Lavoro da remoto e sicurezza delle informazioni

di Marco Chesi |

Lo smart working, o lavoro agile, è diventato sempre più diffuso, soprattutto a seguito della pandemia da Covid19.

Questa modalità di lavoro consente ai dipendenti di svolgere le proprie mansioni da remoto, offrendo flessibilità e migliorando la conciliazione tra vita professionale e personale. Tuttavia, è fondamentale considerare, quando si parla di smart working, anche gli aspetti legati alla sicurezza delle informazioni. Come si concilia la tanto agognata libertà fornita da questa modalità di lavoro con l’austerità delle regole dettate dalla sicurezza delle informazioni? Libertà o regola? Bianco o nero? Meglio o peggio?

Sono dubbi a cui è difficile trovare risposta, finché i due temi sembrano inconciliabili. Eppure, a pensarci bene, anche nel lavoro da remoto, la persona è sempre concentrata davanti a un pc. Quindi, possiamo dire che è possibile e doveroso conciliare lo smart working con delle buone prassi, delle regole che mirino alla sicurezza delle informazioni.

Punti chiave su lavoro da remoto e sicurezza

Come sempre, le norme ISO hanno approcciato il problema già da molto tempo e ben prima del lockdown. Già nello standard ISO 27001 edizione 2013 si poneva forte enfasi su una serie di controlli legati alle attività riconducibili allo smart working, al telelavoro e a tutte le pratiche operative che vengono svolte fuori sede in maniera continuativa. La tematica è molto complicata e va gestita dando spazio a una serie di riflessioni, che possiamo riassumere nei seguenti punti chiave.

• Informativa sulla sicurezza: il datore di lavoro deve fornire una informativa specifica, almeno una volta all’anno, sia al lavoratore sia al rappresentante dei lavoratori per la sicurezza. Questo documento deve elencare tutti i rischi, sia generali che specifici, connessi allo smart working.
• Formazione: è essenziale garantire una formazione adeguata ai lavoratori riguardo alle best practice per la sicurezza delle informazioni. Questo include l’uso corretto degli strumenti di comunicazione, la gestione dei dati sensibili e la protezione delle reti e dei dispositivi.
• Valutazione dei rischi: il datore di lavoro deve effettuare una valutazione dei rischi specifica per lo smart working. Questo include l’individuazione di potenziali minacce alla sicurezza, come accessi non autorizzati, perdita di dati o attacchi informatici.
• Dispositivi e connessioni sicure: i lavoratori devono utilizzare attrezzature con caratteristiche ergonomiche, mantenute e controllate regolarmente. Inoltre, è importante garantire una connessione sicura alla rete aziendale, utilizzando ad esempio una VPN o altre soluzioni di crittografia.
• Diritto alla disconnessione: gli impiegati in smart working devono avere il diritto alla disconnessione al termine della giornata lavorativa. Questo aiuta a prevenire il sovraccarico e a mantenere un equilibrio tra lavoro e vita privata.

Le principali cyber minacce

Proviamo ora a vedere la questione dalla parte delle organizzazioni. È innegabile che l’adozione dello smart working abbia comportato notevoli vantaggi, ma ha anche esposto le aziende a nuove sfide in termini di sicurezza informatica.

Ecco alcune delle principali minacce:

• social engineering e phishing: gli attacchi di questo tipo sono aumentati, quindi la formazione del personale e l’uso di strumenti di difesa avanzati sono fondamentali per mitigare queste minacce;
• ransomware e DDoS: l’aumento del lavoro remoto ha reso le organizzazioni più vulnerabili a ransomware e attacchi DDoS;
• vulnerabilità del cloud computing e software di terze parti: l’uso del cloud computing espone le aziende a rischi legati alla sicurezza dei dati, mentre i software di terze parti possono contenere vulnerabilità;
• minacce interne: anche i dipendenti possono rappresentare una minaccia, qui la gestione degli accessi e la sorveglianza sono cruciali;
• fattore umano: lo stress e le preoccupazioni personali rendono la forza lavoro più suscettibile agli errori umani, servono consapevolezza e formazione.

L’importanza di un approccio proattivo

In sintesi, lo smart working offre vantaggi significativi, ma è cruciale affrontare lavoro remoto e sicurezza delle informazioni in modo proattivo. Solo così possiamo garantire un ambiente di lavoro agile e protetto per tutti i dipendenti. Questo punto è fondamentale nell’ottica dei sistemi di gestione. L’organizzazione deve essere proattiva, attraverso un’opportuna analisi del rischio (ad esempio sui pro e i contro derivanti dall’introduzione dello smart working). Deve comprendere a quali scenari andrà incontro e quindi organizzarsi preventivamente per abbattere rischi e aumentare opportunità che lo smart working introduce.

Gli standard ISO sono vincenti per la loro capacità di soffermarsi sulla componente umana, sulla necessità di sensibilizzare le persone sui temi cruciali e renderle consapevoli dell’importanza di essere aderenti alle linee di indirizzo definite. Quindi, il vero tema non è smart working, lavoro remoto e sicurezza delle informazioni, quanto l’essere consapevoli che si lavora per progetto, per obiettivo. Dimostrando di poter portare a termine in maniera sicura quello che è stato affidato, pur non essendo in presenza.

Lavorare in smart working è uno dei più alti momenti di rappresentazione della sicurezza delle informazioni: occorre sfruttare risorse adeguate in totale autonomia e quindi, se manca la consapevolezza, con il rischio intrinseco di agire in modo sbagliato. A livello di vertice aziendale è una grande dimostrazione di fiducia nelle risorse aziendali e nelle capacità dei singoli; a livello di dipendenti è invece una attestazione della capacità di operare in modo sicuro in un ambiente più familiare.

* Marco Chesi è Lead Auditor della divisione italiana di SQS, Associazione Svizzera per la certificazione dei Sistemi di Qualità e di Management.