Home / Blog / Smart working: non trascurare la cultura della cybersecurity

Smart working: non trascurare la cultura della cybersecurity

Inserito da Silvia Calissi 21 Novembre 2016 in Diritto delle nuove tecnologie

Media, imprese e organizzazioni sindacali hanno dato massima attenzione all’argomento smart working nell’ultimo periodo, complice il disegno di legge del Consiglio dei Ministri del 28 Gennaio 2016, il cui Titolo II è interamente dedicato alle forme flessibili del lavoro agile.

laptop-1205256_1920Tuttavia, sembra che spesso venga trascurata l’analisi relativa alla protezione dei dati, d’importanza strategica per l’attuazione di una policy di smart working efficace: le aziende si muovono per l’acquisto di sistemi di sicurezza costosi, specialmente nell’ottica di prevenire attacchi malware e ramsoware che nella prima metà del 2016 hanno causato importanti perdite alle organizzazioni di vari settori; ma i recenti studi sui cyberattack evidenziano che circa il 40% degli attacchi alle aziende sono causati da maldestri insiders, a dimostrazione del fatto che sistemi di sicurezza avanzati nulla possono sul fattore umano, spesso impreparato e disinformato sui processi necessari alla corretta gestione del patrimonio aziendale di dati.

La sfida posta dallo smart working alle aziende italiane è dunque quella di cogliere le opportunità di un cambiamento organizzativo, fronteggiando da un lato la tutela del lavoratore e dall’altro le esigenze di protezione informatica.

La tutela del lavoratore: il controllo a distanza

Lo smart working è rivolto alle professioni impiegatizie, caratterizzate da un’intensa attività sui dispositivi mobili (laptop, tablet e smartphone). Ogni ruolo aziendale avrà un intensivo uso di dispositivi atti a «rendere la prestazione lavorativa» che, come indicato nel comma 2 della nuova formulazione dell’art. 4 SL, fuoriescono dall’obbligo di accordo sindacale, a meno che non vengano “modificati” attraverso l’installazione di software in grado di monitorare la prestazione lavorativa. L’azienda quindi può utilizzare i dati raccolti tramite gli strumenti di lavoro utilizzati dallo smartworker, senza autorizzazione sindacale e per tutti i fini connessi al rapporto di lavoro, a condizione che non vi vengano installati appositi software per il controllo e, soprattutto, che sia stata resa al collaboratore un’imprescindibile ed adeguata informazione. In questa prospettiva, i regolamenti informatici interni giocano un ruolo fondamentale per contemperare le esigenze di tutela del lavoratore e gli interessi del datore di lavoro, indicando chiaramente quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.

La tutela dell’azienda: la protezione dei dati e dei sistemi informatici

L’art. 17 del disegno di legge sul lavoro agile distingue obblighi e responsabilità in capo al datore di lavoro e al dipendente: il datore di lavoro deve adottare misure atte a garantire la protezione dei dati utilizzati ed elaborati; il lavoratore è tenuto a custodire con diligenza gli strumenti tecnologici messi a disposizione dal datore di lavoro ed è responsabile della riservatezza dei dati.

computer-1591018_1280Per l’azienda quindi si tratta di garantire la protezione dei dati e di adottare misure di sicurezza idonee e preventive come disciplinate dal Codice Privacy per evitare la perdita, la distruzione, la diffusione di dati personali trattati dal dipendente in smart working. Il lavoratore, dall’altro canto, è responsabile della custodia degli strumenti e della riservatezza dei dati. In passato si è parlato di casi più o meno eclatanti di furti di laptop aziendali, che hanno fatto emergere dati e documenti di natura riservata poi divulgati in rete, riconducibili alla negligenza dei collaboratori di aziende inglesi e americane.

Molto meno eclatanti e più diffuse sono nella prassi lo scambio di credenziali tra colleghi oppure l’utilizzo di dispositivi personali per svolgere anche brevi o occasionali attività lavorative. Tuttavia, rimane controverso non solo autorizzare l’uso dei dispositivi personali (BYOD – Bring Your Own Device), ma anche l’accesso alla banda, ai database e agli applicativi aziendali, poiché non si può tracciare un netto confine tra ciò che è patrimonio aziendale e ciò che è il patrimonio personale del dipendente.

Dunque, come tutelare la sicurezza aziendale nei progetti di smart working?

Il nuovo Regolamento Europeo sulla protezione dei dati si presta come un buon presupposto per un progetto di smart working, dato che obbliga il titolare del trattamento a prevedere misure tecniche ed organizzative adeguate per garantire la sicurezza informatica. Mentre è teoricamente possibile prevedere ogni tipo di processo, è il dipendente la variabile più difficile da gestire, per dimostrare di aver messo in atto misure organizzative adeguate ai fini del principio dell’accountability: la formazione diventa allora uno strumento dirimente come prova della compliance normativa, dimostrando di aver messo le persone in grado di comprendere quali sono i rischi che si corrono nella gestione dei dati ed evitando di incorrere nelle pesanti sanzioni previste.

Smart deve essere in primo luogo l’organizzazione aziendale, per prevenire i rischi connessi alle vulnerabilità informatiche, gestire la governance della multicanalità di dispositivi diversi interconnessi attraverso il cloud e tutelare, allo stesso tempo, l’autonomia e la privacy dei lavoratori. Nuove tecnologie, infrastrutture di sicurezza e policy organizzative non saranno infatti sufficienti se non corroborate dalla sensibilità comportamentale delle persone e da un concreto sostegno del top management verso la diffusione di un modello di smart working che non comprometta il senso di appartenenza alla collettività aziendale.

Don`t copy text!