sicurezza informatica

Smart working e sicurezza informatica

La giusta collaborazione tra azienda e lavoratore agile

Da momento che le reti aziendali sono sempre più attaccabili dal punto di vista informatico, è come detto nell’articolo precedente, necessario che l’azienda dia al dipendente i giusti strumenti di sicurezza informatica. Il lavoratore dal canto suo deve essere preparato per evitare questi attacchi. Un lavoratore può infatti, lavorando da remoto, fare danni, involontari ma anche ingenti da questo punto di vista, se non conosce le precauzioni che può prendere. Deve fare sì di non rendere vulnerabile la rete che utilizza.

In che modo? Ecco alcune soluzioni.

  • Utilizzando punti di accesso sicuro.

Ad esempio non utilizzando connessioni wifi completamente aperte e free.

  • Creando una rete VPN.

Utilizzando la VPN infatti si crea una corsia preferenziale dove transitano dati tra il computer che si utilizza ed il server aziendale, senza rischio di intercettazione degli stessi.

  • Creando (a seconda delle esigenze) una rete protetta da pw per le connessioni di lavoro.

Se si lavora da casa, si dovrebbero mantenere perciò separati i dispositivi domestici da quelli aziendali (qualora si subisca un attacco sulla rete domestica, non sono compromessi i dati sensibili della rete aziendale).

  • Aggiornando regolarmente (anche programmandoli con specifici software) applicazioni e sistemi operativi di tutti i dispositivi utilizzati.
  • Gestendo efficacemente gli accessi da dispositivi e applicazioni, utilizzando e cambiando regolarmente password complesse (memorizzazione anche tramite software).
  • Usando in maniera consapevole e sicura le mail.

Ad esempio, non devono essere aperti gli allegati né cliccati collegamenti di mail provenienti da sconosciuti; anche quando la mail sembra provenire da fonte attendibile, andrebbe sempre controllato l’indirizzo mail del mittente.

  • Installando Anti-Malware/Anti-Virus.
  • Prevedendo un piano di risposta ad eventuali attacchi informatici.

Azienda e dipendente devono essere istruiti e pronti a reagire in caso di attacco, in modo da rispondere repentinamente ed in maniera controllata ad una minaccia, presunta o reale.

  • Prevedendo un backup costante, ridondante, sicuro.

Che il salvataggio avvenga su supporti fisici o virtuali, ci si assicura che i dati non vengano persi, in caso di attacco o cancellazione.

A chi spettano le spese di gestione?

Oltre al problema sulla sicurezza, non è ancora chiaro a carico di chi debbano essere le spese di gestione del proprio ufficio “alternativo”. Dal decreto sul lavoro agile, si evince che il datore è anche responsabile del buon funzionamento degli strumenti tecnologici assegnatigli per lo svolgimento dell’attività lavorativa. Dunque il dipendente potrà ricevere le attrezzature (pc, stampante, tablet, ecc.), ma non si stabilisce a chi spettino i costi della connessione internet, ad esempio. Rispettando pedestremente la norma, questa prevede il pari trattamento tra lavoratore agile e dipendente; d’altro canto il primo non affronta spese di trasferta.

A questo punto sta dunque al datore decidere come gestire queste spese. Se il lavoratore agile sceglie di appoggiarsi ad un ufficio all’interno di un business center, il datore potrebbe assumersi l’onere del noleggio dell’ufficio in condivisione. Se il lavoratore utilizza una stanza della propria casa, potrebbe essere trovato un accordo col datore di lavoro per quello che riguarda la connessione internet, a compensazione delle spese di trasferta, che in questo caso il lavoratore non avrebbe da sobbarcarsi.

 

_Elena

sicurezza

Smart working e sicurezza

Portando il lavoro fuori dall’ufficio tradizionale, è comunque garantita la sicurezza?

Secondo l’Articolo 18 Lavoro Agile punto 2, “il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell’attività lavorativa”. All’interno del decreto sul lavoro agile non viene dunque esplicitamente chiarita la differenza tra sicurezza relativa agli strumenti di lavoro e quella relativa al luogo prevalente di svolgimento dello stesso. Nel primo caso, la sicurezza deve essere garantita dall’impresa. Nel secondo caso, la sicurezza non può essere imputata al datore, che per definizione del lavoro agile, dovrebbe ignorare il luogo di svolgimento. Ma vediamo che tipi di sicurezza dovrebbero essere garantiti.

Tipi di sicurezza

  • Sicurezza del luogo di lavoro

Nella forma, cambia in funzione del luogo di lavoro. Che questo sia casa oppure bar oppure postazione in coworking, o ufficio condiviso in un business center. La sicurezza del luogo di lavoro, che normalmente è garantita dal datore di lavoro, fuori dall’ufficio tradizionale assume connotati meno definiti. Non è ancora stato reso chiaro questo passaggio del decreto sullo smart working.

Anche i lavoratori in smart working hanno comunque diritto ad essere assicurati dall’azienda, su malattie professionali ed infortuni. Ammesso che dipendano da rischi legati alla prestazione lavorativa svolta in casa. Qualora l’infortunio fosse connesso all’attività svolta, rientrerebbe negli infortuni sul lavoro. Non è chiaro però se la stessa cosa valga anche per coloro che decidano di appoggiarsi a spazi di coworking o business center.

  • Sicurezza informatica

Da questo punto di vista, deve esserci in primis una preparazione dei dipendenti, in merito alla sicurezza informatica. Il dipendente deve essere consapevole dei danni che può recare all’azienda lavorando da remoto. Dunque deve essere preparato a seguire una serie di norme. Ogni singolo dipendente dovrebbe collaborare con l’azienda. Questa, dal canto suo, dovrà ricorrere a tutti gli strumenti necessari affinché la rete dei dati che escono dalla stessa sia comunque al sicuro. Spetterà così all’azienda il ricorso ad esempio alla figura professionale dell’IT o Network Security Manager. Questa figura deve lavorare per la creazione di una rete non attaccabile, anche portando la stessa fuori dalle pareti dell’ufficio.

Ovviamente non tutte le aziende sono disposte ad accollarsi le spese per la gestione della sicurezza informatica.

  • Sicurezza del lavoratore

Abbiamo detto che il datore di lavoro deve garantire la salute e la sicurezza del proprio dipendente “agile”. La normativa prevede che in questo senso, venga consegnato al dipendente stesso ed al rappresentante dei lavoratori, con cadenza almeno annuale, un’informativa scritta. In questa devono essere evidenziati i rischi generali e specifici connessi alla modalità di esecuzione del rapporto di lavoro.

Il lavoratore secondo il decreto, ha poi diritto alla tutela contro gli infortuni che possano avvenire nel tragitto casa-lavoro. Questo è inteso come luogo prescelto dal lavoratore stesso, fuori dall’azienda.

Sicurezza e privacy

La sicurezza del lavoratore potrebbe anche essere compromessa dal punto di vista della privacy. Il lavoro agile infatti da la possibilità al datore di lavoro di entrare nella vita privata del dipendente. In che modo? Con una connessione illimitata al luogo di lavoro, il lavoratore potrebbe esporre la propria vita privata alla mercè del datore, dando accesso a quest’ultimo ad una serie di dati personali che prima non avrebbe mai considerato. Oltre a consentire in maniera non autorizzata il controllo, sul dipendente, da parte del datore.

Ad esempio, tramite la webcam si potrebbero involontariamente mostrare dati privati, riguardanti stile di vita, appartenenza politica, religiosa, ecc.

Le così evolute app di controllo della produttività, potrebbero compromettere la privacy del dipendente, che ad oggi è sì regolata per le aziende tramite il GDPR, ma così poco chiara e anzi antica, per quello che riguarda questo tipo di violazioni sul privato.
Un altro caso è quello nel quale il datore fornisce al dipendente un pc, un tablet, un telefono aziendale.

In questo caso, non rappresenta violazione della privacy leggerne eventualmente i messaggi presenti. Questo, secondo quanto previsto dal comma 3 dell’articolo 4 sull’utilizzo delle informazioni raccolte e acquisite attraverso agli strumenti di lavoro. Tutti gli strumenti di cui è dotato il lavoratore dall’azienda, infatti, sono strumento di lavoro e come tale il dipendente è informato che il datore di lavoro potrebbe accedere ai dati presenti ed utilizzarli. La normativa in questo senso è molto chiara, esplicitando infatti che tutti gli strumenti di lavoro, come tali, non dovrebbero mai contenere dati sensibili di chi li utilizza. E così, la speranza per il lavoratore di utilizzare anche per i propri dati personali i dispositivi fornitigli, svanisce, o meglio, qualora ne conservi, ne deve essere pronto a pagare le conseguenze.

 

_Elena