Sicurezza informatica. L’impatto dello smart working

Last Updated on Febbraio 12, 2024

In un mondo sempre più digitalizzato e connesso la sicurezza informatica è diventata di fondamentale importanza.

Ma cos’è la cyber-security?

É l’insieme delle «attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche», secondo la definizione data dal Regolamento (UE) 2019/881 relativo all’ENISA (Agenzia dell’UE per la cibersicurezza), ente incaricato di conseguire un elevato livello comune di sicurezza informatica in tutta l’Unione.

La sicurezza informatica aziendale, in particolare, consiste nella salvaguardia dell’integrità, della riservatezza e della disponibilità di dati e informazioni che vengono gestiti direttamente da un’impresa ed è indispensabile sia per consentire la continuità dell’attività, preclusa in caso di attacco informatico, che per tutelare il know-how aziendale e le informazioni personali dei dipendenti.

Le questioni attinenti alla sicurezza informatica sono molteplici e coinvolgono anche il diritto del lavoro. Vediamo insieme in che termini.

Smart working e ampliamento del “perimetro informatico”

Le minacce alla sicurezza informatica si adeguano ai nuovi modi di lavorare e alle nuove tecnologie che possono anche determinare un aumento dei rischi.

La cyber-security, infatti, si basa sul concetto di “perimetro informatico” dell’impresa, inteso come estensione del network in cui vengono scambiate le informazioni aziendali che non devono essere vulnerabili ad attacchi provenienti dall’esterno. Con la diffusione dello smart working si è verificato quello che gli esperti definiscono l’allargamento del perimetro informatico con conseguente ampliamento delle aree in cui si insinua il rischio di attacchi alla sicurezza.

I rischi, infatti, possono derivare da:

  • uso di dispositivi personali per lavorare (approccio denominato BYOD, Bring Your Own Device), in genere privi di misure di sicurezza necessarie per fronteggiare un attacco informatico;
  • connessione a reti domestiche e/o wi-fi pubblici che non hanno lo stesso livello di protezione delle infrastrutture aziendali;
  • errore umano come l’invio di e-mail al destinatario sbagliato con documenti riservati in allegato;
  • accesso a spazi condivisi in cui si lasciano computer incustoditi con e-mail e documenti riservati aperti.

Per ridurre al minimo i rischi informatici è fondamentale che le imprese adottino tutte le misure raccomandate dagli esperti in materia quali, ad esempio, una VPN (i.e. una rete di telecomunicazione privata che consente di comunicare in modo sicuro grazie a una connessione cifrata) e l’autenticazione a più fattori che crea diverse fasi di accesso prima di riuscire ad entrare nel sistema.

Tali strumenti, tuttavia, non sono sufficienti se non accompagnati da un’adeguata formazione dei dipendenti. È necessario, infatti, accrescere la consapevolezza dei propri dipendenti sul corretto utilizzo dei dispositivi aziendali, sui comportamenti da evitare e sui rischi in caso di violazione dei divieti.

A tal proposito, in caso di prestazione lavorativa svolta in modalità agile, è indispensabile che il relativo accordo stipulato con il dipendente specifichi gli obblighi connessi all’uso degli strumenti di lavoro messi a disposizione, quali:

  • utilizzare esclusivamente gli strumenti e le apparecchiature tecnologiche fornite dalla società;
  • utilizzare gli strumenti di lavoro soltanto per lo svolgimento dell’attività lavorativa, nel rispetto di quanto previsto dai regolamenti aziendali, e non per scopi personali o non connessi all’attività lavorativa;
  • custodire gli strumenti di lavoro con la massima cura e diligenza e adottare le necessarie precauzioni affinché terzi, anche se familiari, non possano accedere agli strumenti di lavoro;
  • avvisare tempestivamente il proprio responsabile in caso di guasto, furto o smarrimento degli strumenti e, se del caso, attivare le procedure aziendali di sicurezza.

È, inoltre, indispensabile:

  • una policy ex art. 4 St. Lav. ovvero l’informativa sulle modalità d’uso degli strumenti di lavoro e di effettuazione dei controlli da parte della società;
  • integrare il codice disciplinare con l’indicazione delle sanzioni previste in caso di violazione degli obblighi sopra elencati.
Cyber security e art. 4 dello Statuto dei Lavoratori

Anche quando la prestazione lavorativa non è resa in modalità agile, è importante fare in modo che l’uso degli strumenti di sicurezza informatica sia compatibile con la disciplina in materia di controllo a distanza dei dipendenti.

L’art. 4 dello Statuto dei Lavoratori, infatti, prevede che è consentito l’utilizzo delle informazioni raccolte con gli strumenti di lavoro «a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.lgs. 196/2003».

Qualora la società abbia necessità di installare degli strumenti che non vengono utilizzati dai dipendenti per svolgere le proprie mansioni (quindi non qualificabili come strumenti di lavoro), ma dai quali possa derivare un controllo a distanza dei lavoratori occorrerà un accordo sindacale, o, in mancanza, un’autorizzazione da parte dell’Ispettorato del Lavoro.

Qualora i dipendenti usino degli strumenti di lavoro da cui sia possibile realizzare un controllo a distanza della prestazione lavorativa non vi sarà invece bisogno del preventivo accordo sindacale o dell’autorizzazione da parte dell’Ispettorato del Lavoro.

In entrambi i casi è, invece, necessario, introdurre procedure interne che in maniera precisa indichino le modalità di uso e di effettuazione dei controlli con riferimento a tutti i software e hardware che possano consentire un controllo a distanza dell’attività lavorativa.

Elaborata la procedura interna, è poi necessario esplicitare nel codice disciplinare aziendale che le violazioni delle regole contenute nella medesima saranno sanzionate; bisognerà, dunque, collegare ai comportamenti indicati nella procedura le sanzioni disciplinari.

Inoltre, poiché i sistemi di sicurezza informatica aziendale per loro natura profilano anche dati e informazioni personali, questi dovranno essere trattati nel rispetto della normativa privacy e, quindi, dei principî fissati dal Regolamento (UE) 2016/679 (GDPR) quali:

  • liceità, correttezza e trasparenza del trattamento;
  • limitazione della finalità del trattamento (i dati devono essere raccolti per finalità determinate, esplicite e legittime);
  • minimizzazione (i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento);
  • esattezza e aggiornamento (eventuali inesattezze devono essere tempestivamente rettificate ovvero i dati inesatti devono essere cancellati);
  • limitazione della conservazione (i dati devono essere conservati per il tempo necessario al raggiungimento delle finalità per le quali sono trattati);
  • integrità e riservatezza (i dati devono essere sempre trattati in modo da garantire una sicurezza adeguata, il che prevede l’adozione di misure di sicurezza tecniche ed organizzative per proteggere i dati da trattamenti non autorizzati o illeciti, dalla loro perdita, distruzione o dal danno accidentale).
Conclusioni

Una delle principali sfide per le società è sicuramente quella di proteggere i propri dati dagli attacchi informatici sempre più frequenti. La diffusione dello smart working, infatti, ha ampliato il perimetro informatico aziendale e, quindi, le aree in cui si insinua il rischio di attacchi alla sicurezza.

Lo Studio è a Vostra disposizione per suggerirvi le strategie per proteggere le imprese dai rischi informatici, disciplinando le azioni che un dipendente può fare o non nell’uso degli strumenti informatici aziendali sia hardware che software.

Per maggiori informazioni: comunicazione@toffolettodeluca.it
Garante privacy: regole restrittive per la conservazione delle email dei dipendenti Garante privacy: regole restrittive per la conservazione delle email dei dipendenti Febbraio 14, 2024 - Il Garante della privacy introduce modalità restrittive per la gestione della posta elettronica dei lavoratori che rischiano di creare rilevanti problemi organizzativi e gestionali alle imprese. Nel provvedimento è previsto che i datori di lavoro (pubblici e privati) che utilizzino programmi e servizi informatici per la gestione dell’email dei dipendenti - specialmente se forniti in modalità cloud o as-a-service – possano conservare i metadati (giorno, ora, mittente, destinatario, oggetto e dimensione) dei messaggi di posta elettronica fino ad un massimo di 7 giorni, estensibili - in presenza di comprovate esigenze - di ulteriori 48 ore. Quali soluzioni organizzative adottare?
Sicurezza informatica. L’impatto dello smart working Sicurezza informatica. L’impatto dello smart working Febbraio 5, 2024 - In un mondo sempre più digitalizzato e connesso la sicurezza informatica è diventata di fondamentale importanza. La sicurezza informatica aziendale consiste nella salvaguardia dell’integrità, della riservatezza e della disponibilità di dati e informazioni che vengono gestiti direttamente da un’impresa ed è indispensabile sia per consentire la continuità dell’attività, preclusa in caso di attacco informatico, che per tutelare il know-how aziendale e le informazioni personali dei dipendenti. Le questioni attinenti alla sicurezza informatica sono molteplici e coinvolgono anche il diritto del lavoro. Vediamo insieme in che termini.
Bonus Mamme L’esonero contributivo per le lavoratrici madri Bonus Mamme, l’esonero contributivo per le lavoratrici madri Febbraio 5, 2024 - La legge di bilancio per il 2024 (L 213/2023) ha introdotto, con i commi 180 e 181, un esonero contributivo a favore delle lavoratrici madri di tre o più figli, dipendenti a tempo indeterminato, valido dal 2024 al 2026. L’esonero, in via sperimentale, è stato esteso nel 2024, anche alle madri di due figli.  Il 31 gennaio 2024 INPS ha pubblicato la circolare 27 con cui dettaglia le modalità per rendere operativa la misura. Vediamo come.
Il diritto di critica del dipendente ai tempi dei social Il diritto di critica del dipendente ai tempi dei social Gennaio 29, 2024 - Nell’era dei social network anche le imprese si trovano a dover fare i conti con i rischi per l’immagine e la riservatezza derivanti dall’uso improprio di tali strumenti da parte dei dipendenti. È per questo motivo che sempre più spesso le società fanno ricorso alla social media policy, strumento idoneo a sensibilizzare e informare i collaboratori circa le conseguenze di un uso poco attento degli account social. Numerosi sono, infatti, i casi in cui la giurisprudenza ha confermato la legittimità del licenziamento disciplinare di dipendenti che hanno pubblicato post offensivi e diffamatori nei confronti del datore di lavoro.