La fine dello stato di emergenza del 31 marzo non ha decretato la fine dell’accesso al lavoro agile previsto dall’inizio della pandemia. Il Governo infatti ha stabilito nell’ultimo Decreto Legge 24 marzo 2022 n. 24, recante: “Misure urgenti per il superamento delle misure di contrasto alla diffusione dell’epidemia da Covid 19 in conseguenza della cessazione dello stato di emergenza”, che il termine per la fruizione dello smart working in modalità semplificata è posticipato al 30 giugno 2022.
Rinviato l’obbligo di sottoscrizione dell’accordo individuale
Il provvedimento sottintende, quindi, anche lo slittamento della scadenza al 30 giugno dell’utilizzo della procedura semplificata per la comunicazione di smart working nel settore privato (così come previsto dal Decreto Rilancio D.L. 34/2020, convertito con modificazioni in L. 77/2020). Per approfondire le regole sullo smart working che si applicheranno fino al 30 giugno e le linee guida contenute nel Protocollo Nazionale per disciplinare lo smart working, leggi il nostro approfondimento: “Smart Working: pubblicate le nuove linee guida in materia di Lavoro Agile”
Cosa cambierà dal 1° Luglio
Dal 1° Luglio in poi molte aziende adotteranno in forma definitiva lo smart working aumentando la soddisfazione del dipendente, la produttività permettendo di mantenere operativa l’impresa in qualsiasi situazione.
Se da un lato questo modello lavorativo produrrà importanti vantaggi per le imprese, dall’altro lato comporterà una maggiore esposizione ai rischi legati alla Cyber Security.
In un recente rapporto, l’Associazione Italiana per la Sicurezza Informatica ha evidenziato un aumento dei cyber attacchi di grave entità di cui il 14% è stato collegato all’improvvisa necessità di lavorare da remoto dettata dall’emergenza pandemica. Su 850 attacchi analizzati nel primo semestre del 2020, ben 119 sono stati direttamente collegati al contesto creato dal Covid-19.
La principale vulnerabilità delle imprese: le email
Uno dei principali fattori di rischio per le aziende che hanno adottato lo smart working è la presenza di vulnerabilità informatiche durante la lettura di e-mail e l’utilizzo di sistemi di videoconferenza.
Lo smart worker è portato a scrivere molte e-mail generando così un intenso traffico di scambio di corrispondenza che, in certe situazioni, può diventare anche frenetico. Fenomeni come le cyber truffe e il phishing sono all’ordine del giorno e possono condizionare negativamente le attività lavorative del lavoratore da remoto.
Troppo frequentemente gli utenti utilizzano in modo inappropriato sia i dispositivi (che spesso sono di loro proprietà) che i dati aziendali. Considerando che la maggior parte delle minacce arrivano via posta elettronica, è certamente importante monitorare la corrispondenza in entrata, ma è altrettanto fondamentale investire in moderne soluzioni di sicurezza su più livelli (reti, email, cloud, endpoint), dando priorità a un approccio alla sicurezza focalizzato su un sistema che integri persone formate e strumenti di sicurezza.
La scelta del dispositivo: aziendale o privato?
All’inizio della pandemia la scelta del dispositivo è stata caratterizzata dall’urgenza di organizzare il lavoro da remoto in brevissimo tempo e spesso le imprese sono ricorse in via del tutto eccezionale a concedere l’utilizzo di device di proprietà dei dipendenti e non aziendali.
Per salvaguardare la sicurezza dei dati aziendali è fondamentale escludere l’utilizzo di device privati.
Lo smart working allarga il perimetro aziendale ma rende meno efficaci le misure di sicurezza, infatti le reti domestiche o gli hotspot pubblici, utilizzati quando si lavora in smart working, si appoggiano su dispositivi e sistemi che spesso non sono controllati e possono presentare falle di sicurezza tali da ripercuotersi sui network aziendali.
La vulnerabilità più frequente è rappresentata dai router domestici, che negli ultimi mesi sono stati presi di mira dai pirati informatici, rendendoli facile obiettivo di attacchi anche banali, basati sull’uso di credenziali predefinite per l’aggiornamento o l’accesso da remoto.
A partire dal 1° Luglio sarà necessaria l’adozione di Best Practices per la disciplina dello smart working. Bisognerà definire:
- soggetto che lavora;
- luogo/luoghi da dove lavora;
- orari di lavoro;
- strumenti e dispositivi;
- una policy aziendale per regolamentare lo smart working e prestando attenzione anche agli aspetti giuslavoristici;
- la sostituzione dei device privati con quelli aziendali, soprattutto in quei casi in cui sono utilizzati per trattare dati particolarmente sensibili dell’azienda. protocolli per la gestione di violazioni inerenti il trattamento dei dati personali e interruzione delle attività;
- un documento contenente le policy aziendali in tema di cyber sicurezza e un vademecum con indicazioni in merito a situazioni di potenziale pericolo per la rete aziendale, che dovrà essere regolarmente aggiornato e condiviso con i dipendenti;
- l’organizzazione di un buon supporto tecnico;
- accordi contrattuali per il trattamento dei dati personali ex art. 28 del GDPR, con i fornitori che trattano dati personali in outsourcing;
- i soggetti autorizzati al trattamento ex art. 29 del GDPR e dove necessario aggiornare il Registro dei trattamenti.
In conclusione come gestire lo smart working
Dopo aver individuato le misure tecniche ed organizzative necessarie alla protezione dei dati, sarà necessario testare l’effettiva efficacia delle stesse come previsto dall’art. 32 del GDPR, diventa quindi fondamentale eseguire dei Vulnerability Assessment per avere una visione aggiornata e in tempo reale del grado di vulnerabilità dell’azienda e permettere immediata azioni correttive per garantire la sicurezza dei dati aziendali.
