Smart Working e Cyber Security: difendere i dati aziendali e i propri dati personali
Le restrizioni imposte in questi giorni dal Governo hanno spinto molte aziende, e la stessa Pubblica Amministrazione, a sposare velocemente il paradigma dello Smart Working generalizzato ed esteso per evitare il blocco delle attività e le relative conseguenze. La maggior parte delle soluzioni emergenziali adottate prevedono lo sfruttamento dei dispositivi e della connessione alla rete degli stessi lavoratori.
Cerchiamo di analizzare i rischi e le soluzioni.
Ma che cos’è lo Smart Working? Uno studio dell’Osservatorio del Politecnico di Milano lo definisce “una nuova filosofia manageriale fondata sulla restituzione alle persone di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati”.
Pertanto, i vantaggi connessi all’applicazione dello Smart Working comprendono anche il telelavoro e la formazione a distanza che possono essere sfruttati nel caso in cui è impossibile o complicato raggiungere la sede lavorativa. Queste ultime finalità hanno, ormai da qualche anno, parallelamente incentivato la pratica di fare affidamento ai dispositivi personali dei dipendenti per lo svolgimento delle attività lavorative. Il fenomeno ribattezzato BYOD, “Bring Your Own Device” (in italiano: Porta il Tuo Dispositivo), sembra, a primo acchito, la soluzione migliore perché le prestazioni dei dispositivi mobili, strumenti da cui la maggior parte delle persone non si separa mai, sono equiparabili a quelle delle postazioni di lavoro fisse, l’utente li usa con molta facilità e, inoltre, si evita la duplicazione in termini di investimento tecnologico per acquisto e manutenzione di ulteriori dispositivi e i costi relativi alla connessione alla rete.
I benefici che derivano dallo Smart Working a distanza sono oramai un dato assodato per le aziende e per i lavoratori, mentre non è chiaro a tutti, ma si può comprendere, a quali rischi legati alla cyber security siano esposti entrambi i soggetti.
Il problema ha una duplice chiave di lettura: da un lato l’azienda vorrebbe mantenere lo stesso grado di confidenzialità, integrità e affidabilità raggiunto all’interno del perimetro lavorativo; dall’altro il lavoratore mal sopporterebbe un’invasione della propria privacy o una limitazione alla libertà di pensiero.
Solitamente l’azienda, per raggiungere i propri obiettivi di business, impone ai propri smart worker delle soluzioni tecnologiche che consentono di estendere le policy aziendali di sicurezza informatica ai dispositivi di loro proprietà, ad esempio l’installazione dello stesso Endpoint aziendale, l’utilizzo della VPN per la connessione sicura alla rete aziendale, l’aggiornamento del software, fino alla configurazione di sistemi di Mobile device management per gestire i dati e le app aziendali da remoto.
Le policy per lo Smart Working spesso richiedono caratteristiche tecniche – in termini di hardware e software – che non coincidono con le proprietà del dispositivo del lavoratore.
Tutto ciò, di converso, può apparire agli occhi del proprietario del device come un’intrusione al proprio domicilio digitale. Infatti, il dispositivo potrebbe contenere informazioni e applicazioni che l’utente non vorrebbe che venissero conosciute dall’azienda (o, più in generale, da persone non autorizzate).
Le potenziali soluzioni tecniche e organizzative scelte dalle organizzazioni sono molteplici ed eterogenee perché si adattano ai diversi modelli organizzativi e devono tenere conto delle caratteristiche accennate (confidenzialità, integrità e affidabilità; privacy e libertà di pensiero).
In questo testo sono trattate le sole questioni tecniche.
L’organizzazione che adotta soluzioni tecnologiche molto rigide tutela i propri asset e, indirettamente, anche i dati del lavoratore. D’altro canto, come è noto, la maggior parte delle moderne ed efficaci misure di prevenzione e protezione cyber prevedono il logging dell’attività dell’utente e del dispositivo e, pertanto, violano potenzialmente il diritto alla privacy e alla libertà di pensiero del proprietario del device fuori dal contesto lavorativo.
Viceversa, l’azienda può limitarsi a indicare ai propri dipendenti delle linee di guida o delle prescrizioni da seguire, sia durante l’utilizzo personale che lavorativo, per cui il lavoratore continua a mantenere la gestione del proprio dispositivo e dei propri dati. Questa soluzione, sicuramente, tutela i diritti del lavoratore, ma consente una certa aleatorietà e incertezza sulla compliance alle politiche di sicurezza aziendali.
A tutto ciò, occorre aggiungere l’obbligo di adottare le misure tecniche conseguenti all’applicazione di diverse normative che possono riguardare: il tema della riservatezza (documenti classificati), la tutela dei dati personali (GDPR), la business continuity e il disaster recovery (NIS), ecc.
A parere dello scrivente non è possibile implementare lo Smart Working attraverso l’applicazione generalizzata del modello BYOD in qualsiasi contesto lavorativo: occorre innanzitutto valutare una serie di fattori che aiutano a scegliere la soluzione adeguata.
Il primo elemento discriminante è rappresentato dalle tipologie di informazioni che devono essere elaborate durante lo Smart Working. Se le informazioni trattate sono classificate, o richiedono un elevato livello di tutela, è necessario che il dispositivo utilizzato dal lavoratore sia conforme alle stesse proprietà delle postazioni aziendali, al fine di garantire identiche misure di sicurezza. Di conseguenza, se lo smart working prevede la gestione di queste tipologie di dati, è fortemente sconsigliato sfruttare apparecchiature di cui non si ha il controllo diretto da parte dell’organizzazione.
Il secondo fattore da prendere in considerazione è l’interfaccia attraverso cui il lavoratore interagisce con i sistemi informativi aziendali. Se l’utente, per l’assolvimento delle attività assegnate, utilizza servizi o applicativi interni, ciò che non sono esposti sulla rete Internet (intranet), è necessario che, prima di accedere a tali sistemi, instauri una connessione sicura tra il suo device e la rete aziendale. Ciò solitamente comporta l’installazione di software e certificati sulla postazione remota, oltre all’adozione di determinate restrizioni, per evitare il furto dei dati o la diffusione di malware. Quindi, anche in questo caso è svantaggioso utilizzare device eterogenei e senza limitazioni.
Un’altra peculiarità potrebbe essere rappresentata dalla classificazione del device. Se, ad esempio, il dispositivo utilizzato dallo smart worker è condiviso o, peggio ancora, pubblico non si avrà contezza di chi sia l’utente dall’altra parte del terminale e, di conseguenza, l’organizzazione deve necessariamente impiegare tecnologie di autenticazione più forti rispetto a quelle utilizzate nel contesto interno.
Si potrebbero analizzare altre criticità, ma quello che si vuole evidenziare è un concetto semplice: se l’attività da svolgere in modalità Smart Working non prevede particolari restrizioni tecniche e implicazioni legali – ovvero sono state adottate soluzioni lato azienda che garantiscono il rispetto dei principi di confidenzialità, integrità e affidabilità – allora può essere adottato il modello BYOD; in caso contrario è conveniente adottare soluzioni alternative, come ad esempio l’approccio CYOD, “Choose Your Own Device” (in italiano: Scegli il Tuo Dispositivo) e il COPE, “Corporate-Owned, Personally Enabled” (in italiano: di Proprietà Aziendale, Abilitato all’Uso Personale).
Questi ultimi modelli risolvono molti dei problemi analizzati. In questi casi è l’azienda che si occupa dell’acquisto (COPE) o della selezione (CYOD) dei dispositivi utilizzati dai dipendenti e, soprattutto, della loro gestione; questi saranno abilitati anche all’uso personale e, di conseguenza, il lavoratore potrà decidere se utilizzarlo anche per finalità private.
In sintesi, lo Smart Working è sicuramente un paradigma lavorativo positivo, sia per l’azienda che per il lavoratore; ma, considerando che ad oggi la maggior parte delle attività si svolgono in modalità digitale, è necessario valutare le soluzioni tecniche, oltre a quelle organizzative, adottate per evitare di abbassare le misure di sicurezza oppure ampliare, in maniera indeterminata, il perimetro aziendale introducendo apparecchiature con requisiti di sicurezza sconosciuti.
Come è stato brevemente illustrato, il modello BYOD non è compatibile con molte realtà aziendali perché l’organizzazione deve essere in grado di gestire una vastità di applicazioni, modelli e dispositivi molto differenti l’uno dall’altro, senza contare le questioni connesse alla sicurezza dei dati e alla privacy dei lavoratori.
Di conseguenza, l’unica soluzione percorribile è quella in cui l’azienda amministra direttamente i dispositivi, siano essi di proprietà dell’organizzazione o dello smart worker. Con questa opzione, oltretutto, gestisce dispositivi simili tra loro e i costi legati all’acquisto e alla personalizzazione sono recuperati in termini di gestione dell’ICT.
Un ulteriore problema risolto riguarda la gestione da remoto: il dispositivo è in tutto e per tutto controllato dall’azienda quindi, in caso di furto, l’organizzazione avrà i permessi per cancellare da remoto tutti i dati contenuti sul dispositivo senza incorrere in sanzioni e senza violare la privacy dei propri dipendenti.