Smart Working in Sicurezza e Privacy GDPR

ATTENZIONE! - Gli argomenti di questo articolo saranno trattati nel WEBINAR GRATUITO del prossimo 16 Aprile, "Smart Working in Sicurezza e Privacy GDPR", a cura di Fabio Paravani: ISCRIVITI SUBITO - ultimi posti disponibili !!!

Smart working: da buona pratica a standard emergenziale, l’occasione di rivedere le priorità di cyber-sicurezza.

La principale misura preventiva adottata dai governi per garantire la prevenzione dei contagi da COVID-19 consiste nel distanziamento sociale, il quale ha fornito un poderoso impulso alla diffusione delle pratiche di lavoro (e didattica) da remoto, che tutti conosciamo come Smart Working. Tale modalità di lavoro ha conosciuto negli ultimi due mesi un’impennata delle applicazioni del 20% (12% nelle PMI), sebbene fosse già applicata da diversi decenni e oggetto di una crescente diffusione. Per le aziende lo Smart Working rappresenta un’opportunità non solo di abbattimento dei costi e snellimento delle procedure, ma anche per rivedere ed aggiornare tempestivamente le prassi di cybersecurity: per garantire riservatezza, integrità e disponibilità dei dati coinvolti, le aziende devono far crescere la propria Cyber-Resilienza, sviluppando una strategia di response e di recovery ben collaudata e ripetibile. Vediamone di seguito i motivi.

Rischi di Cyber Security e rapporto di privacy lavoratore-azienda.

I benefici che derivano dallo Smart Working a distanza sono oramai un dato assodato per le aziende e per i lavoratori, ma bisogna analizzare e verificare quali sono i rischi legati alla cyber security: nonostante le istituzioni e le aziende stiano tentando di supportare questo radicale cambiamento di paradigma lavorativo, con la diffusione ed implementazione di regole e buone pratiche condivise, laddove alcune organizzazioni sono già pronte molte altre sono state colte impreparate dalla crisi che lo ha imposto come standard.

Il problema della sicurezza informatica applicata allo Smart Working ha una duplice valenza: da un lato, l’azienda deve mantenere lo stesso grado di confidenzialità, integrità e affidabilità dei dati che garantisce all’interno del perimetro lavorativo; dall’altro il lavoratore che si trova a dover accettare, e potrebbe mal sopportare, un’invasione della propria privacy.

Bring Your Own Device (BYOD): la postazione nel dispositivo del lavoratore.

Una prima soluzione può consistere nell’utilizzo da parte del dipendente di un device personale (fenomeno noto come BYOD o “Bring Your Own Device”; in italiano: “Porta il Tuo Dispositivo”), che l’utente è già abituato ad utilizzare con semplicità e confidenza, evitando la duplicazione dell’investimento tecnologico da parte dell’azienda in termini di acquisto e manutenzione di ulteriori dispositivi, nonché dei costi relativi alla connessione alla rete.

Tuttavia, per garantire la riservatezza, accessibilità e disponibilità dei dati, è necessario che il dispositivo utilizzato dal lavoratore sia conforme alle stesse proprietà delle postazioni aziendali, al fine di garantire identiche misure di sicurezza anche in remoto. A ciò si aggiunge la necessità una connessione sicura tra il device personale e la rete aziendale, con l’installazione di software e di certificati dispositivo remoto, oltre all’adozione di determinate restrizioni atte ad evitare il furto dei dati o la diffusione di malware. Anche in questo caso l’utilizzo di device eterogenei e senza limitazioni non garantisce adeguate misure di sicurezza.

Le principali fonti di rischio comprendono quindi minacce derivanti dalla sicurezza fisica, dalle reti e dai device utilizzati dai lavoratori, oltre alle inevitabili minacce dall’accesso; naturalmente, tutte queste considerazioni comportano anche problematiche di Privacy per l’azienda stessa.

La compliance GDPR: un onere, ma anche opportunità di analisi dei dati.

GDPR è il regolamento che tutti conosciamo, entrato in vigore il 24 maggio 2018 ed operativo a partire dal 25 maggio 2018, con il quale la Commissione Europea si è proposta l’obiettivo di rafforzare la protezione dei dati personali dei cittadini dell'Unione Europea e dei Residenti stranieri nell'Unione europea, con competenza sia all'interno che all'esterno dei confini dell'Unione Europea (UE).

Come lecito attendersi, il Regolamento UE/2016 in materia GDPR ha generato rumore sul tema della privacy e avuto il merito di aumentare la consapevolezza dei singoli individui sui propri diritti, così come sui rischi a cui sono sottoposti i propri dati.

Numerose statistiche e indagini hanno cercato di definire cosa stessero facendo le imprese in tema di protezione dei dati, considerando che per molte aziende non c’era totale chiarezza sul da farsi: ad oggi, la stragrande maggioranza delle aziende può dire di essersi adeguata alla normativa GDPR in termini di registro dei trattamenti, informative, consenso tuttavia risulta interessante l’analisi emersa da una ricerca di Gemalto, azienda olandese di sicurezza informatica: In uno studio globale condotto e mirato sulle aziende, è stato rilevato che il 65% di esse non è in grado di analizzare tutti i dati raccolti e solo il 54% sa dove sono archiviati tutti i dati personali.

Sempre da questa ricerca è emerso che nonostante l’89% delle organizzazioni globali sia consapevole che l’analisi dei dati offra loro un vantaggio competitivo, solo una ristretta parte la mette in atto. Inoltre, ben il 68% delle organizzazioni ammette di non svolgere tutte le procedure in linea con le leggi sulla protezione dei dati imposte dal GDPR.

Oltre la compliance GDPR: il Privacy Management olistico e strategico

Se vi chiedete se sia sufficiente l’essere in regola per una corretta gestione dei dati personali, la risposta è “probabilmente NO”: la protezione dei dati non è, infatti, un punto di arrivo bensì un percorso continuo, fatto di studio e soprattutto confronto. Per quanto si possa conoscere alla lettera il testo del GDPR, metterlo in pratica comporta la necessità di sviluppare abilità trasversali.

Infatti, come dimostrano diversi provvedimenti rilasciati dai Garanti nazionali, e relative sanzioni commisurate, le misure intraprese dalle aziende si sono mostrate molto spesso inadeguate: un aspetto emerso trasversalmente ai cluster della piccola, media e grande impresa.

Ciò accade perché le aziende ad oggi sono chiamate ad implementare non mere misure adeguative agli aggiornamenti normativi, bensì un processo di Privacy Management che coinvolga le funzioni Organizzativa, Legale e Tecnologica dell’azienda. Il Privacy Manager, esperto di Data Governance, già adesso riveste un ruolo sempre strategico all’interno delle aziende, e la nostra previsione è che lo sarà sempre di più: si ricorda ad esempio come il Report Data Protection and Privacy Officer Priorities 2020 abbia indicato che la sfida più grande per i DPO e gli specialisti di privacy continui ad essere costituita dalla creazione di una protezione dei dati completa a livello di organizzazione, e dall’impostazione della strategia di privacy.

In conclusione, per le aziende lo Smart Working rappresenta un’opportunità per rivedere ed aggiornare tempestivamente le prassi di cybersecurity. Per garantire riservatezza, integrità e disponibilità dei dati coinvolti, le aziende dovranno far crescere la propria Resilienza Cyber sviluppando una strategia di response e di recovery ben collaudata e ripetibile.