Il PUNTO SU: Tavolo Tecnologie - LA CYBERSECURITY

regolamento_utilizzo_device

La cybersecurity è uno dei punti chiave da affrontare quando si parla di smart working. Buone pratiche e normativa di riferimento sono i due ambiti indagati dal Gruppo di Lavoro del Tavolo Tecnologie, con un focus sulla formazione e la sensibilizzazione per il miglioramento delle competenze analizzate a partire dall’esperienza maturata dalla Regione Emilia-Romagna. Vediamoli nel dettaglio.

 

Come orientarsi nell’universo digitale? Le buone pratiche

Orientarsi nel mondo digitale non è sempre facile. Soprattutto quando si parla di cybersecurity. Per questo sono state identificate delle vere e proprie linee guida, delle buone pratiche specifiche utili agli smart worker, che fanno riferimento a sei ambiti principali:

  1. regole di comportamento su internet
  2. protezione dei dati
  3. protezione dei dispositivi mobili
  4. sicurezza dei software
  5. gestione delle password
  6. gestione di applicazioni, aggiornamenti, sistemi informatici e device.

I sei ambiti relativi alle buone pratiche per la sicurezza informatica sono esemplificati nello schema qui sotto:

Buone_pratiche

 

La Normativa: linee guida e punti di attenzione

È fondamentale fare riferimento alle norme che hanno introdotto il lavoro agile nelle Pubbliche Amministrazioni (art. 14 legge n.124 del 2015), e che ne hanno fornito una prima regolamentazione (art.18 della legge n.81 del 2017). La normativa prevede che il datore di lavoro adotti politiche e introduca misure adeguate volte a garantire che i trattamenti dei dati personali effettuati in modalità smart working siano sempre conformi al GDPR.

In concreto, il datore di lavoro deve:

Integrare il registro dei trattamenti ai sensi dell’art. 30 GDPR con nuovi elementi (come trattamenti, banche dati, strumenti, esternalizzazioni, misure di sicurezza) che riguardino nello specifico le attività in smart working.

Valutare, in base a quanto disposto nel GDPR e nello Statuto dei Lavoratori, il potenziale invasivo dei sistemi che consentono il monitoraggio sull’utilizzo degli strumenti e della rete aziendale, eventualmente sottoponendoli a valutazione d’impatto (DPIA) ai sensi dell’art.33 GDOR.

Valutare la necessità di integrare la normativa, in virtù di eventuali nuovi trattamenti datoriali collegati allo smart working.

Integrare o riformulare, in funzione del contesto delocalizzato, le istruzioni per la sicurezza dei dati.

Intraprendere specifiche iniziative di formazione per fornire ai lavoratori opportuni strumenti di conoscenza e consapevolezza.

Ampliare l’ambito di autorizzazione degli amministratori di sistema.

Verificare che le soluzioni informatiche, eventualmente sviluppate internamente per consentire lo svolgimento dello smart working, siano conformi ai principi di privacy by design/by default e garantiscano la sicurezza dei dati ai sensi dell’art. 32 GPDR.

Verificare la contrattualistica e la conformità al GDPR delle soluzioni e delle piattaforme fornite da terzi, valutando la necessità o l’adeguatezza di eventuali accordi ai sensi dell’art. 28 del GDPR per la nomina a Responsabili del trattamento.

 

Un regolamento specifico sull’utilizzo dei device

Il datore di lavoro dovrebbe infine disporre di un regolamento che specifichi le modalità di utilizzo dei device e le finalità perseguite da un corretto sistema di cybersecurity (qui di seguito una rappresentazione visiva di sintesi). All’interno del regolamento sarà utile fornire linee guida precise per evitare la promiscuità nell’utilizzo dei device e per adottare modalità sicure per la gestione delle connessioni da remoto ai sistemi informatici aziendali.

Regolamenti_misure_device

 

------------------------------------------------------------------------------------------------------------------------------------------------------

FOCUS

Formare e sensibilizzare per migliorare le competenze: L’esperienza della Regione Emilia-Romagna

Il lavoro agile non può prescindere da un miglioramento delle dotazioni e delle competenze ICT e quindi da una formazione efficace, capace di incrementare le competenze digitali di tutte le persone. Esistono veri e propri percorsi formativi che insegnano a prendersi cura dei device tecnologici e degli strumenti di lavoro durante lo smart working e la Regione Emilia-Romagna ha erogato in quest’ambito due tipologie di training:

  1. Security Awareness Training, volti alla sensibilizzazione degli utenti con l’ausilio di campagne di phishing simulato. Questi Training formativi dovrebbero fornire ai dipendenti informazioni, metodologie e competenze che li rendano capaci di prevenire attacchi informatici e di reagire in modo efficace all’emergere di situazioni critiche.  Gli obiettivi chiave dei Security Awareness Training sono, infatti:
  • sensibilizzare, per rendere consapevoli i lavoratori delle minacce presenti online, accrescendo in questo modo la responsabilizzazione e riducendo l’errore umano.
  • garantire una conoscenza delle normative di riferimento (come la protezione dei dati definita dal regolamento europeo GDPR).
  • accrescere la consapevolezza sulle policy e le procedure definite dall’organizzazione.

Nel 2020 su questi ambiti sono stati erogati corsi e questionari su sicurezza generale, sicurezza dei dispositivi mobili, iniziative relative alla conformità, protezione della posta elettronica, le minacce dal web e interne, le password efficaci.

  1. Corsi in e-learning (SELF) relativi al tema privacy GDPR. Il corso fornisce un quadro normativo aggiornato in materia di protezione dei dati personali con quanto disposto dal GDPR, il Regolamento europeo 679/2016 e il decreto legislativo 101/2018.

 

Su quali argomenti verteranno i prossimi incontri del Tavolo Tecnologie? Per scoprirlo, seguiteci sul nostro canale Linkedin e non perdetevi notizie e approfondimenti sul nostro Sito Web.