Smart work e sicurezza

Telelavoro e smart work (o lavoro agile) sono entrati prepotentemente nelle aziende e nelle abitazioni, modificando profondamente il rapporto tra titolari e lavoratori, con difficoltà notevoli, purtuttavia superabili, ma anche indiscutibili benefici per la società e per l’ambiente.

Tra le difficoltà da superare c’è quella relativa alla sicurezza dei dati e delle comunicazioni, che negli ambienti in cui normalmente si opera è garantita dalla divisione IT dell’azienda o da fornitori esterni di beni e servizi mentre, nelle abitazioni e, peggio ancora, nei punti di accesso ad Internet pubblici, è tutt’altro che scontata.

Oggi il panorama dei dispositivi utilizzati dai lavoratori per collegarsi alle risorse tecnologiche aziendali è decisamente vasto, perché si passa dai notebook ai quali sono abituati agenti di commercio, funzionari e manager, ai tablet e agli smartphone, con i quali, solitamente ogni dipendente consulta la posta, accede ai database e, contestualmente, naviga su Internet e si intrattiene sui social. Tutti però contraddistinti da una sicurezza solo apparente e da pericoli crescenti, soprattutto per i dispositivi diversi dai notebook, che si sottraggono, solitamente, al controllo della divisione IT aziendale.

La protezione logica

Sui dispositivi di proprietà dell’azienda, che sono configurati e protetti da esperti, con possibilità di reset e cancellazione dei dati da remoto, solitamente non possono essere installate applicazioni diverse da quelle utilizzate per scopi lavorativi e questo favorisce sia la sicurezza delle informazioni che l’esecuzione della prestazione lavorativa, priva di costi di commutazione che sarebbero invece elevati se, sullo stesso dispositivo, operassero, ad esempio, i vari social network.

La situazione si complica se il dipendente utilizza un dispositivo personale per accedere alle risorse aziendali, sia perché, come già evidenziato, aumentano le occasioni di distrazione ed il rendimento, ovviamente, ne risente, sia perché ogni applicazione esterna è potenzialmente un rischio anche per l’azienda, a partire dalla diffusione di virus informatici fino alla sottrazione di informazioni aziendali riservate.

Sarebbe quindi opportuno, ove non fosse possibile dotare ogni dipendente di un notebook e di uno smartphone o tablet, creare sul dispositivo dell’interessato un’area riservata alle applicazioni aziendali, gestita da remoto dagli amministratori di sistema, isolata dal resto delle attività che è possibile porre in essere per fini personali. Anche gli aggiornamenti potrebbero essere veicolati da remoto e questo renderebbe certamente più sicura la postazione, che dovrebbe comunque essere cautelata con la cifratura della memoria interna e credenziali di accesso robuste (telefoni e tablet compresi).

I dispositivi ad uso promiscuo, inoltre, dovrebbero essere quantomeno configurati per separare il profilo del lavoratore da quello degli altri utenti (moglie, figli, ecc.).

La protezione fisica

Nei confronti del dipendente che dimentica il portatile o il telefono sul sedile della metro o del treno, l’azienda ha come unica difesa la cifratura del disco e la cancellazione dei dati da remoto, poiché dev’essere ovviamente l’interessato a gestire correttamente e con attenzione il dispositivo che gli è stato affidato, così come quello di sua proprietà.

Neppure all’interno dell’abitazione o di una sala riunioni è opportuno abbassare troppo la guardia, poiché il dispositivo può essere sottratto anche da malintenzionati che si sono introdotti all’interno dello stabile eludendo la sorveglianza. Per quanto meno frequente, rispetto all’ipotesi di smarrimento o sottrazione sui mezzi o in luoghi pubblici, l’evento è molto più probabile di quanto la maggior parte dei dipendenti possa attendersi. Se si dispone di un armadio robusto o di una cassaforte sufficientemente grande, è sempre preferibile conservare all’interno di tali mobili i dispositivi in caso di assenza e, comunque, è preferibile tenerli sotto controllo nelle occasioni di confronto con altre persone, che potrebbero portare via la borsa sbagliata anche accidentalmente.

La protezione organizzativa

A solo titolo d’esempio, occorre focalizzare l’attenzione sull’uso del dispositivo in ambiente pubblico poiché, in un Internet Cafè o in treno, la fuga di informazioni potrebbe derivare anche dall’altro utente che, seduto dietro l’interessato, è a distanza sufficiente per leggere le informazioni visualizzate sul monitor o ascoltare una conversazione in videoconferenza o con il cellulare.

Anche all’interno dell’abitazione, il dipendente che opera in smartworking dovrebbe organizzare adeguatamente la propria postazione e fare attenzione all’uso promiscuo del proprio strumento di lavoro, che dovrebbe essere evitato. Nell’ambiente in cui lavora non dovrebbero scorrazzare bambini e transitare persone non interessate dall’attività svolta, poiché potrebbero prendere cognizione di informazioni riservate ed involontariamente trasmetterle all’esterno, non conoscendone il valore.

Infine, la memorizzazione dei dati e l’organizzazione dei backup dovrebbe essere integralmente demandata all’azienda, evitando di lasciare sul dispositivo dati e informazioni che potrebbero andare irrimediabilmente perse in caso d’incidente fisico o informatico.

La tutela delle comunicazioni

Per offrire protezione adeguata alle informazioni riservate è necessario supporre che le reti di comunicazione delle abitazioni, dalle quali si collegano i lavoratori, non siano sicure, e adottare adeguate contromisure.

Da alcune verifiche operate sul traffico di rete è emerso chiaramente che molti dispositivi sono ancora configurati come li aveva predisposti il fornitore di servizi e che molti smart workers si collegano direttamente al computer presente in ufficio in modalità desktop remoto anziché utilizzando applicazioni dedicate client-server e reti zero trusted, che proiettano all’esterno dell’azienda le risorse senza esporle direttamente su Internet.

A ciò si aggiunge lo scarso ricorso alle VPN per la sicurezza delle comunicazioni, situazione che determina una estrema vulnerabilità delle connessioni. Anche in tal senso, alla configurazione di sistema realizzata in modo responsabile e secondo i massimi criteri di protezione, da parte dell’azienda, dovrebbe associarsi una politica di accesso da remoto che non dovrebbe consentire di utilizzare connessioni pubbliche senza adeguata protezione.

Un contributo formativo sull’uso e sulla corretta configurazione delle reti dell’abitazione, soprattutto con riferimento al WiFi, solitamente aperto o basato su password del produttore, sarebbe utilissimo per migliorare la consapevolezza e le capacità del dipendente con riferimento alle esigenze di cautela, agli scenari di rischio e alle contromisure da adottare.

La formazione

Elemento essenziale della catena della sicurezza delle informazioni è l’elemento umano, che solitamente ne costituisce l’anello debole ed è quindi quello su cui è maggiormente opportuno investire per ottenere risultati. Costringere un dipendente a compiere delle operazioni che non comprende e che interpreta come un fastidio, è il modo migliore per ottenere che la disattenzione alle questioni della sicurezza dei dati sia elevata. Al contrario, rendere edotto il dipendente sui rischi connessi al trasporto e all’uso dei dispositivi all’esterno dell’azienda, inclusa l’abitazione, e sul grado di attenzione necessario per tutelarsi dal furto di informazioni e dalla diffusione indesiderata di dati, è certamente una delle soluzioni che permette di ottenere i migliori risultati. Così come è importante che l’interessato conosca le procedure minime per garantire la sicurezza dei dati  (credenziali robuste, cifratura delle memorie, backup, aggiornamento di antivirus e applicativi, uso delle VPN, conoscenza di base dei sistemi e delle reti, ecc.), formazione che richiede un percorso costante di alfabetizzazione e di aggiornamento sulle nuove minacce.

Infine, non meno indispensabili risultano l’attaccamento agli obiettivi aziendali ed il buon senso, ma se il primo può essere indotto con incentivi e comportamenti virtuosi da parte del datore di lavoro, il secondo dev’essere incluso nel lavoratore come elemento caratteriale e su questo può incidere unicamente una buona selezione del personale.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *