Quando si lavora in home office si esce dall’ambiente sicuro, organizzato e controllato dell’azienda. Servono allora specifici accorgimenti tecnici, organizzativi e personali per garantire la sicurezza dei dati aziendali.
In un home office non è possibile garantire la stessa sicurezza infrastrutturale dei locali aziendali. La postazione di lavoro potrebbe essere accessibile anche al resto della famiglia o ai visitatori, un altro familiare potrebbe usare lo stesso dispositivo destinato anche al lavoro e, se si attua una strategia BYOD («bring your own device»), i dati aziendali vengono memorizzati sui dispositivi privati del personale.
Quindi cosa deve fare un’azienda per gestire questa situazione particolare e garantire la sicurezza? Ecco cinque raccomandazioni per le aziende con dipendenti che lavorano in home office.
Il personale stesso può trovare alcune raccomandazioni nel nostro articolo «5 raccomandazioni per il personale in home office».
1. Direttiva per l’home office
La base indispensabile è fissare le regole che il personale che lavora in home office deve seguire riguardo alla riservatezza, all’integrità e alla disponibilità delle informazioni aziendali. Il consiglio è di stabilire tutto in una direttiva per l’home office e comunicarla al personale. La direttiva dovrebbe coprire almeno questi punti:
- aspetti generali, come orario di lavoro, tempi di reazione, strumenti di lavoro, misure di sicurezza, backup, protezione e comunicazione dei dati, canali di segnalazione, diritto di accesso all’home office, trasporto di informazioni e dispositivi, autorizzazioni;
- come comportarsi in caso di crisi: se molte persone lavorano in home office e le vie di comunicazione standard non sono disponibili o sono limitate, potrebbero esserci massicce interruzioni del flusso lavorativo e quindi una gestione molto limitata della crisi.
Per attuare con successo questa direttiva è indispensabile svolgere adeguate attività di sensibilizzazione, formazione e controllo.
2. Gestione dell’infrastruttura dell’home office e della connessione alla rete aziendale
Per l’infrastruttura dell’home office devono essere prescritte misure di sicurezza adeguate, soprattutto per quanto riguarda la gestione degli aggiornamenti, l’antivirus, il firewall, i sistemi operativi con separazione degli utenti, la crittografia ecc. L’azienda deve offrire supporto e consulenza a chi lavora in home office nella protezione dei dispositivi utilizzati, attraverso l’assistenza informatica e la persona a capo della sicurezza. Va assolutamente sottolineato che la connessione tra i dispositivi in home office e la rete aziendale deve essere protetta in modo specifico, ad esempio tramite una VPN con autenticazione a 2 fattori o connessione desktop remoto crittografata.
3. Trasporto di documenti e supporti dati
Inevitabilmente documenti, supporti dati e dispositivi informatici saranno trasportati dall’azienda all’home office. I dati e i dispositivi possono andare smarriti oppure essere sottratti, letti e/o manipolati da terzi non autorizzati, con conseguente perdita di riservatezza, integrità e disponibilità. A tal fine occorre prestare attenzione ai punti seguenti:
- i dispositivi aziendali, i supporti dati e i documenti devono essere portati dall’azienda all’home office seguendo il tragitto più breve possibile;
- se vengono portati all’home office documenti, supporti dati o dispositivi aziendali altamente sensibili (p. es. riservati o strettamente confidenziali), la persona superiore deve esserne a conoscenza, la persona in questione deve essere autorizzata a effettuare il trasporto e il processo deve essere documentato. Idealmente, i documenti sensibili dovrebbero essere trasportati e conservati in un contenitore chiudibile a chiave (p. es. una ventiquattrore).
4. Accesso a informazioni aziendali da parte di terzi
Se nell’home office vengono elaborate o conservate informazioni degne di protezione, queste devono essere protette anche nei locali privati. Se ai locali hanno accesso terze persone non sorvegliate, ciò rappresenta un rischio per la sicurezza delle informazioni. A tal fine occorre prestare attenzione almeno ai punti seguenti:
- la postazione di lavoro nell’home office dovrebbe trovarsi in un locale a sé stante, destinato esclusivamente all’attività professionale e, in particolare, chiudibile a chiave;
- i documenti dal contenuto riservato, i supporti dati e i dispositivi aziendali devono essere riposti in uno spazio dell’home office chiudibile a chiave (p. es. in un armadio o un cassetto della scrivania) non appena non sono più utilizzati per lavorare.
5. Smaltimento di supporti dati e documenti
Se nell’home office manca una forma di smaltimento adeguata per documenti e supporti dati, le informazioni aziendali possono finire facilmente nelle mani sbagliate attraverso i rifiuti domestici o la normale raccolta della carta straccia. A tal fine occorre prestare attenzione ai punti seguenti:
- i supporti dati e i dispositivi aziendali di regola devono essere smaltiti solo dal reparto IT dell’azienda, affinché vengano cancellati in modo sicuro e non siano più ripristinabili;
- i documenti cartacei devono essere smaltiti in modo corretto e conforme al loro livello di riservatezza anche nell’home office. A seconda del settore di attività e delle esigenze, potrebbe essere opportuno fornire al personale dei tritadocumenti.
L’home office (in passato chiamato anche «telelavoro») è una forma di flessibilizzazione del lavoro dal punto di vista spaziale e in genere anche temporale. Gli incarichi lavorativi, nella maggior parte dei casi, vengono svolti in un contesto privato (a casa). Si definisce invece «lavoro mobile» (in inglese «remote work») l’assenza di una postazione di lavoro fissa. In questo articolo, le due definizioni vengono combinate nel concetto di «home office».
