Articolo a firma di Giacomo Lunardon – Servizi Tecnici Istituto Statale “A. Monti” di Asti e “CIS Controls Volunteer”
Negli ultimi mesi le problematiche derivanti dall’emergenza sanitaria hanno coinvolto numerosi settori della vita di ogni cittadino, e la possibilità una volta marginale di ricorrere al lavoro a distanza – noto anche come “smart working” o “lavoro agile” – è diventata concreta.
In questo periodo la realtà socio economica italiana si è scontrata con una grave limitazione che colpisce l’intero Paese: la ridotta connettività (o la scarsa qualità della connessione, ove essa sia disponibile).
Parlare di lavoro agile o didattica a distanza sembra perciò quasi un eufemismo: a distanza di un anno circa, le infrastrutture di connessione dati non sono migliorate, e le difficoltà per le aziende e le pubbliche amministrazioni sono inevitabilmente cresciute.
Non sfuggono da questa logica le scuole, che hanno dovuto affrontare la nuova sfida basandosi su dotazioni e conoscenze quasi sempre limitate.
In questa breve analisi vengono considerati gli aspetti più interessanti e utili per valutare il lavoro a distanza nei suoi vari aspetti, legati soprattutto alla sicurezza e alla tutela dei dati.
Se in passato questo tipo di approccio lavorativo poteva considerarsi marginale, durante (e probabilmente dopo) l’emergenza pandemica potrebbe diventare una soluzione praticata comunemente in parallelo alla consueta attività in presenza.
Naturalmente l’adozione di questa nuova declinazione del classico “lavoro d’ufficio” ha spalancato la porta ad una vasta platea di esperti del cybercrime, che si sono scagliati contro numerosi obiettivi, rallentando o bloccando molte attività.
Spesso le soluzioni adottate per fronteggiare l’improvviso passaggio al lavoro da remoto si sono concretizzate nella semplice adozione della connettività RDP, oppure nel ricorso ai programmi di assistenza remota: in entrambi i casi le soluzioni, seppur funzionali, presentano alcuni problemi di sicurezza.
Nell’analisi che segue cercheremo di individuare le principali problematiche e le possibili soluzioni.
Adottare lo smart working: benefici e rischi
Pur riconoscendo l’indubbio beneficio del lavoro da remoto in termini di libertà nei tempi di svolgimento, utilizzo di strumenti personali, flessibilità organizzativa e continuità operativa, si rende necessaria una valutazione per capire quali siano i rischi legati a questa soluzione.
L’obiettivo a cui si deve puntare è ovviamente la tutela dei dati e della funzionalità delle dotazioni tecnologiche per entrambi i soggetti: lavoratore da una parte e P.A. dall’altra.
Come valido esempio di rischio, prendiamo in considerazione l’utilizzo dei dispositivi personali (computer, tablet, smartphone), noti anche come “BYOD”, acronimo derivante dall’inglese “utilizza il tuo dispositivo”.
Questi device non sono pienamente compatibili con le policy messe in atto dal responsabile IT, il quale, se da un parte deve tutelare la sicurezza dell’infrastruttura, dall’altra deve garantire allo smart worker una “non ingerenza” sul dispositivo che quest’ultimo mette a disposizione (e che potrebbe contenere informazioni e programmi di attinenza personale).
L’obiettivo di coniugare le due esigenze (sicurezza da un lato e tutela della privacy dall’altro) diventa quindi un elemento fondamentale sul quale costruire una infrastruttura di smart working affidabile.
Le comuni indicazioni in materia di sicurezza (ben descritte nei Cis Controls® di livello base) prevedono una precisa azione di monitoraggio dell’attività del dispositivo, per cui, se si intende perseguire l’obiettivo di un efficace controllo, necessariamente la P.A. dovrebbe fornire la dotazione tecnologica indispensabile per espletare tali funzioni.
In alternativa il dirigente e il responsabile IT potrebbero impartire precise disposizioni, ma l’eventualità che tali indicazioni possano essere disattese è comunque sempre possibile.
Le soluzioni adatte a coniugare le esigenze di sicurezza per l’istituzione e il diritto alla tutela della privacy per il lavoratore dovrebbero comunque prevedere alcune azioni facilmente attuabili:
- Limitare l’uso dei dispositivi personali solo per le attività che non prevedono il trattamento di dati sensibili
- Dotare i lavoratori di computer che seguono linee di “hardening” software ben definite
- Consentire le connessioni ai sistemi informatici solo attraverso canali sicuri
- Valutare con attenzione la provenienza delle connessioni, in modo da rendere tracciabili i collegamenti da remoto
- Garantire, in caso il dispositivo venisse perso o rubato, una procedura immediata di cancellazione di tutti i dati della P.A. in esso presenti
- Mettere in atto tutte le misure tecnologiche disponibili, al fine di limitare l’accesso da remoto ai segmenti di rete, ai server, e alle informazioni veramente necessarie all’espletamento dell’attività lavorativa da remoto
In sintesi, il fine ultimo è quello di perseguire gli obiettivi fondamentali per garantire la sicurezza dei dati nel loro insieme, tutelandone l’accessibilità e l’integrità, e garantendo il mantenimento della loro confidenzialità.
Agevolare lo smart working: indicazioni per un utilizzo consapevole dei dispositivi
Da oltre un anno, durante questa fase di incertezza e alternanza delle limitazioni alla mobilità, la domanda crescente di “lavoro agile” da parte di una buona percentuale di persone impiegate nelle P.A. (aumentata anche a causa del ricorso frequente alla DDI che ha limitato la mobilità dei genitori con figli in età scolare) ha proposto una sfida ai dirigenti delle scuole mai fronteggiata in passato.
La necessità di limitare il contatto tra le persone a causa dell’emergenza sanitaria ha evidenziato numerose carenze sia dal punto di vista organizzativo, sia per gli aspetti più strettamente tecnici.
Più in generale, possiamo affermare che la necessità di “business continuity” delle dotazioni tecnologiche (reti, server, connettività, ecc.) rappresenta l’elemento fondamentale per la sostenibilità dei servizi erogati da qualsiasi P.A.
Ne consegue che una azione di cybercrime subita da un sistema informatico può comportare interruzioni o ritardi delle attività lavorative, tali da compromettere l’intera struttura.
Come descritto nell’articolo del 14/04/2021, le intrusioni attuate dai cybercriminali hanno visto una crescita costante per tutto il 2020, con un vasto utilizzo di tecniche di “phishing” e “social engineering”, ricorrendo anche ai più sofisticati malware di tipo “trojan” e “ransomware”.
Traendo spunto dal DPCM dell’11/03/2020 che auspicava, all’articolo 1, comma 10, il “massimo utilizzo delle modalità di lavoro agile”, dirigente e responsabile IT dovrebbero valutare alcuni elementi importanti:
- Considerare il dispositivo personale come non completamente affidabile in termini di aggiornamento del sistema operativo, del software e degli applicativi
- Essere consapevole che il lavoratore potrebbe esportare sul proprio dispositivo file contenenti dati sensibili, che potrebbero essere sottratti o infettati da malware
- Verificare l’aggiornamento degli apparati di connettività (router e firewall), al fine di garantire connessioni prive di vulnerabilità
- Conferire permessi di accesso limitati alle reali necessità lavorative, evitando accessi generalizzati a risorse condivise (tipicamente l’area sul server dove vengono talvolta condivisi migliaia di file)
Il dirigente dovrebbe inoltre incaricare il responsabile IT di predisporre un costante processo di aggiornamento e formazione del personale, finalizzato alla sensibilizzazione degli utenti che accedono ai servizi tecnologici dell’istituto.
Non si rende dunque necessaria in questo caso l’adozione di misure tecniche, ma solo di azioni e comportamenti che permettono un uso sicuro e consapevole delle tecnologie IT.
In particolare, si dovrebbe puntare l’attenzione sui seguenti elementi:
- Eseguire un’analisi del divario delle abilità per inquadrare le capacità e il comportamento del personale
- Offrire un percorso formativo volto a colmare il divario identificato al punto precedente, per migliorare il comportamento nell’ambito della sicurezza
- Creare un programma di sensibilizzazione alla sicurezza, svolgendolo regolarmente e garantendo che vengano comprese le competenze e i comportamenti necessari per contribuire alla sicurezza dell’organizzazione: il programma dovrebbe essere comunicato in modo continuo e coinvolgente
- Garantire che il programma di sensibilizzazione sulla sicurezza dell’organizzazione venga aggiornato frequentemente (almeno annualmente) per far fronte a nuove tecnologie, minacce, standard e necessità istituzionali
- Evidenziare l’importanza dell’autenticazione sicura
- Impartire disposizioni chiare per l’identificazione dei diversi tipi di attacchi “social engineering”
- Impartire disposizioni su come identificare, archiviare, trasferire e distruggere correttamente le informazioni sensibili
- Chiarire le cause di diffusione involontaria dei dati in caso di perdita dei dispositivi mobili o l’invio di email alla persona sbagliata
- Esemplificare gli indicatori più comuni di un incidente informatico per una efficace segnalazione
Securizzare lo smart working: elementi fondamentali
Mediando dall’inglese il verbo “to secure” (rendere affidabile, rendere sicuro), ci si riferisce a tutte quelle pratiche da mettere in atto per garantire un’attività di lavoro da postazione remota, così come se ci si trovasse fisicamente alla propria scrivania.
L’obiettivo è facilmente individuabile, ma non altrettanto facilmente perseguibile, a causa di numerose limitazioni (soprattutto di carattere tecnico e logistico, ma anche di natura individuale) collegate a una a volte scarsa preparazione del personale.
Dovendo raggiungere specifici standard in termini di disponibilità delle risorse per le quali è necessaria una costante verifica di accesso sicuro, appare inevitabile come il primo elemento fondamentale sia progettare in modo preciso le modalità di connessione, e che tutti gli elementi tecnologici che intervengono nel processo rispondano a misure tecniche di sicurezza ben codificate (evitando soluzioni estemporanee o realizzate “al volo” per l’occasione).
In secondo luogo si dovranno considerare le possibili minacce, e di conseguenza predisporre le opportune contromisure in termini di protezione antivirus e controllo delle applicazioni.
La terza fase prevede l’attivazione sicura delle connessioni, avendo preventivamente concordato con il personale coinvolto un “codice di comportamento” improntato alla cautela e all’applicazione delle disposizioni ricevute.
In sintesi, l’obiettivo non dovrà essere esclusivamente la mera esecuzione del lavoro, ma si dovranno perseguire linee guida efficaci per contenere i rischi e garantire allo stesso tempo flessibilità al dipendente in smart working, non sottovalutando le potenziali problematiche e approcciando la questione sempre dal punto di vista “pessimistico”.
Ipotizzando lo scenario peggiore, si potranno raggiungere risultati ugualmente apprezzabili adeguando le policy e i vari controlli senza troppi compromessi.
Proseguire con lo smart working: evoluzione futura o ritorno al passato?
Per la seconda parte del 2021 l’augurio è quello di tornare alla normalità dopo mesi di emergenza sanitaria, ma lo sguardo che rivolgiamo al futuro ci farà pensare al “come” si riprenderà la quotidianità lavorativa.
Sicuramente molte P.A. e molte scuole (soprattutto quelle più piccole) non erano preparate ad affrontare l’emergenza, e spesso non erano organizzate per fornire l’assistenza necessaria.
La carenza dell’infrastruttura tecnologica (connettività internet, server, firewall) ha pesato notevolmente sull’efficacia dello smart working: non potendo dare risposte adeguate, chi ha lavorato da casa spesso si è sentito abbandonato, oltre che frustrato dagli innumerevoli inconvenienti tecnici.
L’ipotesi non troppo remota che un certo numero di dipendenti intenda continuare a svolgere (anche solo parzialmente) l’attività a casa, proporrà nuovamente le medesime problematiche non affrontate e non risolte in passato.
Solo da quest’anno, con l’avvio del “Piano Scuola”, il Ministero dell’Istruzione, con il protocollo di intesa firmato con il Ministero dello Sviluppo Economico nell’ottobre 2015, inizierà una capillare distribuzione di connettività internet fino a 1 Gigabit (BMG 100 Mbit) di tipo simmetrico, completa di posa in opera dei cablaggi e fornitura di un apparato (CPE) all’interno dell’edificio scolastico (manutenzione ed assistenza inclusa per 5 anni).
I tempi purtroppo non saranno brevi, e potrebbero passare molti mesi prima di ottenere questi nuovi servizi.
La possibilità di “ritorno al passato”, se pur possibile, si sovrappone alla “evoluzione futura” in modo quasi identico: non vi sono elementi sicuri per affermare se una delle due vie prevarrà sull’altra, ma di certo le amministrazioni non dovranno farsi trovare impreparate e potranno affrontare le difficoltà se riusciranno a superare le lacune.
In pratica, ciascun dirigente dovrebbe:
- Valutare la possibilità di creare una rete omogenea di scuole, al fine di considerare esigenze comuni e possibili soluzioni standardizzate
- Selezionare le ditte esterne che offrono assistenza tecnica, privilegiando l’esperienza in cybersecurity
- Con il responsabile IT, implementare il “risk asset management”, valutando la dotazione hardware e software, e non trascurando l’aspetto fondamentale della connettività
- Definire chiaramente gli obiettivi di sicurezza e le policy basate sul “chi deve fare cosa”
- Predisporre un piano di acquisti o di rinnovamento delle dotazioni tecnologiche su scala temporale adeguata
- Mettere in atto una campagna di formazione rivolta al personale, semplice ma efficace
- Impartire direttive chiare e facilmente attuabili
- Concordare orari e giorni precisi con chi adotterà le attività di “lavoro agile”
- Creare un meccanismo di feedback dedicato agli smart workers, per raccogliere opinioni, suggerimenti e segnalazioni
L’evoluzione della scuola moderna, soprattutto quella secondaria, richiede standard sempre più elevati, sia per gli aspetti didattici, sia per quelli amministrativi.
Negli ultimi dieci anni licei e istituti tecnici si sono trasformati, dal punto di vista delle esigenze IT, in vere e proprie imprese di medie dimensioni, avendo spesso in dotazione decine e anche centinaia di “punti tecnologici” quali computer, stampanti, router, switch, access point, videosorveglianza e telefonia su IP, ecc.
Per questo motivo garantire sicurezza e privacy deve diventare un obiettivo primario: nel tempo le scuole dovranno operare in ambienti realmente professionali (e non “improvvisati”), scegliendo dotazioni tecnologiche adeguate.