Pandemia da Covid-19: la nuova frontiera dello Smart Working
Il Decreto del Presidente del Consiglio dei Ministri emanato il 1° marzo 2020 ha introdotto una serie di misure per il contenimento della diffusione della malattia respiratoria “Covid-19” causata dal nuovo Coronavirus, imponendo forti restrizioni alla circolazione dei cittadini e alle attività lavorative. Il Decreto ha altresì esteso le modalità di lavoro agile a tutto il territorio nazionale, anche in assenza di accordi individuali precedentemente concordati.
Come confermato anche nel successivo Decreto dell’11 marzo 2020, le modalità di lavoro agile sono state estese ad interi settori della nostra economia, compresa la pubblica amministrazione.
Il lavoro agile (o “smart working”), già disciplinato nel diritto italiano nel 2017 (Legge 22 maggio 2017, n. 81), e il “telelavoro” sono dunque diventati realtà per milioni di Italiani.
Secondo uno studio del Politecnico di Milano, in Italia, le grandi e medie aziende che nel 2019 avevano già introdotto forme di lavoro agile erano circa il 60%, ma questo numero appariva significativamente ridotto nelle piccole e medie realtà. Il Coronavirus, insomma, ha colto la gran parte delle aziende italiane impreparate. Se da molti punti di vista, tale cambiamento repentino ha portato risvolti positivi per la nostra economia, permettendo ad esempio a moltissime persone di continuare a lavorare nonostante l’emergenza, secondo gli esperti, i veri benefici ci attendono nel medio e lungo periodo sottoforma di incrementi di produttività, risparmio dei costi e riduzione delle emissioni di CO2 nelle grandi città.
Altri studi inoltre, fanno luce su cambiamenti anche più profondi che tale modalità di lavoro porterà nel nostro Paese, come ad esempio il passaggio ad una gestione del lavoro basata su obiettivi, la promozioni di maggiore autonomia da parte del dipendente e l’instaurazione di relazioni lavorative basate sulla fiducia.
Su un aspetto tutti gli esperti concordano: nonostante l’enorme “esperimento” nazionale di smart working e telelavoro non sia iniziato con i migliori presupposti, questo ha modificato permanentemente la nostra cultura del lavoro e tali novità rimarranno nella nostra quotidianità anche nel post-emergenza.
Dal punto di vista della sicurezza informatica, l’introduzione repentina e massiccia di varie forme di lavoro a distanza ha portato ad una vera e propria “rivoluzione”. In poche settimane le aziende e le pubbliche amministrazioni del nostro Paese hanno dovuto affrontare cambiamenti tecnologici ed organizzativi, che nella normalità avrebbero richiesto anni di progettazione e sviluppo.
In questo articolo abbiamo provato a raccogliere le principali sfide affrontate dai nostri clienti e partner per assicurare la continuità dei propri servizi nonché dei relativi processi critici. L’obiettivo è quello di far luce sulle sfide di oggi, per aiutare aziende e privati a navigare in questo nuovo mare.
I principali ostacoli rilevati dalla nostra ricognizione sono relativi alla connettività dei sistemi, che ora più che mai è sottoposta a carichi di una portata senza precedenti. Centinaia di migliaia di dipendenti e collaboratori si collegano infatti a reti private aziendali (Virtual Private Network), accedendo da dispositivi anche personali e spesso non dotati di adeguate misure di protezione. Pertanto ci si è focalizzati sul fenomeno “BYOD”, dall’inglese Bring Your Own Device, che elimina in modo irrimediabile la distinzione tra “sistemi aziendali” e quelli privati. Questi servizi, ampiamente esaminati negli anni passati, permettono di affrontare nuove sfide importanti non solo nell’ambito della sicurezza delle informazioni, ma anche nell’erogazione dei servizi IT stessi. Alcuni clienti sprovvisti di strumenti per l’assistenza ed il supporto da remoto, ad esempio, hanno coinvolto Dedalo nella selezione delle soluzioni ritenute più affidabili, attività che spesso richiede un minuzioso bilanciamento tra sicurezza, facilità nell’utilizzo e costi di implementazione.
È naturale come in un momento di emergenza, nella definizione delle pratiche di smart working e telelavoro, molte aziende abbiano dovuto trovare un compromesso tra sicurezza delle informazioni e necessità operative di business. Con la riapertura della cosiddetta “Fase 2”, tuttavia, riteniamo essenziale riportare la sicurezza IT in primo piano. Secondo molti esperti del settore, la priorità per le aziende dovrà essere quella di rafforzare le misure di sicurezza utilizzate per mitigare i rischi connessi alla connettività, irrobustendo il processo di patch management e disegnando misure di sicurezza più restrittive per le VPN aziendali. Altre fonti autorevoli, come ad esempio il National Institute of Standards and Technology statunitense, sottolinea invece l’importanza del processo di gestione degli accessi logici, per il quale si ritiene necessario implementare modalità di autenticazione più robuste e garantire un adeguata gestione dei privilegi di accesso secondo i profili di rischio associati.
La nostra esperienza in queste settimane ha inoltre confermato ancora una volta come la formazione degli utenti sia essenziale per la sicurezza delle informazioni. È noto, ad esempio, come i tentativi di phishing siano nettamente aumentati nel corso dell’emergenza sanitaria, che ha permesso ai cyber criminali di utilizzare il tema del COVID-19 per convincere milioni di utenti a fornire informazioni e/o credenziali (Google ha recentemente dichiarato di bloccare circa 18 milioni di email di questo genere al giorno). Ogni utente del sistema informativo aziendale ha un ruolo fondamentale nel processo di tutela delle informazioni, un suo comportamento inappropriato può invalidare la solidità di qualsiasi barriera IT al Cyber Crime, per questo sensibilizzare la consapevolezza dei dipendenti è un fattore strategico per salvaguardare il business e il patrimonio informativo aziendale. Per questo scopo, e in linea con le indicazioni del governo sul distanziamento sociale, abbiamo guidano i nostri clienti nella selezione e valutazione delle soluzioni di e-learning più adeguate, sviluppando con loro il piano e i contenuti della necessaria formazione.
Così come per l’emergenza sanitaria attualmente in corso, anche la gestione sicura dei nuovi strumenti, infrastrutture e processi per lo smart working e il telelavoro richiederà un approccio coeso e coordinato tra tutti gli attori coinvolti. La sicurezza, si sa, è una catena.
di Licia Nicoletti Senior Consultant – IT & Security Governance, Risk Management e Compliance @ Dedalo GRC Advisory