L’errore può causare attacchi informatici

Il cosiddetto smart working consente ai dipendenti di lavorare per lunghi periodi di tempo al di fuori degli uffici, in un contesto dove sono inevitabilmente meno controllati dal datore di lavoro e hanno un minore supporto dalle strutture aziendali (ad esempio il supporto It).

Questa situazione rischia di “legittimare” comportamenti che possono mettere a rischio la conformità dell’azienda alla normativa sul trattamento dei dati personali e anche facilitare un cyber attacco con notevoli conseguenze negative sull’operatività dell’azienda e ingenti danni economici.

La Vpn è sempre tracciata
La maggior parte dei computer aziendali sono dotati di una cosiddetta Vpn che consente il collegamento del dispositivo da remoto ai sistemi informatici della società, in modo da lavorare in un ambiente virtuale protetto, proprio come se fossimo in ufficio. Senza sfociare in attività di monitoraggio dei dipendenti, ogni attività che avviene in questo ambiente può essere tracciata e quindi ricostruita per verificare eventuali perdite di dati, comportamenti illeciti o in violazione delle policy della società ed è protetta dai sistemi di sicurezza aziendali.

L’uso della posta personale
Qualora invece per maggiore “comodità” o perchè la connessione a Internet dell’abitazione non è stabile, un dipendente inviasse i documenti lavorativi sulla sua posta elettronica privata per lavorarci con il computer privato, tali documenti non saranno più soggetti ad alcun controllo o protezione da parte dell’azienda. Questi documenti probabilmente risiederanno sulla posta elettronica del dipendente per sempre, anche dopo la cessazione del rapporto lavorativo. E questa condotta, in caso di documenti che non contengono dati personali comporterà quantomeno la perdita di informazioni riservate aziendali.

Quando invece ad esempio contengono dati di clienti e/o dipendenti comporta anche una violazione dei dati personali, il data breach.

Esistono i cosiddetti data loss prevention system (Dlp) che analizzano il traffico dati in uscita per bloccare gli allegati contenenti numerosi dati personali. E molte aziende hanno bloccato l’accesso dai computer aziendali ai sistemi più comuni di posta privata e alle piattaforme di cloud storage, disabilitando anche le porte Usb. L’obiettivo è prevenire la violazione, grazie a sistemi che impediscano di eseguirla. Le soluzioni tecniche però non possono limitare ogni possibile violazione, anche perchè altrimenti rischierebbero di generare un monitoraggio dei dipendenti che farebbe sorgere problematiche sia giuslavoristiche che di conformità alla normativa sul trattamento dei dati personali.

Gli attacchi informatici
Ciò è rilevante anche perchè i cyber criminali stanno approfittando di questi comportamenti. L’errore umano è da sempre la principale fonte di cyber attacchi. Gli attacchi di phishing stanno diventando sempre più frequenti perchè approfittano dell’ingenuità dei dipendenti per sottrargli le password di accesso ai sistemi informatici e, una volta entrati nel sistema di posta aziendale, sottrarre dati o commettere frodi a danno dell’azienda.

E anche gli attacchi ransomware approfittano di una debolezza dei sistemi aziendali, spesso causata da un comportamento scorretto di un dipendente, per entrare negli stessi e criptare in pochi minuti tutti i dati. Ma non si limitano a questo. Negli ultimi mesi hanno incominciato a eseguire una copia dell’intero database aziendale prima di procedere alla criptazione. In questo modo, possono ricattare l’azienda, minacciando di pubblicare i dati sul cosiddetto dark web, amplificando il rischio di danni in termini di sanzioni privacy, pregiudizio reputazionale e azioni da parte dei clienti.

L’unica soluzione è lavorare anche sulla cultura aziendale, creando una comprensione dei rischi a cui alcuni comportamenti possono esporre l’azienda, un senso di responsabilizzazione tramite training e la creazione di un sistema organizzativo di compliance privacy. Tutto questo non deve essere una mera formalità, ma operare effettivamente, anche in un rapporto a distanza.