Il Covid-19 ha messo in luce l’utilità del lavoro agile, sino a qualche tempo fa ritenuto dai più un oggetto misterioso, utilizzato da manager, neomamme e freelance.
Lo smart working ha dimostrato in queste settimane di essere una valida opzione per il contenimento del contagio nonché per il mantenimento delle nostre attività lavorative e il termine è subito diventato un trend topicdi post, articoli e pubblicazioni specialistiche. Anche il Governo ha preso coscienza della utilità di questa forma di esecuzione della prestazione lavorativa, dando vita, in fase emergenziale, a condizioni di accesso più semplici alla medesima.
Il lavoro agile si è così diffuso a macchia d’olio e sta portando evidenti vantaggi alla salute dei lavoratori e alla continuità delle attività aziendali.
Attenzione però a non cadere in facili semplificazioni, dettate dalla fretta di risolvere un problema imminente. Mi riferisco, tra gli altri, a un particolare aspetto, che riguarda la tutela dei dati aziendali e personali.
Il lavoro agile, infatti, comporta che lo svolgimento di una vasta gamma di attività aziendali avvenga, ovviamente, al di fuori dei luoghi di lavoro e della infrastruttura informatica aziendale. Ciò non pone, di regola, particolari problemi: nella maggior parte delle ipotesi infatti la dislocazione della prestazione lavorativa viene realizzata mediante dispositivi aziendali, perfettamente integrati, anche sotto il profilo della sicurezza, nella rete aziendale.
In queste settimane di grande emergenza sta accadendo tuttavia che diversi smart worker abbiano iniziato a lavorare da casa utilizzando pc, tablet e smartphone personali.
È necessario quindi, a mio avviso, fare qualche riflessione sul tema del lavoro agile e della tutela dei dati aziendali, e personali di conseguenza.
La versione originaria del lavoro agile prevedeva che lo stesso fosse eseguito mediante dispositivi aziendali, che consentivano margini di garanzia circa il fatto che tutte le attività svolte da remoto rispondessero ai criteri di sicurezza ed integrità dei dati (aziendali e personali) già individuati dall’azienda. Il datore di lavoro dello smart worker è infatti anche il titolare del trattamento dei dati affidati all’azienda.
Per questo motivo quanto accade oggi, a mio avviso, potrebbe esporre i dati aziendali a maggiori possibilità di attacco. Ipotizzo infatti che lo smart worker privo di dispositivi aziendali impieghi i propri strumenti elettronici sia nell’attività lavorativa, che nella vita privata. Per questo motivo, i dati aziendali potrebbero essere esposti a maggiori rischi, provenienti, ad esempio, dalle vulnerabilità delle reti domestiche e dei device stessi o da comportamenti incauti, seppur involontari, dei lavoratori.
Infatti, l’adozione dello smart working non richiede particolari competenze tecnico-informatiche del lavoratore il quale potrebbe inconsapevolmente esporre (o aver già esposto) il proprio dispositivoa rischi in grado di coinvolgere i dati aziendali trattati nelle sessioni di lavoro agile.
Un esempio: statisticamente i dispositivi (non aziendali) potrebbero non essere aggiornati con le ultime patch di sicurezza o essere protetti solo da software reperiti gratuitamente sul web, non sempre in grado, dunque, di garantire gli standard di sicurezza richiesti all’interno di un ambiente informatico aziendale. Ancora: trattandosi di strumenti (smartphone, tablet, pc) utilizzati anche nella vita privata, non è da escludersi che alcune applicazioni di terze parti precedentemente installate non siano potenzialmente in grado di realizzare (o far realizzare da remoto) comportamenti malevoli sui dati aziendali affidati al lavoratore. Ciò senza scendere nel particolare delle vulnerabilità delle reti domestiche.
Certamente le infrastrutture aziendali sono disegnate e gestite per impedire che simili criticità possano ricadere sui serveraziendali; l’attenzione a mio parere dovrebbe essere portata anche ai singoli dispositivi personali degli smart worker e alle conseguenze che il loro coinvolgimento in atti malevoli potrebbe determinare sull’integrità di dati aziendali.
Perché preoccuparsi di questo ulteriore problema?
La risposta è semplice: il datore di lavoro è anche il titolare del trattamento dei dati aziendali. Compete a lui, dunque, adottare ogni misura utile secondo la tecnica per impedire, tra gli altri, la perdita (anche accidentale), il furto, il danneggiamento o l’accesso abusivo ai dati aziendali (il c.d. data breach), che potrebbe esporre l’azienda a sanzioni anche molto serie (le più importanti delle quali sono previste dal Regolamento europeo 679/2016 sulla protezione dei dati personali, o GDPR). Questa cautela vale a maggior ragione nelle ipotesi in cui l’azienda richieda o accetti che lo smart worker utilizzi strumenti informatici propri. Una decisione che aumenta il fattore di rischio per i dati aziendali e impone di creare, di conseguenza, le migliori condizioni di sicurezza possibili, soprattutto nel caso si tratti di dati personali.
È dunque necessario soppesare la richiesta dello smartworker di usare propri dispositivi, tenendo in debita considerazione oi profili della tutela della infrastruttura informatica e dei dati aziendali.
Che fare dunque?
Il primo passo utile potrebbe essere la revisione delle policy aziendali in tema di sicurezza informatica, integrità dei dati, trattamento dei dati personali e gestione dei dispositivi. Questo intervento aiuterà infatti a capire se la normativa aziendale in vigore è adeguata alla evoluzione e alla diffusione in azienda in queste settimane dello smart working, introducendo, se necessari, alcuni correttivi o integrazioni.
A mio parere non sarebbe indifferente, inoltre, avviare sessioni di formazione pratica, anche on line, per fornire agli smart worker novelli le informazioni utili sulla gestione della sicurezza dei dispositivi, sui comportamenti da tenere e su quelli, ovviamente, da evitare. È utile, oltre che necessario, fornire al lavoratore agile le coordinate per un uso consapevole dei dati al di fuori della struttura informatica aziendale, dotandolo, nel caso, di software di sicurezza e richiedendo l’utilizzo di piattaforme MDM (Mobile Device Management) la gestione e l’amministrazione da remoto dei dispositivi mobili.
L’utilizzo dei dispositivi privati, del resto apre anche un ulteriore problema, la possibilità, anche solo astratta, che si crei una interazione tra il sistema informatico aziendale e dati personali del lavoratore, contenuti nello strumento utilizzato in regime di lavoro agile.
Anche questo è un tema su cui torneremo con qualche approfondimento.