che è sconsigliabile impiegare i dispositivi personali anche per l’uso aziendale. Sebbene esistano modi per mantenere separati i dati i rischi sono più alti rispetto a computer dedicati a ogni singola attività.
Privacy e implicazioni legali
Il Regolamento generale sulla protezione dei dati (Gdpr) è talmente complesso che qualsiasi azienda dovrebbe prevedere una consulenza al riguardo specifica per i lavoratori in remoto. Non solo, questi ultimi dovrebbero essere formati su come gestire questo fronte. L’ideale sarebbe stabilire una vera e propria policy sulla privacy che regoli lo smart working.
Non a caso il Gdpr prevede con l’articolo 88 che “gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro”. In sintesi il dipendente deve essere a conoscenza della modalità della raccolta dei dati e la strumentazione a disposizione dovrebbe essere impiegata solo per la produttività e l’organizzazione del lavoro.
Fonte: Wired.it