Uso personale del computer aziendale: i rischi per la sicurezza
Con la recente diffusione dello smart working, la maggior parte delle aziende fornisce ai dipendenti un computer aziendale da usare anche a casa, che molti impiegano anche per scopi personali durante le pause. Se però in ufficio questo impiego è per forza di cose più controllato, a casa il rischio di abuso è più frequente. Può capitare anche che per motivi lavorativi qualche dipendente porti il laptop con sé in vacanza. Tutte queste situazioni però aumentano i rischi per la sicurezza, soprattutto se ci si connette a reti Wi-Fi pubbliche, si perde il dispositivo o si subisce un furto.
Usare il computer per scopi personali, in particolare, può esporre l'azienda a rischi significativi, che spesso vengono sottovalutati. Incappare in un virus mentre si naviga per motivi personali può realmente mettere a rischio la rete aziendale, con conseguenze anche disciplinari. Una situazione non certo piacevole!
Per questo è importante che le aziende stabiliscano regole chiare sugli usi consentiti. Esse hanno il diritto e il dovere di garantire un uso sicuro dei dispositivi aziendali, adottando misure di protezione. Allo stesso tempo, è responsabilità del dipendente seguire buone pratiche e non mettere a rischio la sicurezza con comportamenti scorretti.
Uso pc aziendale, dai lo fanno tutti!
Questo è quello che dicono le persone, evitando di pensare ai rischi concreti di un uso improprio dei dispositivi. Ce lo racconta un sondaggio condotto da Censuswide nel Regno Unito e recentemente pubblicato dal leader per la sicurezza informatica ESET.
Lo studio rivela che il 15% degli intervistati ritiene che tutti infrangano le regole di tanto in tanto e quindi pensa di poterlo fare a sua volta.
Il dato interessante è che la maggior parte degli intervistati sottovaluta i rischi che corre nel fare un uso improprio del laptop aziendale e pensa che la responsabilità della protezione spetti primariamente all’azienda.
Il 90% degli intervistati accede al proprio laptop aziendale per svolgere attività personali, e fin qua ci non ci sarebbero grossi problemi: se esistono - come dovrebbero - chiare indicazioni sulle attività consentite, ci può stare che un dipendente consulti le notizie online nella pausa pranzo.
Eppure, guardando i dati seguenti verrebbe da chiedersi:
Ma tutto bene???
utenti che ammettono di accedere al dark web dal proprio laptop di lavoro
utenti che lo usano per guardare contenuti per adulti
utenti che si dedicano quotidianamente al gioco d'azzardo online
(eh sì, proprio dal laptop aziendale!)
Ciliegina sulla torta: di questi amanti del rischio quasi uno su cinque non ha alcun software di sicurezza informatica sul proprio laptop da lavoro.
Quindi no, non va tanto bene: senza misure di sicurezza adeguate, queste azioni potrebbero esporre i dati aziendali a gravi violazioni.
Allora che fare?
I team IT devono implementare processi per gestire da remoto i dispositivi aziendali dei dipendenti, proteggendo così le attività dell'azienda. Allo stesso tempo, è fondamentale che i dipendenti siano consapevoli dei rischi per la sicurezza informatica e del loro ruolo nel ridurli, ad esempio evitando di visitare siti poco sicuri e mantenendo aggiornati i propri dispositivi. Questo ci porta a parlare del controllo sui pc aziendali.
PC aziendale sotto controllo: stop alla paranoia
Il controllo del pc aziendale è un tema molto sentito e temuto da molti, soprattutto dopo lo sdoganamento generalizzato dello smartworking: la ricerca pubblicata da Eset rileva che oltre un terzo degli intervistati considererebbe una violazione della propria privacy se il datore di lavoro potesse monitorare tutte le attività personali svolte sul laptop aziendale.
Ma dobbiamo fare chiarezza: per la legge il controllo diretto dei propri dipendenti attraverso l’utilizzo di strumenti informatici non è una cosa che si può fare senza regole.
Per prima cosa, cosa si intende per controllo?
L'articolo 4 dello Statuto dei Lavoratori (Legge n. 300/1970) limitava il controllo a distanza da parte del datore di lavoro sull'attività dei dipendenti, vietando controlli generalizzati senza previa comunicazione. Il “Jobs Act” (D.Lgs. n. 151/2015, art. 23) ha introdotto modifiche importanti: gli impianti audiovisivi e i sistemi di controllo a distanza possono ancora essere utilizzati solo per motivi organizzativi, produttivi e di sicurezza, previa comunicazione, ma gli strumenti di lavoro come laptop e tablet possono essere monitorati senza autorizzazioni particolari.
Il datore di lavoro deve comunque garantire la riservatezza e la protezione dei dati personali (D.Lgs. n. 196/2003). Lo abbiamo visto ad esempio nel nostro articolo sulle mail degli ex-dipendenti, che non possono essere consultate dopo la cessazione del rapporto di lavoro.
Inoltre, il datore di lavoro deve informare i dipendenti sugli utilizzi leciti e corretti degli strumenti di lavoro e sulle modalità di effettuazione del controllo a distanza.
Conclusioni: l’importanza delle misure di cybersecurity e della formazione
Come abbiamo sottolineato nel nostro articolo sulla cyber security nell'Industria 4.0, grazie allo sviluppo dei servizi di sicurezza informatica le aziende hanno a disposizione strumenti di controllo molto efficaci per monitorare possibili minacce alla sicurezza, come l'accesso a siti non sicuri o il download di software rischiosi. L'uso di software di data collection e scanning tools permette di tenere sotto controllo in tempo reale l'infrastruttura IT, evidenziando eventuali situazioni di rischio. Questi strumenti offrono una visione completa della conformità e dello stato di salute dell'infrastruttura, aiutando a individuare vulnerabilità e risolverle rapidamente. Tuttavia, non bisogna dimenticare che in ogni azienda la formazione dei dipendenti è essenziale per prevenire i rischi legati all'uso improprio dei dispositivi aziendali.