Smart Working e Cyber Security

di Cinzia Crostarosa

FASE-2: Riapertura economica in sicurezza del Paese Italia grazie allo Smart Working
In un momento contingente dove il “fattore tempo”, già a livello sanitario per l’emergenza COVID-19 è stato di “vitale” importanza, ora anche a livello economico è di nuovo “vitale” che il Paese Italia si rimetta in moto per produrre ricchezza e quindi riacquistare punti sul PIL. Come farlo è tutto da inventare e si deve avere una fantasia senza limiti, perché la normalità convenzionale è ormai saltata a causa del virus, per cui si deve riaprire in sicurezza ciò, che non si può svolgere in ambito digitale, mentre tutto ciò che può essere gestito tramite le connessioni si può incanalare nel mondo cibernetico tramite servizi on line e quindi anche il lavoro può essere in modalità remota. Si apre un nuovo mondo del lavoratore Smart, che non è più una nicchia riservata a pochi, ma essendo oggi due milioni gli italiani in Smart Working si dovranno prevedere nuove competenze con nuove norme per diritti e tutele per il lavoratore stesso.

Riprendendo l’articolo del commercialista dott. Francesco M. Renne relativo ai rischi per la sostenibilità finanziaria la risposta alla crisi e la dimensione europea, attualmente risulta un’esigenza cogente e concreta far ripartire l’economia, perché il sistema economico occidentale è allo stallo a causa dell’ondata fragorosa del COVID-19, che ha comportato un contenimento sociale a livello globale con conseguenti lock-down di interi paesi, per strangolare il virus e bloccare qualsiasi vettore di esso. In Italia si sono messe al primo posto le vite umane, e solo dopo aver contenuto ciò che accadeva negli ospedali si è iniziato a pensare a misure economiche di ripresa. Ora sono tutti economisti che ragionano sulle questioni nominalistiche relative al MES con e senza condizioni oppure sugli Eurobond della nostra politica, in attesa della strutturazione operativa dei tanto sospirati Recovery Fund e della liberazione delle risorse che raccoglierà. Anche se rimane insoluto il vero quesito di sfondo alle trattazioni politiche tra gli stati, che poi in realtà è l’anima del ragionamento, ossia se veramente c’è uno spirito europeo, che ci unisce oltre alla moneta unica, che è l’euro. Da qui a un anno, quando si riattiverà il Patto di Stabilità, tutti i Paesi dell’Eurozona avranno un debito più elevato, per cui Draghi ha scritto una lettera al Financial Times, in cui sostiene, in sintesi, tre cose, di cui una europea e due nazionali, ossia si apre una stagione di debiti pubblici più elevati, si devono usare garanzie pubbliche per sostenere l’accesso al credito, si dovrà assorbire nel tempo la quota di debito privato non rimborsabile. Per cui si evince la vera partita che smartworking2 andrà giocata fin da subito in Europa, data dalla possibile rinegoziazione con effetti più favorevoli per noi dei parametri del Patto di Stabilità, magari passando da una valutazione puntuale di deficit e debito in rapporto al PIL ad una valutazione “dinamica” della sostenibilità̀ finanziaria di un Paese, rapportando la variazione dell’indebitamento con la variazione del PIL e tenendo conto del rapporto debito/ricchezza della sfera privata.

Sicurezza biologica sul luogo di lavoro con le 3T ed una nuova normalità utilizzando anche lo Smart Working come distanziamento sociale

Sicurezza biologica sul luogo di lavoro con le 3T ed una nuova normalità utilizzando anche lo Smart Working come distanziamento sociale

Per consentire di vivere in sicurezza questa FASE-2 di riapertura economica sarebbe doveroso poter avere la tranquillità del tracciamento del virus a livello nazionale, per cui riprendendo l’articolo dell’epidemiologo Alessandro Vespignani si dovrebbe utilizzare la regola delle 3T ‘testare’, ‘tracciare’, e ‘trattare’, infatti come lui stesso afferma: “Gli epidemiologi sono come quelli che fanno le previsioni del tempo, ma non hanno la foto di un vortice da mostrare al mondo. Per fortuna, al contrario dei metereologi, dopo aver individuato l’uragano, possono attenuarne l’impatto tramite delle indicazioni a livello governativo”. Quindi in questa FASE-2 è importantissimo rispettare il distanziamento sociale, che permette di contenere il virus. A tale scopo ritorna con un importanza centrale il ruolo dello smart working, che permette in azienda di avere meno presenze e quindi poter riaprire rispettando le norme di sicurezza vigenti. Con il metodo delle 3T si può anche avviare un discorso di eventuali spostamenti in sicurezza perché si ha il controllo della situazione, che altrimenti dovrebbe partire dal presupposto che siamo tutti probabili vettori del virus, essendoci anche gli asintomatici.

Skill manageriali dello Smart Worker

Skill manageriali dello Smart Worker

Per realizzare un vero Smart Working è necessario un profondo cambiamento culturale e sociale unito ad una sviluppata capacità manageriale in grado di pianificare le attività incorporando nell’azienda tutte le possibilità offerte dalle nuove tecnologie, adottando un’ottica di valutazione riferita al risultato, più che alla “presenza”, coinvolgendo e motivando tutto lo staff, per stimolare la responsabilità, la creatività e la partecipazione, gestendo una forza lavoro obiettivamente più “dispersa”, perché presente da remoto.
Ora bisogna non sprecare questa occasione e fare in modo che ciò che l’emergenza ha in molti casi ha trasformato in semplice “telelavoro” diventi l’avvio di una ristrutturazione radicale dei processi produttivi e dell’organizzazione del lavoro aziendale.
Naturalmente il miglioramento della qualità del lavoro legato allo smart working è condizionato da un lato dalla capacità dei manager di realizzare una intelligente pianificazione delle attività con un adeguamento anche fisico degli ambienti di lavoro e, d’altro lato, dalla capacità degli smart worker di corrispondere alle nuove responsabilità e di superare alcuni limiti quali, per esempio, la percezione di isolamento, la presenza di distrazioni esterne e lo sconfinamento degli orari di lavoro.
Come dice Sebastiano Fadda presidente dell’INAP, l’Istituto per le analisi delle politiche pubbliche: “Lo Smart working è nuova normalità, per la quale servono skill manageriali”.
La qualità del lavoro in smart working può migliorare per il carattere “logistico”, perché comporta una riduzione dello stress da traffico, del tempo destinato agli spostamenti, una maggiore conciliazione tra attività lavorativa e impegni familiari, una maggior disponibilità di tempo libero soprattutto qualora la riorganizzazione comportasse anche un taglio degli “orari” di lavoro, etc.; ma il miglioramento si ha anche a causa di maggior efficienza nell’esercizio stesso dell’attività lavorativa, in quanto si ha una minor “routinarietà” delle mansioni a favore di maggior flessibilità e creatività, maggior coinvolgimento negli obiettivi di squadra, maggior valorizzazione del merito e del risultato, maggior partecipazione e coinvolgimento a livello empatico ed emotivo, nonostante il distanziamento fisico. Tutto questo avviene non a scapito dell’efficienza e della produttività del lavoro, ma anzi con grande vantaggio per l’azienda, che sarà capace di ristrutturarsi per un nuovo modo di produrre beni e/o servizi sulla base delle nuove tecnologie e di una nuova cultura di impresa e del lavoro.
Attualmente a livello logistico-pragmatico la connessione e l’elettricità sono a spese del lavoratore, inoltre i PC, quando non sono dati in comodato dall’azienda, alle volte sono da condividere con il resto della famiglia e non si ha più il rimborso del pasto, le famiglie quindi dall’inizio dell’emergenza si sono viste raddoppiare le spese alimentari. Attualmente sono due milioni i lavoratori italiani in smart working per la fase 2. Di fatto le norme esistenti non tutelano a sufficienza gli smart worker, quindi i sindacati e giuslavoristi chiedono una nuova legge, concordando che per la tutela dello uno smart working sempre più radicato nella quotidianità degli italiani serva una nuova legge. Perché anche se il lockdown è finito il 4 maggio, il lavoro da remoto proseguirà ancora a lungo durante la FASE-2. Proprio per questo, la fiducia e il senso di responsabilità tra le due parti azienda e smart worker, che hanno permesso i buoni risultati del lavoro da remoto non dovranno venire meno. Ma qualcosa deve cambiare per consolidare ciò che di buono si è rivelato dall’esperimento dello smart working. Ad esempio gli strumenti e la connessione dovranno essere forniti al più presto dall'azienda, proprio nell’interesse aziendale di preservare i propri dati sensibili e quindi il proprio asset aziendale, dato dal know how delle risorse fisiche. I buoni pasti non devono essere eliminati anche se non si va in ufficio, perché sempre più italiani li utilizzano per fare anche la spesa, inoltre occorre una più attenta e precisa normativa per la sicurezza, sia quella informatica anche a beneficio aziendale, sia quella inerente agli incidenti sul lavoro anche in modalità smart working, alla disconnessione dalla rete ed alla modalità con cui viene valutata e riconosciuta la produzione, rivedendo la questione dei vincoli orari e spaziali superati rispetto all'organizzazione per fasi, cicli ed obiettivi. Da tutto ciò si evince che la connessione alla rete e la relativa sicurezza cibernetica diventa un diritto primario per il cittadino e per le famiglie, perché in esse ci sono sia smart workers, sia studenti in modalità DAD (Didattica a Distanza).

Rinascimento digitale: Istruzione con Didattica a Distanza, che è la palestra dello smart worker in erba

Rinascimento digitale: Istruzione con Didattica a Distanza, che è la palestra dello smart worker in erba

Riprendendo i consigli del prof. Cantelmi (psichiatra e psicoterapeuta, docente di Cyberpsicologia) ricordiamo che quando ai primi di marzo fu annunciata la chiusura delle scuole, gli studenti esultarono, contemporaneamente milioni di lavoratori furono messi in smart working dal DPCM anti-contagio del presidente Conte. Quindi abbandonato il primo momento di sensazione di vacanza scolastica, purtroppo la didattica a distanza sta mostrando tutti i suoi limiti, in quanto era ancora in una fase troppo embrionale per poterla utilizzare con una modalità così massiva su base nazionale. La realtà, che i ragazzi toccano con mano, è che la DAD è stata troppo improvvisata, poco accessibile a chi ha gap tecnologici, poco coinvolgente, gravemente lesiva dei bisogni relazionali e sociali dei bambini e degli adolescenti, troppo affidata alla responsabilità dei ragazzi, troppo lontani e sfuocati gli adulti, troppo inceppato l’apprendimento, farsesche le verifiche. Insomma, se da un lato dobbiamo apprezzare la generosità degli insegnanti, dall’altro dobbiamo dire che il Ministro ha utilizzato la didattica a distanza per coprire l’incredibile rigidità della scuola: riaprire è urgente, con modalità flessibili e innovative, anche integrando una quota di didattica a distanza con modalità organizzative efficaci ed efficienti, che dovrebbero prevedere anche ristrutturazioni anche molto consistenti sia edili che a livello di cablaggi degli edifici scolastici. Sono otto milioni e mezzo i nostri figli e non possono essere ignorati.
Si deve accettare che Il COVID-19 è un killer postmoderno, che ha generato un incremento del livello di tecno-mediazione della relazione, dell’autismo tecnologico e dell’individualismo. Ci vorranno forse due o tre anni per uscire fuori dal trauma del contagio e rientrare dall’euforia dei tecnofili. Nessuno vuole rinunciare alla bellezza della tecnologia, alla sua infinita utilità, ma dobbiamo sviluppare modalità di convivenza ed integrazione della tecno-mediazione che non umiliano l’umano. La tecnologia digitale stimola il cervello più antico, quello connesso al sistema limbico, alle emozioni e alla rapidità della risposta. Ma la nostra caratteristica è quella di aver sviluppato i lobi frontali, che ci differenziano da ogni altra specie vivente: sono il luogo della razionalità, della riflessione, della motivazione ad agire, del senso e del significato. La rivoluzione digitale deve essere integrata dalla capacità riflessiva, dal pensiero simbolico, dalla ricerca di senso e significato. Tocca a noi adulti riprendere per mano i nostri figli, schiacciati da una stimolazione percettiva e digitale imponente. Ecco perché la didattica a distanza non può e non deve sopprimere l’incredibile ricchezza di un rapporto con adulti significativi, gli insegnanti e gli educatori.
L’educazione e la formazione dei figli è l’azienda sulla quale uno stato dovrebbe investire risorse ingenti avendo una “vision” verso il futuro del paese ITALIA. Ecco, questa esperienza tragica dice che dobbiamo investire risorse sull’istruzione che ci fornirà non solo gli smart worker del domani, ma anche gli scienziati ed i professionisti del Futuro post-pandemico.

Rinascimento Digitale

Sicurezza cibernetica dello Smart Working legata alle infrastrutture di rete ed alle competenze dello Smart Worker

Sicurezza cibernetica dello Smart Working legata alle infrastrutture di rete ed alle competenze dello Smart Worker

Come ci ricorda Aldo Sebastiani (Senior Vice President Cyber Security & Digital Competence Center, Divisione Cyber Security di Leonardo) la pandemia di COVID-19 ha costretto molte aziende a ricorrere a politiche di smart working per garantire la propria business continuity, esponendo di fatto le proprie infrastrutture a numerose minacce informatiche. Per cui è necessario rispettare dei i requisiti per garantire la necessaria sicurezza del lavoro agile proprio per garantire l’asset aziendale, ma questo discorso vale trasversalmente anche per le scuole le università.
Non tutte le organizzazioni che sono state impattate dalle misure precauzionali legate alla diffusione del COVID-19 sono mature, dal punto di vista tecnologico, per avviare in modo massiccio l’utilizzo dello smart working sicuro dei propri dipendenti e collaboratori.
Molte aziende hanno adottato questo tipo di attività per scongiurare la chiusura e per evitare l’interruzione di servizi core per il business aziendale; si è assistito quindi ad un aumento significativo dell’utilizzo di VPN e di connessioni remote non sempre accompagnate dalle dovute cautele in termini di cyber security ed istruzione ai propri dipendenti.
I reparti IT delle organizzazioni si sono trovati a gestire un nuovo carico della rete mai sperimentato prima dalle proprie infrastrutture a causa di migliaia di videoconferenze, connessioni VPN e trasferimenti di file.
In questi casi esiste il rischio di dare incondizionata priorità alla fornitura di servizi a discapito della sicurezza informatica.
In questo scenario in cui le operazioni di un’azienda dipendono dall’infrastruttura IT caratterizzata da una superficie di attacco molto più ampia a causa dell’uso del lavoro agile, è ancora più importante di prima essere preparati a gestire gli attacchi informatici per ridurre al minimo gli impatti.
I requisiti di sicurezza minimi da adottare, al fine di garantire l’esercizio sicuro dello Smart Working, prevedono il mantenimento della riservatezza, ossia assicurandosi che le comunicazioni di accesso da remoto e i dati dell’utente memorizzati non possano essere letti da parti non autorizzate; dell’integrità, ossia rilevando eventuali modifiche intenzionali o non intenzionali alle comunicazioni di accesso remoto che si verificano in transito; e della disponibilità, ossia assicurandosi che gli utenti possano accedere alle risorse in modo sicuro tramite accesso remoto quando necessario.
Per garantire un’ implementazione ed un’erogazione di servizi in modalità sicura per l’utilizzo di Smart Working, si raccomanda un approccio metodologico basato su quanto suggerito dal Framework Nazionale della Cybersecurity, dalle migliori best practice e dagli standard di settore come la NIST Special Publication 800-46 rev2 e la ISO/IEC 27001:2017.
In particolare, il laptop aziendale è connesso attraverso una rete domestica in cui sono presenti molti dispositivi altrettanto connessi (i.e. gateway residenziale, smartphone, stampanti e Smart TV), che tipicamente è caratterizzata da una grande superficie di attacco, è una situazione molto diversa dall’infrastruttura aziendale, che invece risulta controllata, monitorata e aggiornata dal punto di vista della sicurezza. Quindi applicando lo smart working si delocalizza il perimetro cibernetico di sicurezza aziendale, per cui proprio a livello nazionale è importante l’applicazione della legge del 13 novembre 2019, per la sicurezza digitale della nazione Italia, che introduce il perimetro di sicurezza nazionale cibernetica.
La maggior parte degli attacchi informatici sfrutta le vulnerabilità dei dispositivi di sicurezza (recentemente è stata identificata ad esempio una vulnerabilità critica sui concentratori VPN che sono alla base di moltissime connessioni sicure) o la “debolezza” delle persone, attraverso tecniche di social engineering o mail di phishing al fine di sottrarre, ad esempio, credenziali di accesso alle reti aziendali, quindi anche lo smart worker deve essere formato relativamente alle contromisure delle minacce cyber.
Di seguito, alcune delle principali minacce cyber da tenere in considerazione durante la pianificazione e prioritizzazione delle contromisure da adottare per l’implementazione dello smart working:
• attacchi DoS e DDoS;
• phishing e spam;
• malicious code;
• Information Gathering (scanning, sniffing, social engineering);
• Man in the Middle;
• brute force;
• ransomware;
• accessi non autorizzati.
Per consentire di svolgere lo Smart working in sicurezza è consigliabile espletare l’attività lavorativa esclusivamente attraverso dispositivi forniti dall’azienda (notebook, smartphone o altro); infatti i dispositivi personali tipicamente caratterizzati da policy di sicurezza totalmente soggettive o addirittura inesistenti, determinerebbero l’esposizione ad un elevato rischio cyber; inoltre l’utilizzo di informazioni e dati aziendali sui PC personali del lavoratore espone ad un serio rischio di data leakage, con conseguenti impatti sulla sicurezza delle informazioni aziendali e normativi, in caso di dati in area privacy.
Alcuni punti salienti da rispettare durante lo svolgimento di uno smart working in sicurezza informatica:
• Inoltre si devono mantenere aggiornati i dispositivi aziendali forniti con le ultime patch di sicurezza e adeguatamente equipaggiati con software antivirus e sistemi EDR (Endpoint Detection & Response);
• Prevedere sistemi di cifratura dei dati locali (File System/Disk Encryption) al fine di prevenire la perdita di dati critici in caso di furto o smarrimento dei PC dei dipendenti, in quanto la mobilità ne aumenta la probabilità di accadimento.
• Utilizzare esclusivamente connessioni cifrate (Virtual Private Network) per la connessione alle reti aziendali, utilizzando “cypher suite” con l’adeguato grado di robustezza (lunghezza delle chiavi, algoritmi non deprecati, …).
• Evitare infine l’utilizzo dei Wi-Fi pubblici e, per quanto possibile, anche domestici per connettersi alle reti aziendali in quanto vulnerabili e facilmente attaccabili; preferire invece laddove possibile connessioni 3G/4G.
• Aggiornare le policy di backup in base alle nuove esigenze e criticità emerse.
Sarà necessario strutturarsi e predisporsi per identificare un modello organizzativo volto a garantire la segregazione delle responsabilità e l’efficienza dell’implementazione delle azioni nonché la loro diffusione e monitoraggio, in modo tale da includere diversi organi di controllo, che siano finalizzati a diffondere le policy di sicurezza e volti a supportare gli utenti durante lo svolgimento delle attività in smart working.
Quindi per concludere l’analisi delle riflessioni e delle direttive pragmatiche per lo svolgimento del lavoro da remoto del VP di LEONARDO Aldo Sebastiani, crisi come quella attuale del COVID-19 possono far riflettere molte organizzazioni sull’importanza di investire nella cyber security, nel processo di trasformazione digitale e nella gestione per obiettivi delle risorse umane, non disperse, ma solamente remotizzate.