SMART WORKING ED EMERGENZA COVID -19: guidelines

SERRAINO IGOR INFORMATION TECHNOLOGY

La metodologia di “lavoro agile”, nelle sue varie declinazioni, presuppone l’utilizzo degli strumenti informatici in modo sistematico e integrato, ove i protagonisti del rapporto professionale (il committente o datore di lavoro, e l’esecutore) debbono opportunamente ricorrere a un insieme di piattaforme IT da dimensionare, perimetrare e autorizzare a priori previa analisi delle relativi caratteristiche tecnologiche. Se infatti la normativa GDPR impone l’analisi del rischio come elemento fondamentale di assessment preliminare, è evidente oggi più che mai si debba partire dalla considerazione che lo smart working imponga come indispensabili e complementari 3 aree fondamentali all’interno dell’ecosistema IT coinvolto:

  1. Infrastruttura IT di colui che presta la forza lavoro, comprendente dispositivi client come personal pc, tablet e altri strumenti informatici utilizzati, ma anche le tecnologie utilizzate per accedere alla WAN (internet) e quindi trasmettere flussi di dati e informazioni all’esterno dei confini del proprio ufficio;
  2. Infrastruttura IT delle varie entità che sono destinate a ricevere il risultato del lavoro svolto all’interno di una logica di smart working, come ad esempio il datore di lavoro, il committente o entità terze come solution providers o altre figure professionali;
  3. Sistemi condivisi di messaggistica, riunioni virtuali, meeting, desktop remoto o similari, sharepoint per editing contemporaneo di documenti di office automation e altre tecnologie fondamentali per condividere l’operatività tra le parti in tempo reale e non solo in differita.

I contesti 1 e 2 possono essere visti – reciprocamente tra le parti coinvolte – come delle black box isolate per cui i rispettivi Responsabili del Trattamento siano tenuti a garantire il rispetto della normativa GDPR, in riferimento all’adozione di adeguate misure di tutela delle informazioni, mirate ad attestare l’aver intrapreso solide misure di sicurezza informatica mirate a ridurre il rischio di data breach o fuoriuscita di informazioni verso destinatari non autorizzati. È stabilito che i Responsabili debbano fornire documentazione adeguata a chi ne faccia esplicita richiesta (informative, estratti da Manuale della Privacy, Registro del Trattamento) e rapida capacità di reazione ad eventi critici, fattori che assumono gran rilevanza nel caso in cui un evento di data breach si verifichi effettivamente.

Tralasciando qui aspetti prettamente giuridici di competenza degli specialisti di settore, può essere utile descrivere un esempio pratico di come si traduca tutto questo nella realtà. Si supponga che uno smart worker abbia ricevuto da una PPAA (o da un Gestore di Servizi) il compito di elaborare dei flussi di informazioni inerenti alla bollettazione di consumi energetici o idrici, per cui all’interno della relativa banca dati situata nel contesto 1. confluiscano in formato grezzo ma intelligibile non solo dati numerici come gli importi da pagare ma anche dati identificativi della persona fisica a cui essi siano riferiti, corredati da indicazioni temporali (quando è avvenuto il consumo) o geografici (in quale abitazione). È evidente che in tal circostanza vi sia un flusso di informazioni critiche dall’infrastruttura del committente a quella dello smart worker, per cui ad esempio assumano rilevanza:

  1. La capacità da parte di ambo le parti di utilizzare un mezzo di trasmissione bidirezionale protetto, tracciato e in grado di garantire RID come ad esempio canali su protocolli cifrati (SFTP o HTTPS).
  2. La capacità da parte dello smart worker di recepire i flussi di informazioni, utilizzarli per le finalità stabilite, garantire già a monte tramite uno strumento formale opportuno (NDA) la confidenzialità e, soprattutto, dare evidenza della completa cancellazione dai propri archivi al termine dei lavori.
  3. L’applicazione sistematica di criteri di fail over, per cui sia il committente che lo smart worker posseggano una infrastruttura IT in grado di ridurre significativamente i rischi derivanti da fattori esterni impredicibili, come guasti a sistemi o eventi naturali che portino all’impossibilità di accedere ai dati fondamentali per svolgere il lavoro necessario.

Nella consuetudine è indubbiamente attestata una certa difficoltà nel veder rispettati tutti e tre i fattori qui citati a titolo di esempio (non esaustivo), per cui risultino ancora molto diffusi canali di trasmissione dati come le email (RID non garantito), repository in-cloud improvvisati e privi dei canoni di sicurezza fondamentali per la compliance GDPR, nonché la mancanza di sistemi di business continuity per cui in presenza del verificarsi di eventi impredicibili ne derivino danni diretti alle varie parti coinvolte. Si pensi ad esempio all’impossibilità – restando nel contesto di esempio citato – di emettere e consegnare bollette energetiche a causa di un blocco nel sistema di filtraggio dato variabile dello smart worker incaricato della relativa gestione: il danno per la PPAA sarebbe di elevata intensità anche in virtù del fatto che dovrebbe risponderne direttamente al fornitore di energia elettrica, a sua volta parte dell’ecosistema di smart working innestato.

Ancora più rilevante, all’interno dell’applicazione di paradigmi di smart working, appare il contesto per cui si riveli necessario utilizzare sistemi e piattaforme informatiche per garantire la comunicazione in tempo reale tra le parti in vece dell’incontro ad personam presso sale riunioni, uffici, luoghi di aggregazione sociale. In tempi di COVID-19 è forse questo l’aspetto divenuto maggiormente critico, in quanto un elevato numero di lavoratori e committenti poco avvezzi ai prerequisiti che lo scambio di informazioni tra entità remote impone, si è trovato a disposizione un’offerta di piattaforme di messaggistica testuale, video, audio decisamente ampia e fuori controllo. Doverosa premessa è il fatto che spesso siano l’urgenza e la quotidianità, oltre a una certa cultura informatica di base poco diffusa se non financo attestata su livelli preoccupanti, a limitare riflessioni preliminari sull’opportunità di utilizzare una piattaforma di messaging piuttosto che un’altra: si arriva dunque a comportamenti fortemente a rischio come utilizzare indistintamente il diffusissimo Whatsapp per trasmissione di testo semplice o dati aziendali critici, passando in altre circostanze alla cara vecchia email piuttosto che a un sistema di messaging di una qualche piattaforma social disponibile al momento, dimenticando che la fuoriuscita di informazioni dalla propria “black box” comporti esattamente ciò che il termine suggerisce: prelevare informazioni o dati dal proprio contesto, utilizzare un canale di trasmissione, e farlo arrivare a un destinatario fisicamente remoto e dotato della propria infrastruttura IT.

All’interno di uno scenario di scambio di informazioni real time (contesto 3. elenco precedente), merita una riflessione a parte la necessità di instaurare canali di comunicazione che possano supplire alle classiche riunioni in loco: l’offerta di piattaforme è estremamente ampia e pare superfluo un mero elenco con le relative caratteristiche tecniche, peraltro disponibile diffusamente all’interno del www. È importante tuttavia focalizzare, in fase di scelta preliminare dello strumento, quelli che devono essere i criteri fondamentali:

  1. Prediligere piattaforme specificatamente disegnate per un utilizzo business, come Skype for Business, Teams, Cisco WebExe: tali strumenti spesso sono “agganciati” direttamente all’account aziendale per cui risulta possibile sfruttare nativamente le policies di accountability stabilite dagli admin aziendali (riduzione dell’ambito di rischio, pur in presenza di scarsissima cultura informatica di base da parte degli end user);
  2. Evitare l’utilizzo di account personali per partecipare al meeting, come ad esempio accedere ad Hangouts con il proprio indirizzo Gmail privato, oppure sfruttare la funzionalità di videoconferenza messa a disposizione da sistemi social tipicamente destinati ad uso personale. Tale suggerimento deriva dal fatto che un account personale risulti inevitabilmente esposto ad attività non strettamente collegate al contesto lavorativo e il monitoraggio su aspetti di sicurezza non possa essere quindi sistematico e continuativo: utilizzare tale tipologia di account per finalità professionali, seppur spot, traspone all’interno dell’analisi del rischio elementi di incertezza appartenenti a una sfera per cui il Trattamento non dovrebbe neppure essere effettuato (es. utilizzo di Messenger for Facebook per finalità aziendali, ove le informazioni trasmesse sarebbero un “di cui” di un ecosistema di comunicazione in cui il 90% sono conversazioni personali – perdita di controllo).
  3. Prediligere uno strumento di videoconferenza per cui la stampa tecnica internazionale non abbia riportato recentemente fenomeni di reali (o ipotizzati, in fase di indagine) data breach. Si cita, a titolo di esempio, la casistica Zoom scaturita in piena emergenza smart working, per cui a inizio aprile 2020 sono risultati esposti al dark web circa 500.000 dati di account, ivi compresi indirizzi e-mail, informazioni identificative, log di comunicazioni a storico.
  4. Se tecnicamente possibile, effettuare calls esclusivamente all’interno di VPN create ad hoc tra le parti, ove di fatto la videoconferenza sussisterebbe all’interno di un canale sicuro (tunnel) end-to-end tra le parti e non esposto alla WAN.

© contenuti riservati riproducibili esclusivamente previo esplicito consenso dell’autore