Malta: smart Working: the risks of the own solutions

: 27 March 2020

Lo SMART WORKING è specificatamente normato per quanto attiene al rapporto fra dipendente e datore di lavoro e i recenti interventi normativi hanno consentito di estendere tale forma di lavoro ad un rilevante numero di soggetti senza particolari impegni burocratici, però non esonera il datore di lavoro in merito al fornire puntuali istruzioni e regole su come svolgere l’attività lavorativa, su come predisporre l’ambiente di lavoro e su come garantire l’adeguata sicurezza, sia per il Collaboratore, sia per l’azienda.

In particolare, vanno evitate le soluzioni fai da te che molto spesso i Collaboratori hanno già sperimentato, quali ad esempio l’accesso alla posta elettronica mediante propri strumenti personali (in particolare se la posta aziendale è accessibile con una webmail senza verifica del dispositivo che si connette) o la condivisione di documenti mediante uno dei tanti servizi gratuiti in cloud (molto deboli dal punto di vista della sicurezza), l’uso di dispositivi esterni di memorizzazione ( es : chiavette USB ) e altro ancora.

Spesso l’uso di tali soluzioni contrasta con le policy aziendali ufficiali, ma nella realtà le aziende ne hanno tollerato l’uso in quanto in tal modo si evita il ricorso a soluzioni alternative presidiate (e costose).
Dal punto di vista tecnico le soluzioni con cui vengono svolte le attività di SMART WORKING sono molto variabili e comportano di solito un collegamento con il sistema informativo dell’azienda, che il più delle volte non permette l’accesso a tutte le funzionalità disponibili presso la sede.

La Sicurezza dei Dati, Aziendali e Personali

Per poter svolgere la propria attività, il Collaboratore deve disporre almeno di un PC portatile, uno strumento per comunicare ( lo stesso PC o uno Smartphone), una connessione a Internet per supportare lo scambio di informazioni, una connessione alla rete aziendale (tramite una VPN.. altamente consigliata).
Tali strumenti possono essere sia dell’azienda, sia del Collaboratore, con combinazioni variabili che possono influenzare l’architettura complessiva della postazione del Collaboratore e la relativa sicurezza, con particolare riferimento a quella delle informazioni gestite.
Infatti, uno dei maggiori punti di attenzione che dovrebbe avere il datore di lavoro, nella gestione dello smart working, è il garantire quantomeno lo stesso livello di sicurezza nel trattamento sia delle informazioni aziendali, sia dei dati personali, garantendo nel contempo il rispetto di varie normative, queste non possono variare per il semplice fatto che il Collaboratore opera da qualsiasi luogo esterno alla sede Aziendale.
Vanno quindi rispettate la normativa privacy, quella sulla sicurezza informatica, quella sui controlli a distanza, il modello 231 nel caso in cui l’azienda ne abbia uno.
Obbligo e Diligenza del datore di lavoro verificare che sussistano le condizioni per il rispetto di tali normative, dando strumenti ed istruzioni in tal senso ai propri dipendenti, e approfondita formazione e controllo diventano fondamentali, queste anche in periodi antecedenti l’attuale momento “pre -crisi”.
Con probabilità non sono molti i Collaboratori che dispongono in casa di uno spazio adeguatamente “ isolato “ in cui poter svolgere il proprio lavoro, nell’attuale situazione di convivenza forzata potrebbe essere necessario rivedere le proprie abitudini e l’attuazione o l’estensione temporale dell’attività di SMART WORKING di norma a tutta la settimana ha il suo effetto:

aumenta il numero di riunioni che si tengono esclusivamente da remoto e questo incrementa le criticità, per mantenere un’adeguata riservatezza nelle comunicazioni è consigliabile l’uso di cuffie, la limitazione fino al divieto del riscorso alle comunicazioni in viva voce (non si deve dimenticare al riguardo che, a differenza del periodo pre-crisi, anche gli inquilini degli appartamenti vicini sono in casa e possono pertanto ascoltare le nostre conversazioni);
impossibilità di recuperare documenti disponibili unicamente su carta, di digitalizzare documenti o a stampare solo se strettamente necessari e di non archiviarli su dispositivi non controllabili aziendalmente.

Il datore di lavoro dovrebbe dare indicazioni sull’ambiente in cui si svolge l’attività e dal punto di vista prettamente tecnico, se il Collaboratore utilizza unicamente strumenti aziendali, si presuppone che l’azienda stessa abbia predisposto sia il PC sia lo Smartphone con tutti gli accorgimenti richiesti, fra i quali:

cifratura;
antivirus;
patch aggiornate;
uso di utenze senza privilegi amministrativi;
blocco delle porte USB e dell’eventuale masterizzatore;
client VPN;
software per la gestione di conferenze audio e video;
eventuale software per il controllo remoto della propria postazione presso la sede;
la formazione sugli strumenti e sulle regole da adottare;
la relativa infrastruttura lato sede;
i manuali di supporto;
un servizio di supporto tecnico in caso di malfunzionamento;
una soluzione di backup che consenta comunque di operare anche se non tutti gli strumenti funzionano regolarmente.

Tutto ciò per far sì che le informazioni eventualmente presenti in locale e la rete aziendale al momento della connessione del dispositivo, siano protetti.
Sebbene spesso le policy aziendali vietino di conservare localmente dei dati, è innegabile che in questo momento di uso massivo dello SMART WORKING (e conseguente occupazione di banda) potrebbe essere necessario derogare a tale prescrizione.
Molto diverso è il caso dell’uso di dispositivi personali.
Al riguardo vanno distinte ovviamente le situazioni nelle quali è ad esempio consentito l’uso del proprio PC o Smartphone rispetto al semplice uso della connettività.
Al di là di una rigorosa policy BYOD (Bring Your Own Device, letteralmente: portate il vostro dispositivo) solo la presenza di opportune misure di salvaguardia può garantire un certo livello di sicurezza.
Nel caso degli Smartphone è possibile attivare delle partizioni separate nelle quali gestire e conservare i dati aziendali, mentre nel caso dei pc è possibile utilizzarli quali strumenti per accedere da remoto o alla propria postazione presente in azienda o a servizi virtualizzati che l’azienda ha reso disponibili (in questo caso sia le applicazioni software, sia i dati, resterebbero sui server aziendali e non vi sarebbe un trasferimento locale di informazione).
Consentire l’uso di strumenti personali senza alcun accorgimento, salvo la presenza di una policy anche rigorosa, non è sicuramente sufficiente e potrebbe esporre un’azienda, o meglio un titolare, a possibili sanzioni.
Non devono essere presi in considerazione solo gli aspetti di sicurezza, ma anche le altre misure richieste per il rispetto della normativa europea
Non va infatti dimenticato che le prescrizioni del GDPR vanno sempre e comunque applicate e che la predisposizione di soluzioni per consentire un lavoro a distanza comportano necessariamente l’esecuzione delle varie analisi dei rischi previsti ai sensi degli artt. 24, 25 e 32.
Va da sè che in questo caso il semplice uso di User-id e Password o anche più sofisticati strumenti di autenticazione non garantiscano il fatto che l’accesso avvenga da uno strumento aziendale, tale modalità operativa, per quanto poco sicura, potrebbe essere tollerata se effettuata occasionalmente, ma sicuramente non può essere accettabile come normale strumento di lavoro; dati e documenti potrebbero essere trasferiti su un dispositivo al di fuori di qualunque controllo aziendale ed il cui livello di sicurezza non può essere garantito.

Smart working e documenti cartacei

Un discorso a parte merita la gestione dei documenti su carta, che in realtà non dovrebbero per nulla esistere e se presenti non vanno lasciati accessibili alla consultazione di terzi, familiari compresi ( soprattutto se trattano dati particolari di persone fisiche, quali aspetti finanziari – sanitari – attitudinali ), in realtà portare fuori dall’azienda documenti dovrebbe essere di fatto vietato, ma è ben noto che molti hanno questa abitudine quando devono finire un lavoro importante ed urgente, la sera o nel week end.
La regola viene così infranta, sacrificando la sicurezza all’efficienza. In questo momento c’è anche il rischio che documenti particolarmente significativi, che nelle intenzioni di chi li ha portati fuori dall’azienda avrebbero dovuto farvi ritorno in tempi brevi, debbano essere necessariamente custoditi presso la casa del Collaboratore, con un livello di sicurezza insufficiente.
È innegabile che è ancora diffusa la stampa dei documenti per la loro revisione, buona prassi sarebbe di distruggere tali stampe, una volta fatto conferirle in maniera divisa ( non tutte nello stesso momento e stesso contenitore )
Il rischio in questo caso è che cerchi in qualche modo di aggirare l’ostacolo, bypassando i vincoli imposti ad esempio dall’impossibilità tecnica di effettuare delle copie su supporti esterni, inoltrando il documento che desidera stampare sulla casella di posta personale al fine di stamparlo dal proprio PC e con la propria stampante.
In questo come in molti altri casi è evidente la volontà del Collaboratore è solo quella di lavorare al meglio; non ha avvertenza dei relativi aspetti di sicurezza, per tale motivo le regole che devono essere emanate devono comprendere tutti i possibili casi che il Collaboratore potrà trovarsi ad affrontare, evitando di lasciare zone grigie che possano portare ad adottare soluzioni non idonee.
Non dimentichiamo che la responsabilità, ad esempio nel caso di trattamento di dati personali, è sempre in capo al TITOLARE, che deve dimostrare di aver dato tutte le indicazioni / formazione possibile ai propri dipendenti affinché questi operino nel rispetto delle normative e delle regole predisposte dal datore di lavoro.
Queste dovrebbero comprendere anche indicazioni su come il Collaboratore debba comportarsi ad esempio in caso di incidente di sicurezza.
Garantire la continuità dell’operatività Aziendale non può costituire una giustificazione per diminuire i livelli di sicurezza per quanto attiene il trattamento delle informazioni aziendali e dei dati personali.

Speriamo di aver risposto agli interrogativi che sono sorti nella nuova modalità operativa imposta dal momento.