Con la pandemia in corso sia le aziende private che la pubblica amministrazione hanno scelto di ricorrere in via preponderante allo smart working: il dipendente si è trovato costretto a lavorare da casa, connettendosi se del caso alla intranet del suo luogo di lavoro, per svolgere i compiti lui assegnati.
Dovrebbe consistere in un’attività da prestarsi con un’assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi definiti, ma spesso lo smart working si traduce in telelavoro: un lavoro da remoto con gli stessi orari di quando ci si recava fisicamente sul luogo di lavoro.
A dispetto dell’ambiente aziendale in cui, teoricamente, sono implementate tutte quelle misure di sicurezza fisica e logica che servono a garantire uno standard elevato di protezione e una capacità di resistenza e resilienza ad eventuali incidenti informatici o data breach, nell’ambiente domestico spesso e volentieri mancano la maggior parte delle misure che le best practice prevedono.
Lo stato emergenziale in atto ha di fatto amplificato l’accesso dall’esterno al sistema e alle reti aziendali, spingendo i lavoratori ad utilizzare, per lo più, reti domestiche e dispositivi propri, non sempre sicuri, moltiplicando in concreto il rischio di attacchi informatici.
Lo svolgimento a distanza dell’attività lavorativa comporterebbe – e qui il condizionale è necessario – un’indispensabile riorganizzazione interna ed ovviamente l’utilizzo di strumenti informatici, in assenza dei quali si espongono le infrastrutture a nuovi e diversi rischi relativi alla sicurezza delle informazioni.
Le compagnie assicurative hanno difatti registrato negli ultimi due anni un sensibile aumento degli incidenti informatici, in parte causato dall’impatto della crescente interconnettività, in parte – ed in misura preponderante – per via dello smart working: i dipendenti che lavorano a distanza costituiscono un’opportunità per i cybercriminali sempre più organizzati e finanziati per sfruttare e ottenere l’accesso alle reti e alle informazioni sensibili.
In questo scenario assai preoccupante l’errore umano è sempre dietro l’angolo: basta un impiegato poco scrupoloso che apre l’allegato o il link di una mail allettante ed in un attimo l’intero sistema è compromesso. Il costo della gestione di una grande violazione dei dati sta aumentando vertiginosamente con l’aumentare della complessità dei sistemi informatici e con la crescita del cloud e dei servizi di terze parti.
L’assicurazione può senza dubbio essere un rimedio, ma la polizza va vista come l’ultimo di una serie di atti e non come l’unico che permette al cliente di tutelarsi.
Occorre dar vita ad una politica di smart security: si tratta della predisposizione di nuovi presidi o, in subordine, del riadeguamento di quelli già esistenti per poter garantire in ogni caso la continuità operativa dell’azienda, così poi da ridisegnare alcuni processi.
In primis bisogna disciplinare il collegamento al sistema aziendale.
Posto il massiccio utilizzo di dispositivi propri – secondo quello che un tempo era il modello BYOT – il loro utilizzo deve essere disciplinato al pari dell’utilizzo delle periferiche esterne.
Qualora non siano adottati opportuni sistemi di autenticazione a due fattori, che prevedono l’uso di codici o token per la sicurezza oltre alla normale password, è necessario aumentare il grado di complessità delle parole chiave utilizzate così da render più difficile la loro scoperta “casuale” a potenziali malintenzionati.
Risulta poi quanto mai indispensabile poter garantire un adeguato isolamento dell’attività lavorativa da quella quotidiana, evitando così di scaricare sui dispositivi utilizzati per la prestazione di lavoro applicazioni estranee e di effettuare continui trasferimenti di contenuti, che ben potrebbero essere infetti, tra smartphone e pc.
Il datore di lavoro deve formare il dipendente, o per lo meno garantirgli mezzi idonei affinché possa continuare a prestare la sua attività anche da casa, e può poi monitorare la sua prestazione lavorativa rendendone edotti tutti i dipendenti.
Il ricorso a sistemi di analisi e verifica dell’effettiva presenza degli impiegati davanti al computer per valutarne le prestazioni, qualora non dettagliatamente ed esaustivamente disciplinato, presta il fianco al rischio di mancato rispetto del principio di proporzionalità nell’uso dello stesso, arrivando ad un sovra-monitoraggio che potrebbe far venir meno la loro fiducia nell’azienda fino ad una possibile infedeltà.
Da ultimo appare necessario che la società verifichi di continuo l’adeguatezza delle misure di sicurezza predisposte, di quelle programmate e quelle da implementare avendo sempre a mente che, soprattutto in uno scenario simile, queste non devono riguardare solo ed esclusivamente gli aspetti tecnici ma devono imprescindibilmente regolamentare il comportamento degli operatori.
Sono loro difatti l’anello debole del sistema e spesso lo fanno inconsapevolmente, per mancanza di perizia e prudenza. Una gran parte degli incidenti di sicurezza e degli attacchi informatici posti in essere dai cybercriminali hanno origine in qualche tipo di errore umano.
Secondo l’Osservatorio Cybersecurity & Data Protection del PoliMi nel 2020 gli attacchi informatici alle grandi imprese sono aumentati del 40% rispetto ai dodici mesi precedenti. Sono stati circa 85mila attacchi perpetrati verso il soggetto più debole della catena, ossia il dipendente che lavora da casa, colpendo l’endpoint.
Le aziende non vedono la sicurezza come un settore in cui investire con benefici nel lungo periodo e questo si riflette sull’incapacità a fronteggiare le intrusioni e le vulnerabilità al punto che spesso non si rendono neppure conto di esser state vittime di un data breach. Oggi non si parla più della nicchia di aziende attive esclusivamente nell’ICT ma, con la transizione all’IoT e al 4.0 il rischio è quello di mettere in ginocchio anche le industrie.
Da un lato le aziende hanno il dovere di metter in sicurezza – informatica – la postazione di lavoro del dipendente, seppur da remoto, fornendogli hardware e software adeguati, dall’altro questi ha un dovere di diligenza verso l’azienda tale per cui deve rispettare tutte le prescrizioni impartitegli ed adottare tutte le misure di sicurezza necessarie.
