Quanto il tuo smart working è conforme al GDPR?
Le procedure di smart working necessitano di un adeguamento a diverse pratiche dettate dalla normativa vigente, in particolare il GDPR
A cura di Luca Gianera
Product Manager di NavigoSicuro www.navigosicuro.it
Nelle ultime settimane numerose imprese hanno adottato pratiche di lavoro agile per far fronte alle indicazioni ministeriali contro il Covid-19. Organizzazioni che avevano sempre lavorato in modalità tradizionale si sono quindi dovute improvvisare con soluzioni last minute che consentissero ai propri dipendenti di lavorare da casa. La scelta è spesso ricaduta sull’alleggerimento delle policy interne al fine di permettere ai lavoratori di utilizzare il proprio computer portatile. Alcune imprese più strutturate si sono organizzate con notebook aziendali e VPN, attivando collegamenti remoti attraverso piattaforme più o meno gratuite, più o meno affidabili e spesso installate da personale non specializzato. In generale, l’attenzione del management board si è giustamente focalizzata sul come garantire alla propria organizzazione la continuità produttiva, trascurando accorgimenti, precauzioni e verifiche relativi a sicurezza dei dati, privacy e GDPR.
<< Questo “attacco virale†(Coronavirus), come accade alle macchine con i malware, presto o tardi terminerà , ma i dati personali, nel frattempo, condotti all’esterno dei comparti aziendali (ove prima erano protetti) potranno, sia nel breve che nel lungo periodo, essere liberamente sottoposti a furti, modifiche, perdite, accessi non autorizzati, e così via… >>
Agendadigitale.eu, 13 marzo 2020
Come ampiamente raccontato da un recente articolo di Agendadigitale.eu, la frettolosità con cui sono state attivate le procedure di smart working sta esponendo (ed esporrà nel medio-lungo periodo) le imprese a violazioni del GDPR e della sicurezza informatica. Per quanto riguarda il GDPR, infatti, se come previsto dal regolamento si effettuasse una valutazione DPIA (Data Protection Impact Assessment) sugli ambienti smart working, molto probabilmente il risultato sarebbe una matrice di rischio “alto†per la quale sono previste sanzioni fino al 2% del fatturato annuo. In particolare, la matrice di rischio valuta, per ogni singolo ambiente di smart working: le tecnologie informatiche utilizzate, la vulnerabilità delle reti (VPN, wifi e Internet), le modalità di back-up e disaster recovery, l’esposizione degli end point, le protezioni crittografiche, i firewall, lo storage dei documenti analogici e digitali, l’utilizzo di hotspot, di password e di chiavette usb. Inoltre, è da considerare che queste valutazioni sono spesso aggravate nel caso di utilizzo di dispositivi personali da parte dei dipendenti.
In ambienti di lavoro agile, dove tutto avviene da remoto (ovvero fuori dal contesto lavorativo fisico) diventa, quindi, estremamente importante porre attenzione alla sicurezza informatica di: archiviazioni, registrazioni, consultazioni, download di dati, trasmissioni, ecc… In queste condizioni di lavoro, infatti, i dati personali (nonché quelli di business riservati) potrebbero sia essere accidentalmente smarriti, sia subire furti. Inoltre, nei casi in cui ai collegamenti remoti non siano associati il controllo degli accessi (a server, cartelle, file, profilo degli utenti, ecc…) né alert in tempo reale di eventuali anomalie, le probabilità di accessi abusivi o diffusioni dolose/colpose dei dati aumentano notevolmente.
Modificando completamente l’ambiente di lavoro e le relative modalità di accesso ai dati, lo smart working rischia così di indebolire se non addirittura invalidare gli sforzi già sostenuti in precedenza per adeguarsi al GDPR.
Ally Consulting, con la divisione NavigoSicuro, mette a disposizione il suo team di ICT Security Expert per svolgere un assessment gratuito degli ambienti di smart working della tua impresa e valutare il livello di conformità al GDPR.
A valle della valutazione, se lo riterrai opportuno, potrai definire assieme al team di Ally Consulting piani di Business Continuity, Disaster Recovery e Data Protection per prevenire e sanare situazioni di violazione della sicurezza aziendale, perdita di dati, diffusione indesiderata di documenti riservati, sospensione delle attività produttive dovute al blocco dei sistemi informatici. Potrai anche, senza impegno, valutare assieme a noi soluzioni innovative per avere sempre il polso della situazione sulla sicurezza informatica della tua impresa.
Una volta regolato e tutelato, lo smart working resta comunque, come dimostrato da questo periodo di “sperimentazione forzata dal Coronavirusâ€, una modalità di lavoro estremamente flessibile ed efficace che consente di garantire l’operatività e l’accesso ai dati aziendali anche in orari diversi dall’apertura degli uffici fisici. Un modus operandi che, aumentando la produttività e riducendo gli spostamenti, vede impatti positivi sia a livello economico sia livello ecologico.
Avrai sicuramente intuito che lo smart working non è una semplice iniziativa per agevolare i lavoratori, ma un modello lavorativo che richiede un attento uso della tecnologia e un management focalizzato sul controllo della sicurezza.