SmartWorking: guida pratica agli adempimenti Privacy e di Sicurezza

La guida che segue rappresenta una sintesi di quali siano gli elementi essenziali per la pianificazione di un “miglior” SmartWorking nel rispetto della normativa privac anche in riferimento alle misure di sicurezza informatica.
Vorrei dare a dipendenti e collaboratori la possibilità di lavorare da remoto, cosa devo sapere?

Ci sono alcune questioni che ÃĻ opportuno considerare prima di implementare modalità di lavoro da remoto:

  • Qual ÃĻ lo stato attuale dell’infrastruttura ICT aziendale?
  • Qual ÃĻ il livello di formazione attuale dei dipendenti in materia di privacy e sicurezza?
  • Esistono già politiche interne che disciplinano l’uso delle risorse aziendali?
  • Sarà necessario monitorare le attività dei dipendenti a distanza?
  • DovrÃē utilizzare soluzioni tecnologiche particolari e/o software as a service?
Notebook aziendale o personale?

Un parametro fondamentale quando si vuole dare la possibilità di lavorare da remoto, ÃĻ decidere se i dipendenti lavoreranno con strumenti aziendali o personali.

Da un lato, consentire l’uso di strumenti personali puÃē rendere l’esperienza di lavoro piÃđ proficua grazie alla familiarità con lo strumento, oltre a derivarne un risparmio economico per l’azienda.

D’altro canto, utilizzare strumenti personali potrebbe comportare dei rischi per la sicurezza dei dati.

Parola d’ordine: gestione del rischio

Lavorare da remoto ÃĻ sempre piÃđ una necessità, e negli ultimi anni ÃĻ diventato anche molto semplice. Esistono soluzioni che in poco tempo e con poco sforzo permettono di impostare il lavoro da remoto. La semplicità apparente perÃē non deve ingannare. Il lavoro da remoto comporta diversi rischi sia per l’azienda che per i diritti dei dipendenti. Pianificare il lavoro da remoto nel rispetto della normativa privacy (GDPR e Codice Privacy) puÃē aiutare a mitigare molti di questi rischi.

Panorama Normativo

Il GDPR trova applicazione ogni volta che sono raccolti e trattati dati personali. Per “dato personale” si intende ogni informazione riferibile a persone identificate o identificabili.

Per quanto riguarda gli argomenti qui trattati, il GDPR non ÃĻ l’unica fonte da considerare:

  • lgs. n. 196/2003, come modificato dal D.lgs. n. 101/2018 (Codice Privacy);
  • 300/1970 (Statuto dei Lavoratori);
  • Circolari INL (Ispettorato Nazionale Lavoro);
  • Provvedimenti dell’Autorità Garante;
  • Normative di riferimento sulla sicurezza informatica.
Cosa c’entra il lavoro da remoto con il GDPR?

Il lavoro da remoto, a prescindere dalla tipologia (telelavoro, smart workingâ€Ķ) pone diversi rischi per l’organizzazione che sceglie di implementarlo, sia dal punto di vista della cybersicurezza, che per quanto riguarda il rispetto della normativa privacy. Spesso nell’ambito del lavoro da remoto sono previste soluzioni tecnologiche che comportano il trattamento di dati personali dei dipendenti, che deve essere realizzato nel rispetto del GDPR.

Per sua natura il lavoro da remoto aumenta il rischio di accesso non autorizzato ai sistemi informativi aziendali e ai dati trattati. Oltre a questo, l’assenza del contesto aziendale potrebbe comportare un aumento degli errori umani, con rischio di perdita o alterazione non autorizzata di dati.

Il GDPR prescrive specifici obblighi sia per la sicurezza dei dati trattati dall’azienda (compresi anche quelli dei dipendenti), sia per quanto riguarda i principi applicabili ad ogni tipologia di trattamento.

Questo non significa che il lavoro da remoto sia da evitare, ma che ÃĻ un’attività che va pianificata e gestita anche tenendo conto dei requisiti privacy e dei rischi per la sicurezza dei dati trattati dall’azienda.

LE PRINCIPALI MISURE ORGANIZZATIVE

Il lavoro da remoto richiede una pianificazione che tenga conto del contesto di partenza, degli obiettivi, delle risorse a disposizione e dei rischi. Vediamo quali sono le principali misure organizzative che possono essere adottate, nel rispetto del GDPR.

Definizione degli Obiettivi

Per lavorare da remoto non basta soltanto dare un pc portatile ai dipendenti. Prima ancora di partire, ÃĻ necessario definire e adottare una politica interna che descriva nel modo piÃđ dettagliato possibile alcuni punti essenziali:

  • Condizioni d’uso delle risorse aziendali accessibili da remoto;
  • Modalità di collegamento alle risorse aziendali;
  • Limiti di utilizzo degli strumenti di lavoro.

E se i dipendenti useranno dispositivi personali per lavorare:

  • Modalità di utilizzo dei dispositivi personali per fini lavorativi;
  • Sistemi operativi e software ammessi.

Queste politiche interne, una volta definite e adottate, dovranno essere rese note ai dipendenti che lavoreranno da remoto.

Se possibile, prevedi un paio d’ore di formazione per assicurarti che tutti abbiano compresso le regole.

Definire queste regole minime aiuta a prevenire rischi per la sicurezza dei dati e agevola anche la tutela dei diritti dei dipendenti.

Va espressamente comunicato alla risorsa quali siano i rischi piÃđ comuni quando si lavora da remoto:

  • Furto o abuso delle credenziali di accesso ai sistemi informativi e servizi informatici aziendali;
  • Maggiore esposizione a virus e malware;
  • Maggiore esposizione a vulnerabilità software;
  • Maggiore tendenza a commettere errori, in assenza di confronto diretto con i colleghi.

La sicurezza delle informazioni in un’azienda ÃĻ fatta da persone che lavorano in modo consapevole e competente.

La consapevolezza di quel che si fa ÃĻ molto importante quando si lavora da remoto.

Normazione del rapporto con i fornitori esterni

Per agevolare il lavoro da remoto vengono spesso utilizzate soluzioni tecniche di tipo software as a service. I fornitori di queste soluzioni sono a tutti gli effetti Responsabili del trattamento, e questo comporta una serie di conseguenze giuridiche che richiedono attenzione.

LE PRINCIPALI MISURE TECNICHE

Nei fatti, il lavoro da remoto ÃĻ fatto da strumenti e software che permettono al lavoratore di collegarsi alle risorse aziendali interne ovunque si trovi. Questa grande libertà comporta perÃē anche dei rischi, che sono gestibili se vengono presi in considerazione durante la fase di pianificazione.

Dispositivi aziendali o personali?

I rischi sono diversi se per il lavoro da remoto si utilizzeranno dispositivi forniti direttamente dall’azienda o dispositivi personali.

La motivazione ÃĻ semplice: i dispositivi personali sono molto eterogenei tra loro, e la loro configurazione ÃĻ al di fuori del controllo dell’azienda.

Alcuni dipendenti potrebbero avere notebook con sistemi operativi non aggiornati, o peggio ancora fuori supporto. Altri potrebbero avere installato del software che per sua natura comporta dei rischi per la cybersicurezza aziendale.

Allo stesso modo, un dispositivo personale o una rete domestica potrebbero essere compromessi senza che la persona ne sia consapevole, rischiando cosÃŽ di compromettere tutta la rete aziendale.

Per questo motivo, per sviluppare un modello in grado di gestire minacce e rischi bisogna tenere in considerazione che tipo di dispositivi useranno le persone per lavorare da remoto.

Sistema operativo e antivirus

Prima di consentire l’uso di dispositivi personali per il lavoro da remoto, ÃĻ fondamentale accertarsi che siano soddisfatti dei requisiti minimi di sicurezza, come:

  • Sistema operativo recente e aggiornato con patch di sicurezza periodiche;
  • Software antivirus installato e periodicamente aggiornato.

Se il dipendente non dispone di Sistema operativo adeguato o software antivirus aggiornato, potrebbe essere opportuno dotarlo di licenza per l’installazione del software, o di un pc aziendale configurato in modo sicuro.

Credenziali di autenticazione

Soprattutto quando si usa un pc personale per lavorare ÃĻ fondamentale gestire le credenziali di autenticazione in modo adeguato.

Come detto, i dispositivi personali potrebbero essere compromessi all’insaputa di chi li utilizza, mettendo a rischio anche le credenziali di autenticazione usate per accedere ai sistemi informativi aziendali.

Come se non bastasse, ÃĻ possibile che questi dispositivi vengano usati in ambito familiare, aumentando ancora di piÃđ i rischi di abuso delle credenziali di accesso.

Fortunatamente, mitigare questi rischi ÃĻ semplice: basta dotare i dipendenti di password manager, software in grado di memorizzare in modo sicuro (eventualmente anche in Cloud) migliaia di credenziali di accesso.

Nel caso in cui i dipendenti debbano accedere a risorse particolarmente importanti per l’operatività o per la natura dei dati trattati, sarebbe opportuno implementare tecniche di autenticazione multi-fattore, cosÃŽ da mitigare rischi di abuso delle credenziali di autenticazione e accesso non autorizzato ai sistemi aziendali.

Come accedere alle risorse aziendali?

Se le risorse aziendali non sono in Cloud, per accedervi da remoto ci sono due soluzioni:

  • Utilizzare una connessione VPN;
  • Installare un software per il controllo remoto.

La VPN (Virtual Private Network) ÃĻ una connessione privata con cui ÃĻ possibile collegarsi direttamente alle risorse aziendali. Le connessioni tramite VPN sono cifrate ed ogni utente deve essere autenticato.

Una volta connessi con VPN, i dipendenti potranno accedere direttamente al server aziendale, e lavorare come se fossero alla loro scrivania.

L’alternativa ÃĻ utilizzare software per il controllo remoto. Una volta installati su un computer, questi software permettono di connettersi e gestire questo computer tramite un altro computer, collegato al primo grazie all’accesso remoto (a distanza).

Questi software devono essere perÃē scelti con cura e assicurare che possano fornire un controllo centralizzato degli accessi, onde evitare rischi di accesso non autorizzato ai sistemi aziendali.

La scelta e configurazione di software per l’accesso remoto non ÃĻ sempre semplice e dipende anche dal contesto di applicazione.

Per questo motivo, la soluzione preferibile a lungo termine potrebbe comunque essere la VPN.

Gestire le identità digitali

Quando si lavora da remoto, l’unico modo che hai per evitare rischi di accesso non autorizzato alle risorse aziendali ÃĻ assicurare una buona gestione delle identità digitali.

In particolar modo:

  • Verifica periodicamente e amministra le identità digitali e credenziali di accesso dei dipendenti, revocandole quando necessario, ad esempio in caso di assenza prolungata;
  • Verifica periodicamente i diritti di accesso e autorizzazioni secondo i principi di minimo privilegio e separazione delle funzioni;

È molto frequente che in assenza di controlli gli utenti acquisiscano sempre piÃđ diritti di accesso nel corso del tempo (privilege creep).

Altri consigli “tecnici”

Si riportano di seguito alcuni ulteriori consigli tecnici da adottare per aumentare il livello di sicurezza informatica e delle informazioni in contesto di smart working:

  • Mantenere aggiornati i dispositivi aziendali forniti con le ultime patch di sicurezza e adeguatamente equipaggiati con software antivirus e sistemi EDR (Endpoint Detection & Response); questo permette di ridurre ulteriormente il rischio di compromissioni di questi dispositivi al di fuori della rete aziendale e di comunicare tempestivamente eventuali anomalie ai team IT e cyber security aziendali, per gestire correttamente ed in tempo utile eventuali incidenti. La capacità di risposta agli incidenti offerta da questo tipo di piattaforma ÃĻ anche utile per la gestione remota di questo tipo di eventi, in quanto permette di interrogare gli endpoint ed effettuare attività di blocco direttamente dal punto centrale di gestione.
  • Prevedere una corretta hardenizzazione dei dispositivi ovvero applicare una configurazione che ne impedisca un utilizzo diverso da quello lavorativo. Bisogna quindi fare in modo, ad esempio, che i dispositivi non possano navigare in internet senza transitare per i proxy aziendali e inibire l’utilizzo delle porte USB per connettere unità di archiviazione di massa, o forzare la cifratura dei dispositivi rimovibili.
  • Intensificare la periodicità di scansioni perimetrali ed interne con strumenti di vulnerability management allo scopo di identificare vulnerabilità, principalmente legate alla gestione del cambiamento (a seguito dell’introduzione dello smart working) e all’estensione del perimetro aziendale ICT, verificando le vulnerabilità sui sistemi server, sui dispositivi gateway che permettono la remotizzazione delle attività e sulle postazioni di lavoro del lavoratore in smart working.
  • Verificare che i gateway VPN, e i dispositivi di protezione perimetrale in genere, siano up to date all’ultima release e all’ultima patch resa disponibile dal vendor, e che il dispositivo sia hardenizzato, eliminando servizi e funzionalità inutili, che non sia esposta l’interfaccia di gestione su rete pubblica, che non siano utilizzate password e account di default/deboli, che vengano utilizzati protocolli sicuri per la cifratura e “cypher suite” robuste.
  • Adottare soluzioni di tipo Early Warning per la tempestiva comunicazione di vulnerabilità e minacce sulle tecnologie particolarmente esposte causa smart working (boundary protection, VPN gateway, workstation & endpoint).
  • Applicare tecniche di virtualizzazione desktop (Virtual Desktop Infrastructure); adottando soluzioni che consentano l’accesso ad asset virtualizzati, interni alla rete aziendale e che permettano quindi di mantenere le informazioni all’interno del perimetro protetto dell’azienda, quali Virtual Desktop Infrastructure/Environment, application streaming o altro).
  • Prevedere sistemi di cifratura dei dati locali (File System/Disk Encryption) al fine di prevenire la perdita di dati critici in caso di furto o smarrimento dei PC dei dipendenti in quanto la mobilità ne aumenta la probabilità di accadimento.
  • Utilizzare esclusivamente connessioni cifrate (Virtual Private Network) per la connessione alle reti aziendali, utilizzando “cypher suite” con l’adeguato grado di robustezza (lunghezza delle chiavi, algoritmi non deprecati, â€Ķ).
  • Adottare sistemi anti-DDoS per essere pronti a mitigare il rischio di attacchi volumetrici. Infatti, se fino ad oggi le attività svolte da remoto erano una minima parte, ora sicuramente rappresenteranno una quota maggioritaria. Questo significa che una indisponibilità dei sistemi aziendali che terminano le VPN o piÃđ in generale dell’accesso alle risorse aziendali, determinerà un blocco o un rallentamento significativo delle attività.
  • Adottare soluzioni multi-carrier che prevedano l’utilizzo di due o piÃđ carrier a garanzia della continuità dei servizi erogati e della operatività del proprio personale remoto legati ai disservizi dei carrier, che in periodi di sfruttamento elevato della rete diventano sempre piÃđ probabili e frequenti.

CONTROLLO A DISTANZA DEI DIPENDENTI

Il controllo a distanza dei dipendenti ÃĻ un campo di intersezione tra normativa sul lavoro e normativa privacy.
Entrambe devono essere tenute in considerazione, ed entrambe prevedono alcune specifiche prescrizioni.

È possibile farlo?

Si puÃē fare, ma ad alcune stringenti condizioni.

Per prima cosa, non dimenticare che controllare l’attività dei dipendenti significa trattare dati personali.
Ogni attività di controllo dovrà quindi rispettare la normativa privacy (GDPR e Codice Privacy per l’Italia).
Oltre alla normativa privacy bisogna tenere in considerazione lo Statuto dei lavoratori, che prevede espressamente alcune disposizioni proprio in merito all’attività di controllo del datore di lavoro.
Per quello che ci interessa, lo Statuto esprime tre concetti importanti:

  • L’impiego di strumenti da cui deriva la possibilità di controllo a distanza dei lavoratori ÃĻ possibile solo per esigenze organizzative, produttive, e di sicurezza. L’uso di questi strumenti deve essere approvato tramite accordo sindacale o autorizzato da INL;
  • Questo non si applica perÃē agli strumenti di lavoro e strumenti per la registrazione delle presenze, che potranno essere monitorati anche senza accordo sindacale o autorizzazione dell’INL;
  • Lo Statuto prevede infine che ogni attività di controllo debba rispettare la normativa privacy. In caso contrario, le informazioni raccolte saranno inutilizzabili e il datore potrebbe essere esposto alle sanzioni previste dal GDPR.
Trasparenza e rispetto dei diritti dei dipendenti

I dipendenti hanno il diritto di sapere se la loro attività lavorativa potrà essere monitorata a distanza, soprattutto nel caso di smart working, per il quale ÃĻ prassi poter valutare il raggiungimento di certi obiettivi e le performance del lavoratore.

Informare i dipendenti non ÃĻ soltanto una scelta di buon senso, ma una prescrizione normativa che deriva sia dal GDPR che dallo Statuto dei lavoratori.

In particolare, i dipendenti hanno il diritto di conoscere:

  • L’elenco degli strumenti suscettibili di controllo a distanza;
  • La natura, estensione (anche temporale) e finalità del trattamento;
  • Le modalità con cui saranno trattati i loro dati personali, tempi di conservazione ed eventuali soggetti coinvolti nel trattamento.
Il trattamento deve essere lecito e proporzionale

Monitorare l’attività dei dipendenti significa acquisire e trattare dati personali. Ogni attività di trattamento, di qualsiasi natura, deve fondarsi su una o piÃđ condizioni di liceità.

Il controllo a distanza, quando non strettamente necessario per eseguire la prestazione lavorativa, ÃĻ tipicamente basato sul legittimo interesse del datore di lavoro, che puÃē realizzare queste attività di trattamento senza il consenso del dipendente.

Il ricorso al legittimo interesse richiede perÃē di effettuare un giudizio di bilanciamento tra gli interessi contrapposti di dipendenti e datore. Questo giudizio ÃĻ una vera e propria analisi dei pro e contro delle soluzioni che si vorranno implementare, tenendo conto dei diritti dei dipendenti.

Ricorda che ÃĻ comunque vietato il controllo indiscriminato, sistematico e su larga scala dell’attività dei dipendenti. Ogni attività deve avere una finalità determinata e lecita.

 

Merakisas.it puÃē aiutarti a normare il tema nella tua società!