Il lavoro agile (cosiddetto smart working) è cresciuto molto durante la pandemia e il periodo di lockdown. Al di là dell’emergenza, questa nuova modalità di lavoro sarà utilizzata sempre più in futuro. Ma cosa cambia riguardo alla tutela della sicurezza dei dati personali e aziendali, anche alla luce del nuovo protocollo sul lavoro agile firmato il 7 dicembre scorso dalle parti sociali?
Il datore di lavoro, che è il titolare del trattamento dei dati, oltre a fornire tutti gli strumenti tecnologici e informatici necessari allo svolgimento della prestazione lavorativa (salvo diversi accordi) è tenuto a fornire al lavoratore agile (smart worker) le istruzioni e le informazioni sulle misure di sicurezza che lo stesso è obbligato a osservare per garantire la protezione, la segretezza e la riservatezza delle informazioni e dei dati che il lavoratore tratta per scopi professionali e lavorativi in base alla sua funzione o al ruolo che ricopre.
Tuttavia, per quanto ci si attenga scrupolosamente all’adozione di tutte le misure di sicurezza, qualche evento sinistro può sempre accadere: guasti improvvisi, furti o smarrimento delle attrezzature informatiche usate dal lavoratore, etc. Pen drive, hard disk rimovibili e altri supporti fisici che contengono dati aziendali, se lasciati incustoditi, possono essere oggetto di furto o smarrimento. Allo stesso modo, i dati contenuti nel pc o nei dispositivi esterni collegati al pc, se non sufficientemente protetti, possono essere oggetto di attacchi informatici.
Quando uno qualsiasi degli eventi sopra menzionati ha luogo, il dipendente ha l’obbligo di avvisare tempestivamente il datore di lavoro e, se necessario, occorre attivare la procedura aziendale per la gestione del data breach.
In caso di accertamento di un comportamento negligente da parte del lavoratore nel causare il problema e nel caso in cui ne consegua un danno alle attrezzature informatiche fornite, il dipendente ne risponde personalmente.
È importante allora adottare una serie di misure atte a scongiurare questi possibili rischi.
In primo luogo è assolutamente necessario proteggere le reti informatiche dalle azioni di eventuali malintenzionati. Non è più sufficiente proteggersi con un semplice antivirus free o un normale router fornito dal proprio provider, ma dal momento che è molto facile intercettare la password del router, è opportuno non rendere il dispositivo wireless individuabile o prevedere l’installazione di un firewall fisico.
Inoltre, è buona norma proteggere i software e le applicazioni utilizzate da eventuali minacce. Per questo motivo, il cambio periodico delle password, ad esempio, non deve essere visto come un adempimento inutile, ma un atto necessario al fine di tutelare i dati aziendali. Anche l’adozione di password difficili da indovinare è una buona difesa da tentativi di attacco o intrusione nei sistemi aziendali.
Sempre in questo contesto, particolare attenzione va prestata alla sicurezza operativa, vale a dire a tutti i processi e le decisioni attinenti gli utenti autorizzati ad accedere ad una rete o ad una tipologia di dati. È opportuno quindi creare una serie di autorizzazioni a vari livelli per accedere alle reti o ai software aziendali.
Di fondamentale importanza poi è la creazione di una strategia di disaster recovery, vale a dire un programma con il quale l’azienda risponde a un incidente di sicurezza dati o a un qualsiasi evento calamitoso (alluvioni, allagamenti, crolli di parti di edifici, etc…) che provoca una perdita di dati o termini di operazioni. Le domande alle quali rispondere sono: ogni quanto tempo procedere ad un backup totale dei dati? Su quali e quanti supporti differenti? Dove conservare i backup?
Uno dei più importanti aspetti della cyber sicurezza aziendale riguarda però le persone. Qualunque lavoratore che non rispetti le procedure minime di sicurezza rischia di introdurre in maniera accidentale un virus in un sistema sicuro. Dopotutto, se ci pensate bene, sono le persone con le proprie azioni a mettere a rischio la sicurezza dei dati aziendali. Le personalità interne dell’azienda che possono minacciare la sicurezza aziendale variano dal dipendente distratto o poco informatizzato a quello insoddisfatto o malintenzionato che vuole danneggiare l’azienda.
Un file scaricato da un sito web non sicuro o l’inserimento di un’unità USB non identificata può essere fonte di minaccia informatica. Il rischio più comune è che il computer (e tutto il sistema informatico) sia infettato da un malware (spyware, trojan, virus, ransomware), un software malevolo creato da cyber criminali o hacker senza scrupoli, in grado di ottenere un guadagno economico o sferrare un cyber attacco ai dati aziendali (furto dati, riscatti in denaro, etc).
Per questo motivo, la formazione professionale dei dipendenti deve entrare a pieno diritto fra gli strumenti a disposizione delle aziende che vogliono gestire al meglio le tematiche relative alla sicurezza dei dati e va attuata secondo criteri di adeguatezza rispetto ai rischi che si intendono mitigare.
Antonino Salvaggio – Centro Studi CGN
http://www.il-commercialista-dei-professionisti.com