Sicurezza informatica. L’impatto dello smart working

Sicurezza informatica. L’impatto dello smart working

Last Updated on Febbraio 12, 2024

In un mondo sempre più digitalizzato e connesso la sicurezza informatica è diventata di fondamentale importanza.

Ma cos’è la cyber-security?

É l’insieme delle «attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche», secondo la definizione data dal Regolamento (UE) 2019/881 relativo all’ENISA (Agenzia dell’UE per la cibersicurezza), ente incaricato di conseguire un elevato livello comune di sicurezza informatica in tutta l’Unione.

La sicurezza informatica aziendale, in particolare, consiste nella salvaguardia dell’integrità, della riservatezza e della disponibilità di dati e informazioni che vengono gestiti direttamente da un’impresa ed è indispensabile sia per consentire la continuità dell’attività, preclusa in caso di attacco informatico, che per tutelare il know-how aziendale e le informazioni personali dei dipendenti.

Le questioni attinenti alla sicurezza informatica sono molteplici e coinvolgono anche il diritto del lavoro. Vediamo insieme in che termini.

Smart working e ampliamento del “perimetro informatico”

Le minacce alla sicurezza informatica si adeguano ai nuovi modi di lavorare e alle nuove tecnologie che possono anche determinare un aumento dei rischi.

La cyber-security, infatti, si basa sul concetto di “perimetro informatico” dell’impresa, inteso come estensione del network in cui vengono scambiate le informazioni aziendali che non devono essere vulnerabili ad attacchi provenienti dall’esterno. Con la diffusione dello smart working si è verificato quello che gli esperti definiscono l’allargamento del perimetro informatico con conseguente ampliamento delle aree in cui si insinua il rischio di attacchi alla sicurezza.

I rischi, infatti, possono derivare da:

  • uso di dispositivi personali per lavorare (approccio denominato BYOD, Bring Your Own Device), in genere privi di misure di sicurezza necessarie per fronteggiare un attacco informatico;
  • connessione a reti domestiche e/o wi-fi pubblici che non hanno lo stesso livello di protezione delle infrastrutture aziendali;
  • errore umano come l’invio di e-mail al destinatario sbagliato con documenti riservati in allegato;
  • accesso a spazi condivisi in cui si lasciano computer incustoditi con e-mail e documenti riservati aperti.

Per ridurre al minimo i rischi informatici è fondamentale che le imprese adottino tutte le misure raccomandate dagli esperti in materia quali, ad esempio, una VPN (i.e. una rete di telecomunicazione privata che consente di comunicare in modo sicuro grazie a una connessione cifrata) e l’autenticazione a più fattori che crea diverse fasi di accesso prima di riuscire ad entrare nel sistema.

Tali strumenti, tuttavia, non sono sufficienti se non accompagnati da un’adeguata formazione dei dipendenti. È necessario, infatti, accrescere la consapevolezza dei propri dipendenti sul corretto utilizzo dei dispositivi aziendali, sui comportamenti da evitare e sui rischi in caso di violazione dei divieti.

A tal proposito, in caso di prestazione lavorativa svolta in modalità agile, è indispensabile che il relativo accordo stipulato con il dipendente specifichi gli obblighi connessi all’uso degli strumenti di lavoro messi a disposizione, quali:

  • utilizzare esclusivamente gli strumenti e le apparecchiature tecnologiche fornite dalla società;
  • utilizzare gli strumenti di lavoro soltanto per lo svolgimento dell’attività lavorativa, nel rispetto di quanto previsto dai regolamenti aziendali, e non per scopi personali o non connessi all’attività lavorativa;
  • custodire gli strumenti di lavoro con la massima cura e diligenza e adottare le necessarie precauzioni affinché terzi, anche se familiari, non possano accedere agli strumenti di lavoro;
  • avvisare tempestivamente il proprio responsabile in caso di guasto, furto o smarrimento degli strumenti e, se del caso, attivare le procedure aziendali di sicurezza.

È, inoltre, indispensabile:

  • una policy ex art. 4 St. Lav. ovvero l’informativa sulle modalità d’uso degli strumenti di lavoro e di effettuazione dei controlli da parte della società;
  • integrare il codice disciplinare con l’indicazione delle sanzioni previste in caso di violazione degli obblighi sopra elencati.
Cyber security e art. 4 dello Statuto dei Lavoratori

Anche quando la prestazione lavorativa non è resa in modalità agile, è importante fare in modo che l’uso degli strumenti di sicurezza informatica sia compatibile con la disciplina in materia di controllo a distanza dei dipendenti.

L’art. 4 dello Statuto dei Lavoratori, infatti, prevede che è consentito l’utilizzo delle informazioni raccolte con gli strumenti di lavoro «a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal D.lgs. 196/2003».

Qualora la società abbia necessità di installare degli strumenti che non vengono utilizzati dai dipendenti per svolgere le proprie mansioni (quindi non qualificabili come strumenti di lavoro), ma dai quali possa derivare un controllo a distanza dei lavoratori occorrerà un accordo sindacale, o, in mancanza, un’autorizzazione da parte dell’Ispettorato del Lavoro.

Qualora i dipendenti usino degli strumenti di lavoro da cui sia possibile realizzare un controllo a distanza della prestazione lavorativa non vi sarà invece bisogno del preventivo accordo sindacale o dell’autorizzazione da parte dell’Ispettorato del Lavoro.

In entrambi i casi è, invece, necessario, introdurre procedure interne che in maniera precisa indichino le modalità di uso e di effettuazione dei controlli con riferimento a tutti i software e hardware che possano consentire un controllo a distanza dell’attività lavorativa.

Elaborata la procedura interna, è poi necessario esplicitare nel codice disciplinare aziendale che le violazioni delle regole contenute nella medesima saranno sanzionate; bisognerà, dunque, collegare ai comportamenti indicati nella procedura le sanzioni disciplinari.

Inoltre, poiché i sistemi di sicurezza informatica aziendale per loro natura profilano anche dati e informazioni personali, questi dovranno essere trattati nel rispetto della normativa privacy e, quindi, dei principî fissati dal Regolamento (UE) 2016/679 (GDPR) quali:

  • liceità, correttezza e trasparenza del trattamento;
  • limitazione della finalità del trattamento (i dati devono essere raccolti per finalità determinate, esplicite e legittime);
  • minimizzazione (i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento);
  • esattezza e aggiornamento (eventuali inesattezze devono essere tempestivamente rettificate ovvero i dati inesatti devono essere cancellati);
  • limitazione della conservazione (i dati devono essere conservati per il tempo necessario al raggiungimento delle finalità per le quali sono trattati);
  • integrità e riservatezza (i dati devono essere sempre trattati in modo da garantire una sicurezza adeguata, il che prevede l’adozione di misure di sicurezza tecniche ed organizzative per proteggere i dati da trattamenti non autorizzati o illeciti, dalla loro perdita, distruzione o dal danno accidentale).
Conclusioni

Una delle principali sfide per le società è sicuramente quella di proteggere i propri dati dagli attacchi informatici sempre più frequenti. La diffusione dello smart working, infatti, ha ampliato il perimetro informatico aziendale e, quindi, le aree in cui si insinua il rischio di attacchi alla sicurezza.

Lo Studio è a Vostra disposizione per suggerirvi le strategie per proteggere le imprese dai rischi informatici, disciplinando le azioni che un dipendente può fare o non nell’uso degli strumenti informatici aziendali sia hardware che software.

Per maggiori informazioni: comunicazione@toffolettodeluca.it

Articoli & Insights

Vedi tutti gli articoli di Articoli & Insights
ESG - Controlli Semplificazione dei controlli per le imprese Luglio 19, 2024 - Scopri il Decreto legislativo n. 103 del 12 luglio 2024 che semplifica i controlli sulle attività economiche. In attuazione della Legge delega n. 118/2022, le nuove disposizioni promuovono un ambiente favorevole alla crescita, introducendo un sistema di valutazione del rischio, meccanismi di esonero dai controlli, e altre misure a sostegno delle imprese impegnate nella tutela dell’ambiente, salute pubblica, e sicurezza.
Intelligenza artificiale Intelligenza artificiale: pubblicato il Regolamento UE Luglio 12, 2024 - È stato pubblicato in Gazzetta il Regolamento sull’intelligenza artificiale il cui obiettivo è promuovere l’innovazione e al tempo stesso la diffusione di un’intelligenza artificiale antropocentrica che garantisca un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali. Il provvedimento contiene anche previsioni riguardanti il mondo del lavoro.
Due Diligence Due Diligence: pubblicata la Direttiva Luglio 5, 2024 - Il 5 luglio è stata pubblicata la Direttiva 2024/1760 del 13 giugno 2024 volta a rafforzare il dovere di diligenza delle imprese ai fini della sostenibilità. Scopri di più su toffolettodeluca.it
Gender equality. La strategia UE per la parità di genere Rapporto biennale: nuova proroga Luglio 3, 2024 - Il 3 luglio il Ministero del lavoro, in un avviso pubblicato sul proprio sito, ha reso noto che è stato nuovamente prorogato il termine per la trasmissione del Rapporto biennale 2022-2023.