Smart working: non trascurare la cultura della cybersecurity

21/11/2016
di Silvia Calissi

Media, imprese e organizzazioni sindacali hanno dato massima attenzione all’argomento smart working nell’ultimo periodo, complice il disegno di legge del Consiglio dei Ministri del 28 Gennaio 2016, il cui Titolo II è interamente dedicato alle forme flessibili del lavoro agile.

laptop-1205256_1920Tuttavia, sembra che spesso venga trascurata l’analisi relativa alla protezione dei dati, d’importanza strategica per l’attuazione di una policy di smart working efficace: le aziende si muovono per l’acquisto di sistemi di sicurezza costosi, specialmente nell’ottica di prevenire attacchi malware e ramsoware che nella prima metà del 2016 hanno causato importanti perdite alle organizzazioni di vari settori; ma i recenti studi sui cyberattack evidenziano che circa il 40% degli attacchi alle aziende sono causati da maldestri insiders, a dimostrazione del fatto che sistemi di sicurezza avanzati nulla possono sul fattore umano, spesso impreparato e disinformato sui processi necessari alla corretta gestione del patrimonio aziendale di dati.

La sfida posta dallo smart working alle aziende italiane è dunque quella di cogliere le opportunità di un cambiamento organizzativo, fronteggiando da un lato la tutela del lavoratore e dall’altro le esigenze di protezione informatica.

La tutela del lavoratore: il controllo a distanza

Lo smart working è rivolto alle professioni impiegatizie, caratterizzate da un’intensa attività sui dispositivi mobili (laptop, tablet e smartphone). Ogni ruolo aziendale avrà un intensivo uso di dispositivi atti a «rendere la prestazione lavorativa» che, come indicato nel comma 2 della nuova formulazione dell’art. 4 SL, fuoriescono dall’obbligo di accordo sindacale, a meno che non vengano “modificati” attraverso l’installazione di software in grado di monitorare la prestazione lavorativa. L’azienda quindi può utilizzare i dati raccolti tramite gli strumenti di lavoro utilizzati dallo smartworker, senza autorizzazione sindacale e per tutti i fini connessi al rapporto di lavoro, a condizione che non vi vengano installati appositi software per il controllo e, soprattutto, che sia stata resa al collaboratore un’imprescindibile ed adeguata informazione. In questa prospettiva, i regolamenti informatici interni giocano un ruolo fondamentale per contemperare le esigenze di tutela del lavoratore e gli interessi del datore di lavoro, indicando chiaramente quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.

La tutela dell’azienda: la protezione dei dati e dei sistemi informatici

L’art. 17 del disegno di legge sul lavoro agile distingue obblighi e responsabilità in capo al datore di lavoro e al dipendente: il datore di lavoro deve adottare misure atte a garantire la protezione dei dati utilizzati ed elaborati; il lavoratore è tenuto a custodire con diligenza gli strumenti tecnologici messi a disposizione dal datore di lavoro ed è responsabile della riservatezza dei dati.

computer-1591018_1280Per l’azienda quindi si tratta di garantire la protezione dei dati e di adottare misure di sicurezza idonee e preventive come disciplinate dal Codice Privacy per evitare la perdita, la distruzione, la diffusione di dati personali trattati dal dipendente in smart working. Il lavoratore, dall’altro canto, è responsabile della custodia degli strumenti e della riservatezza dei dati. In passato si è parlato di casi più o meno eclatanti di furti di laptop aziendali, che hanno fatto emergere dati e documenti di natura riservata poi divulgati in rete, riconducibili alla negligenza dei collaboratori di aziende inglesi e americane.

Molto meno eclatanti e più diffuse sono nella prassi lo scambio di credenziali tra colleghi oppure l’utilizzo di dispositivi personali per svolgere anche brevi o occasionali attività lavorative. Tuttavia, rimane controverso non solo autorizzare l’uso dei dispositivi personali (BYOD – Bring Your Own Device), ma anche l’accesso alla banda, ai database e agli applicativi aziendali, poiché non si può tracciare un netto confine tra ciò che è patrimonio aziendale e ciò che è il patrimonio personale del dipendente.

Dunque, come tutelare la sicurezza aziendale nei progetti di smart working?

Il nuovo Regolamento Europeo sulla protezione dei dati si presta come un buon presupposto per un progetto di smart working, dato che obbliga il titolare del trattamento a prevedere misure tecniche ed organizzative adeguate per garantire la sicurezza informatica. Mentre è teoricamente possibile prevedere ogni tipo di processo, è il dipendente la variabile più difficile da gestire, per dimostrare di aver messo in atto misure organizzative adeguate ai fini del principio dell’accountability: la formazione diventa allora uno strumento dirimente come prova della compliance normativa, dimostrando di aver messo le persone in grado di comprendere quali sono i rischi che si corrono nella gestione dei dati ed evitando di incorrere nelle pesanti sanzioni previste.

Smart deve essere in primo luogo l’organizzazione aziendale, per prevenire i rischi connessi alle vulnerabilità informatiche, gestire la governance della multicanalità di dispositivi diversi interconnessi attraverso il cloud e tutelare, allo stesso tempo, l’autonomia e la privacy dei lavoratori. Nuove tecnologie, infrastrutture di sicurezza e policy organizzative non saranno infatti sufficienti se non corroborate dalla sensibilità comportamentale delle persone e da un concreto sostegno del top management verso la diffusione di un modello di smart working che non comprometta il senso di appartenenza alla collettività aziendale.

Riproduzione riservata ©

ALTRE NEWS

Telecamere e dipendenti. Illecite le riprese senza l’autorizzazione del DPL

Responsabilità penale del datore di lavoro se l’installazione delle telecamere puntate sui dipendenti di lavoro è stata effettuata senza la preventiva autorizzazione dell’ispettorato del lavoro… Leggi Tutto

Cybersecurity: le strategie per affrontare le recenti sfide alla sicurezza informatica

Gli attacchi informatici sono in costante aumento: dall’analisi degli ultimi report sul tema emerge come solo nel primo semestre del 2021 gli attacchi, o tentativi… Leggi Tutto

La Commissione permanente per l’Innovazione e le Tecnologie nei Comuni

Nel quadro di sviluppo delle nuove tecnologie nella Pubblica Amministrazione e dell’ammodernamento delle strutture pubbliche, è stata insediata il 15 gennaio 2004 la “Commissione permanente… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form