Fonte: In4mati Autore: Luigi Duraccio
Nella attuale situazione di confinamento, stiamo un po’ tutti scoprendo alcune delle reali possibilità che ci offre la tecnologia. Il c.d. “Smart Working” o lavoro agile è ormai un concetto ampiamente sdoganato.
Si trovano riferimenti ovunque, sul web, sui social, in tv: tutti ne parlano sia trattando della soluzione organizzativa che come soluzione tecnologica. Ovviamente si tratta di entrambe le cose ma, in questa sede, ci occuperemo, brevemente ed in modo semplice, dei rischi per la sicurezza.
Prenderei come punto di partenza le 11 raccomandazioni che l’Agenzia per l’Italia Digitale (AgID) ha elaborato per i dipendenti pubblici che hanno adottato la modalità di lavoro agile, per aiutarli a utilizzare al meglio e in sicurezza i propri dispositivi personali.
Le raccomandazioni sono le seguenti:
1. Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione.
2. Utilizza i sistemi operativi per i quali attualmente è garantito il supporto.
3. Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo.
4. Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati.
5. Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione.
6. Non installare software proveniente da fonti/repository non ufficiali.
7. Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro.
8. Non cliccare su link o allegati contenuti in email sospette.
9. Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette.
10. Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione).
11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.
Si tratta di semplici raccomandazioni che, se da un lato sono di puro buon senso e, peraltro, già nella disponibilità della maggioranza di coloro che lavorano utilizzando tecnologie informatiche (praticamente chiunque usi un pc in ufficio), dall’altro vengono sistematicamente disattese, esponendo dati, informazioni, device a continui rischi di violazione della sicurezza.
Smart working si, purchè si garantiscano […] adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite […]
Quindi, il Lavoro agile non è una cosa affatto semplice o banale e presenta una serie di criticità e difficoltà legate anche all’utilizzo della tecnologia informatica.
Riprendo da un articolo di Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy, su Federprivacy.org, le raccomandazioni operative utili quando si vuole predisporre una postazione di lavoro da casa.
“In effetti il dipendente in smart working è tenuto innanzitutto a:
In ottemperanza alle disposizioni comunitarie e nazionali nonché di contratto, il dipendente è tenuto alla più̀ assoluta riservatezza sui dati e sulle informazioni in suo possesso e/o disponibili sul sistema informativo e conseguentemente dovrà̀ adottare, in relazione alla particolare modalità̀ della sua prestazione, ogni provvedimento idoneo a garantire tale riservatezza.
Inoltre, nella qualità̀ di “autorizzato” del trattamento dei dati personali, anche presso il proprio luogo di prestazione fuori sede, dovrà̀ osservare tutte le istruzioni e misure tecniche ed organizzative previste.
In particolare, con riferimento alle modalità̀ smart work, dovrà:
Nello specifico, quindi, il dipendente, dal punto di vista gestionale, in regime di smart working dovrà:
Consigli pratici
Infine, voglio qui sintetizzare alcuni suggerimenti pratici, per evitare di mettere a rischio i dati e le risorse dell’azienda e delle persone che ci lavorano.
Il primo suggerimento è di chiedere consiglio, un aiuto, a tecnici specializzati che sappiano fornirvi strumenti in fase di avviamento ed un sistema di controllo remoto per tenere sotto controllo il sistema e gestire eventuali problemi.
Secondo. Fin dove è possibile, non utilizzate i vostri sistemi personali, neanche per leggere posta elettronica. Ricordate che la quasi totalità dei problemi viene proprio dai vostri dispositivi domestici o personali. Esempio le connessioni ADSL e WiFi di casa, spesso, anzi quasi sempre senza protezzioni adeguate. Qui, per configurare una qualche protezione minima basta andare su Google e fare una ricerca.
Terzo. Installate o fatevi installare, sempre da un tecnico, un buon sistema antivirus. Un buon sistema non costa molto (qualche decina di euro); non utilizzate antivirus gratuiti (equivale a non avere un antivirus), meglio se utilizzate sistemi di protezione gestiti (chiedete sempre al famoso tecnico).
Quarto. Se possibile, sempre col supporto di un tecnico che potrà operare da remoto, con semplicità ed in totale sicurezza, fatevi configurare una connessione VPN ovvero quel canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda, attraverso il quale si accede direttamente agli applicativi ed ai dati aziendali.
Infine quinto. Non ultimo per importanza, anzi, molto delicato, il sistema di autenticazione, il login con user name e password. Se non si usano adeguati sistemi di protezione e buone pratiche di comportamento, è molto facile violare o carpire i dati di login. Utilizzate, allora, sistemi di autenticazione a due o tre fattori, dove possibile, o aumentate al massimo la complessità delle password ed abituatevi a cambiarle con frequenza maggiore del solito, anche una volta ogni 15 gg o una volta a settimana.
Il rispetto del GDPR - Conclusioni
Immagino, e non temo di essere smentito, che le istruzioni da parte del titolare del trattamento, non siano state date in modo così chiaro o, addirittura, non saranno state date affatto.
Allora, spetta ad ognuno di noi farsi carico del rispetto della normativa sulla privacy, soprattutto, ripeto, al fine di proteggere i propri dati, i propri dispositivi. Le conseguenze saranno la protezione dei dati aziendali e dei propri colleghi, ad esempio. In base all’approccio basato sulla valutazione del rischio ed ai principi di privacy by design e by default (non è importante adesso capire o sapere esattamente cosa sono) fatevi sempre e continuamente una domanda, ogni volta che state per fare qualche azione od operazione sul PC o da remoto: quali sono i probabili rischi che posso correre? Spesso, il solo fatto di porci una domanda alla quale non sappiamo rispondere è indicativo del fatto che stiamo andando incontro a rischi e conseguenze potenzialmente disastrose.
Se avete un minimo dubbio chiedete ad un tecnico qualificato, fate una ricerca su Google, oppure scrivete a: info@informatoreinformatico.it: potrebbe salvarvi!
La predisposizione del manuale della conservazione, la nomina del responsabile della conservazione e del procedimento di conservazione, l’adeguamento ai fini privacy: ecco tutti gli adempimenti di cui nessuno ti ha mai parlato. Il prossimo 10 marzo scadono i termini per la conservazione digitale a norma delle fatture elettroniche del 2019. La scadenza coincide con i tre mesi dal termine per l’invio della dichiarazione dei redditi 2020 che, per effetto della proroga prevista dal decreto Ristori quater, poteva essere trasmessa fino al 10 dicembre scorso. Il nostro...
Scritto da: Luigi DuraccioIl datore di lavoro non può conoscere i dati relativi alle vaccinazioni. Intervento del Garante privacy. Acquisire i dati relativi alle vaccinazioni dei dipendenti non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. A questi comportamenti, incidendo su diritti fondamentali dell’individuo, è necessario applicare a particolari attenzioni. Negli ultimi giorni si sono aggiunti interventi chiarificatori del Garante per la protezione dei dati personali in relazione alla normativa sulla privacy. Il Garante...
Scritto da: Luigi DuraccioCarte di credito e ricaricabili sempre di più nel mirino degli hacker. Sono molte le truffe online in grado di svuotare i conti correnti e le prepagate. Non ci sono quasi più errori di sintassi o di grammatica, l’italiano è molto più scorrevole e questo si traduce in una maggiore difficoltà di accorgersi della truffa e quindi maggiori pericoli per gli utenti possessori di carte, soprattutto prepagate. Tra le più gettonate ci sono le truffe che hanno ad oggetto le carte prepagate...
Scritto da: Luigi DuraccioI ransomware sono virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli. Vediamo come è fatto ed un metodo innovativo per proteggersi. Quando un sistema informatico viene attaccato da un ransomware e i file contenuti vengono crittografati significa che il virus ha già superato tutte le difese. Oltre a questo molti malfattori che li programmano non si accontentano e non si fermano dopo aver sfondato le barriere di protezione di un solo PC: non è...
Scritto da: Luigi DuraccioCrimine informatico, solo il Covid sta facendo più danni. Il quadro del 2020. Quando un sistema informatico viene attaccato e le difese informatiche di un’azienda vengono superate, l’hacker paralizza il sistema informativo e preleva dati, contratti, accordi, informazioni segrete e rilevanti, informazioni personali. L’attacco, di solito, parte di notte, spesso di sabato, e la mattina, quando apri il computer, è già troppo tardi: file contenuti nei PC, nei server, nei backup, vengono crittografati e non sono più utilizzabili. A questo punto viene chiesto di pagare...
Scritto da: Luigi DuraccioAffidarci alle solite misure o sperare nelle competenze degli utenti equivale ad un suicidio. Il modello “security-as-a-service” nei processi di security integrata. A causa, o grazie alla pandemia, ora l’ufficio può essere ovunque e senza vincoli e le aziende si ritrovano sempre meno vincolate alle tradizionali infrastrutture di rete e a un ufficio fisico. L’adozione di massa e “frettolosa” del lavoro da remoto ha fatto emergere, tuttavia, in tema di sicurezza informatica e difesa dal cybercrime, tutte le criticità di una mal-gestione [o nessuna...
Scritto da: Luigi DuraccioIn un quadro di cambiamento del Paese diventa irrinunciabile, per le aziende, investire sulla “formazione” del personale attraverso enti o società di formazione che portano i loro saperi direttamente all’interno. Il virus ci impone di cambiare e per questo dobbiamo rimboccarci le maniche e costruire un nuovo modo di vivere e di produrre. Dobbiamo agire subito senza aspettare la fine della crisi. La tecnologia ci sarà di aiuto nel cambiamento e dovrà essere impiegata di più nelle aziende. Perché questo avvenga occorre modificare la...
Scritto da: Luigi DuraccioPare che EcoCare, un sito fatto sviluppare dal Parlamento Europeo, non rispetti la stringente normativa europea prevista per la tutela dei dati personali. Se anche i “regolatori” hanno difficoltà ad osservare le norme scritte da loro stessi vuol dire che c’è un problema nell’affrontare una norma con troppa leggerezza. La norma impone un’autovalutazione che spesso necessita dell’insostituibile consulenza di esperti in più settori. Guarda il video sull’argomento pubblicato dall’Avvocato Stefano Nardini che ha affrontato questo caso particolare sul suo canale YouTube.
Scritto da: Luigi DuraccioIl 31 gennaio scade un termine importante del punto di vista fiscale: la conservazione digitale a norma delle fatture elettroniche. In realtà il termine è slittato al 10 marzo a seguito della proroga disposta dal decreto ristori alla presentazione della dichiarazione dei redditi. Questo perchè il termine per la conservazione delle fatture si calcola proprio a partire da quello per la presentazione della dichiarazione dei redditi. Occorre avere le idee chiare per poter adempiere a quanto richiesto dalla normativa. Le norme...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.