L’emergenza sanitaria ed economica da Coronavirus sembra non fermarsi. Per fronteggiarla le imprese ricorrono sempre di più all’utilizzo dello smart working per evitare interruzioni dell’attività produttiva mantenendo in sicurezza i propri dipendenti. A fronte di questi indubbi vantaggi, vi sono però anche alcuni rischi connessi alla sicurezza informatica soprattutto per le aziende, che non avendo avviato alcuna sperimentazione prima, hanno dovuto “improvvisare” la delocalizzazione del personale, ricorrendo all’uso di computer e smartphone personali dei dipendenti. Sono 5 le regole da rispettare in questi casi. Quali sono?

In questi giorni di emergenza da Coronavirus, la possibilità di lavorare da casa in smart working utilizzando strumenti informatici, laptop, smartphone e tablet, soprattutto per quelle mansioni strettamente correlate alla creazione e alla condivisione di documenti (e che, quindi, non richiedono la presenza fisica di uno o più soggetti in loco), si sta rivelando come una risorsa preziosa per non interrompere completamente la produttività di molte realtà imprenditoriali.
Sicurezza dei dati
Molte aziende, soprattutto grandi, erano già attrezzate per lo smart working: i dispositivi e le postazioni domestiche erano già state fornite, o verificate, dalle società, e tutti i controlli, anche con riferimento alla sicurezza sul lavoro, erano stati fatti.
Altre realtà, con l’emergenza sorta in poche settimane, hanno dovuto “improvvisare” un po’ la delocalizzazione dei dipendenti. Ciò ha creato realtà dove l’attenzione alla sicurezza nel trattamento dei dati diventa essenziale per far sì che le operazioni quotidiane non sollevino problemi di sicurezza.
Check list per le imprese
Di qui, è utile elaborare cinque regole che consentano di verificare in ogni momento eventuali criticità e di correre al riparo immediatamente.
1) Il dispositivo/computer/smartphone è proprio o e dell’azienda? Questo primo punto da risolvere, che può apparire banale, è, in realtà, essenziale. Nel primo caso, ossia con gli strumenti che sono forniti direttamente dall’azienda (ad esempio: un computer portatile e uno smartphone), il livello di sicurezza di queste apparecchiature è di solito impostato in partenza dai tecnici e dalla divisione IT dell’azienda stessa e si presenta, quindi, molto alto.
Dovrebbero essere forniti, infatti, dispositivi con due caratteristiche essenziali: i) i dischi e le informazioni cifrate, per cui in caso di smarrimento il danno con riferimento ai dati è nullo, in quanto chi trova il computer o il telefono non vi può accedere, e ii) viene fornita una VPN per collegarsi alla rete aziendale o a Internet, consentendo così di cifrare anche il traffico (e di evitare attacchi).
Nel caso, invece, il dispositivo sia personale e di uso per così dire domestico/amatoriale, occorre alzare il livello di sicurezza raggiungendo almeno i due obiettivi di cui sopra. Verificare quindi, innanzitutto, le impostazioni relative alla cifratura dei dati, e utilizzare una VPN per le connessioni in partenza dall’utenza domestica e dalla rete casalinga.
2) Presenza dell’antivirus. Oggi i sistemi antivirus hanno funzioni molto ampie di sicurezza: proteggono non solo dalle decine e decine di virus che circolano ogni giorno (compresi quelli negli allegati, o “attaccati” ai documenti di ufficio), ma aiutano a segnalare anche tentativi di phishing, e-mail fraudolente, link nocivi. Già sono molto importanti nel trattamento delle informazioni personali; in ambito lavorativo diventano essenziali, perché molti attacchi possono accedere a dati o documenti, cifrarli o farli circolare.
3) Limitare l’uso promiscuo dello strumento personale di lavoro. Nel momento in cui, per lavorare, viene usato uno strumento che è utilizzato anche per la vita quotidiana (ossia per fini personali), è normale che la linea di confine tra dati correlati alla “persona” e dati correlati al “professionista” sia sempre più labile. In molti sostengono, addirittura, che questa linea non esista più: comunque anche il telefono personale di un professionista è solitamente ricco di documenti e dati di lavoro. Occorrerebbe, invece, limitare al massimo l’uso personale di strumenti che contengono anche dati di lavoro, soprattutto installando programmi (ad esempio: videogiochi) che possano compromettere la sicurezza o il funzionamento del sistema stesso o che richiedano di abbassare le protezioni del browser o del sistema.
4) Creare un account specifico per il lavoro. Oggi tutti i sistemi operativi consentono la multiutenza (che è stata una delle più belle invenzioni nel mondo dei computer da un punto di vista della sicurezza). Permettono, in altre parole, di creare dei singoli account che non “interferiscono” con dati e servizi di altri account, soprattutto in negativo (ossia mantengono le attività dell’utente in una sorta di “stanza blindata” che non interferisce con le altre parti del sistema). La prima cosa da fare, prima di iniziare a lavorare su un computer personale è, quindi, quella di creare un’utenza lavorativa che in questi giorni di emergenza custodirà tutti i dati di lavoro (sia in locale, sia sarà usata per collegarsi alla rete aziendale).
5) Cambiare i comportamenti. Nel momento in cui un computer personale viene utilizzato per motivi di lavoro, occorre adeguare leggermente il comportamento alzando il livello di diffidenza e rappresentandosi, prima, tutti i possibili rischi informatici. In particolare, occorre prestare particolare attenzione agli attacchi di phishing (che se portati nei confronti di account, credenziali o dati bancari aziendali possono generare danni enormi), a non rispondere a e-mail non attese, a non aprire allegati non attesi (e comunque a controllare sempre prima gli allegati con un antivirus) e, in generale, ad alzare moltissimo il livello di diffidenza (sino a sfiorare una sana forma di leggera paranoia) per compensare la mancanza, attorno a noi, di tutti i sistemi di sicurezza informatica dell’azienda o dello studio che sono spesso per noi invisibili ma che proteggono, in realtà, tutte le nostre attività in tempo reale.