di Maurizio Piazza (esperto ICT ReteComuni)
Le recenti disposizioni normative e le direttive ministeriali per affrontare l’emergenza coronavirus hanno previsto il ricorso allo smart working (lavoro agile, telelavoro ecc.) come modalità primaria ove applicabile.
Per facilitarne l’attuazione nella pubblica amministrazione, le disposizioni vigenti hanno previsto che si possano utilizzare i dispositivi propri del dipendente (telefono, computer, tablet, connessione internet ecc.) per svolgere il lavoro da casa “purché siano garantiti adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni”.
Affrontata la fase iniziale per mettere in condizione le persone di lavorare da casa, connettendosi ai sistemi e alle applicazioni della propria amministrazione, è necessario affrontare anche il tema “sicurezza” in questa nuova condizione operativa.
A tal proposito, il 17 marzo scorso, AgID ha reso disponibile alla pagina Smart working: vademecum per lavorare online in sicurezza “undici semplici raccomandazioni rivolte ai dipendenti pubblici che hanno adottato la modalità di lavoro agile per aiutarli a utilizzare al meglio e in sicurezza i propri dispositivi personali: pc, smartphone, tablet”. (vedi anche “Risorse per approfondire” in coda all’articolo).
Ma, per meglio affrontare il tema sicurezza è necessario mettere a fuoco alcuni aspetti relativi al passaggio allo smart working e in particolare della sua attuazione nella PA Locale.
Le amministrazioni si sono trovate ad affrontare il passaggio allo smart working con le dotazioni e l’organizzazione del proprio sistema informatico “così com’è” (as is).
Come raggiungere le applicazioni, con quale dotazione strumentale (notebook fornito dall’amministrazione, pc personale, smartphone, tablet, ecc.) e con quale connettività (ADSL, fibra, wifi, hot spot, ecc.), sono le variabili che ciascun ente ha dovuto considerare e valutare.
Sul come raggiungere le applicazioni ed i sistemi dell’amministrazione, le soluzioni tecniche adottabili considerando le diverse condizioni di partenza sono molteplici, identificate con sigle e terminologie a volte un po’ criptiche per i non addetti ai lavori (VDI, RDS, DaaS, VPN, …), ma che hanno tutte lo stesso scopo: consentire di interconnettere la propria postazione di lavoro “domestica” per operare da remoto come se ci si trovasse in ufficio, sulla propria “scrivania”. E farlo garantendo un livello di sicurezza adeguato oltre che la necessaria operatività.
In pratica, come sottolinea anche il Dipartimento della Funzione Pubblica nella sua Guida pratica al lavoro agile nella PA, si può adottare una soluzione fra quelle disponibili che risponde alle esigenze della propria realtà:
nel caso più favorevole “se le applicazioni dell’ente sono raggiungibili da remoto, ovvero sono in cloud, il dipendente può accedere tranquillamente da casa ai propri principali strumenti di lavoro”;
in alternativa, “si può ricorrere all’attivazione di una VPN (Virtual Private Network, una rete privata virtuale che garantisce privacy, anonimato e sicurezza) verso l’ente, oppure ad accessi in desktop remoto ai server”;
negli altri casi “sono anche disponibili "soluzioni ponte”, che permettono dal proprio pc personale di collegarsi alla propria postazione presso l’ente e quindi rendere l’esperienza come se si fosse in ufficio (purché il pc sia tenuto acceso anche in ufficio)”.
Per un esempio concreto, vedi (nel box) l’esperienza dei Comuni della Valle Sabbia
Lo smart working in Valle Sabbia
di seguito vi illustriamo le modalità tecniche con cui è possibile erogare i servizi informatici in modalità “smart working”. CASO A – L’ente utilizza il cloud “Teseo”
|
La situazione dei Comuni, rispetto ad altre amministrazioni pubbliche, è probabilmente la più complessa: nonostante tutti i Comuni si occupino, in proprio o in gestione associata, delle stesse cose – con le dovute differenze dimensionali e di collocazione geografica- la pratica ci insegna che sotto il profilo “informatico” ci possono essere ampie differenze fra le diverse realtà.
Le differenze forse più rilevanti sono sostanzialmente riconducibili:
all’organizzazione e alla disponibilità di dati e documenti in formato digitale, accessibili e/o condivisibili in cloud, in cartelle sui server dell’amministrazione oppure salvati nella propria postazione di lavoro in ufficio - caso quest’ultimo da sconsigliare sempre, anche se praticato con lo scopo di voler garantirne la “riservatezza”;
a livello di informatizzazione generale degli uffici e dei servizi. In particolare, dal supporto fornito dalle applicazioni gestionali assieme al livello di digitalizzazione dei dati e dei documenti, degli atti e dei procedimenti, oltre che dalla disponibilità di servizi - a sportello e online - nativamente digitali, accessibili e fruibili da cittadini e imprese.
Questi fattori influiscono sulla capacità operativa del sistema – ed ancor più in modalità smart working - incidendo sull’efficacia, oltre che sull’efficienza, dell’azione amministrativa e nella gestione dei servizi.
Ciò che oggi, in condizioni di operatività di emergenza, si riscontra come limitazione o difficoltà, sia un insegnamento per come ci dovremo meglio organizzare una volta usciti dall’attuale emergenza.
Oltre all’operatività dobbiamo considerare gli aspetti legati alla sicurezza. Cambiare le modalità di lavoro e farlo in un periodo di emergenza non deve significare un abbassamento dei livelli di attenzione per garantire i livelli minimi di sicurezza richiesto dalla Pubblica Amministrazione. Anzi, forse è il momento giusto per mettere l’accento sul tema sicurezza, soprattutto sotto il profilo della consapevolezza delle persone.
Nella Guida citata, alla sezione “Sicurezza e Privacy”, sono indicate alcune semplici regole e fra queste, una ci ricorda che “L’accesso a dati aziendali non è più rischioso in smart working, la pericolosità dipende da come lo strumento e l’operatore gestiscono il dato, non dalla locazione della persona che lavora”.
Infatti, la maggior parte degli altri punti sono indicazioni per un corretto comportamento:
non salvare documenti di ufficio sul pc personale, se non temporaneamente e poi cancellarli immediatamente (specie se contengono informazioni personali);
porre attenzione nell’inviare foto per far vedere che si è in smart working con sul monitor dati personali;
in caso ci si allontani dal pc, bloccare il pc in modo che non sia utilizzabile da altri
non incollare post‐it sul pc personale con le password per accedere agli applicativi di lavoro;
mentre un paio sono più specificamente “informatiche”:
è buona norma avere sistema operativo e antivirus aggiornati;
creare un account specifico per l’uso nei momenti di lavoro, se il pc è usato anche da familiari o conviventi.
Nel caso della pubblica amministrazione, occorre gestire da un lato il tema della protezione dei dati e della privacy per le differenti tipologie di informazioni trattate, dall’altro il tema della riservatezza – nei casi richiesti – o del suo aspetto “opposto” in termini di trasparenza e pubblicità.
Un esempio è contenuto nell’articolo 73 del recente DPCM in merito allo svolgimento delle sedute di Giunta e di Consiglio in videoconferenza, vien detto che “possono riunirsi secondo tali modalità, nel rispetto di criteri di trasparenza e tracciabilità previamente fissati … purché siano individuati sistemi che consentano di identificare con certezza i partecipanti, sia assicurata la regolarità dello svolgimento delle sedute e vengano garantiti lo svolgimento delle funzioni di cui all’articolo 97 del decreto legislativo 18 agosto 2000, n. 267 , nonché adeguata pubblicità delle sedute, ove previsto, secondo le modalità individuate da ciascun ente”.
Quindi le raccomandazioni non possono che essere di doppia natura: informatiche e tecniche, ma anche operative e procedurali. Anzi, considerando che gli aspetti tecnologici sono ampiamente conosciuti, anche nella loro complessità, sarà necessario concentrassi sulla revisione dei processi per poter integrare con efficacia i nuovi sistemi a supporto della mutata modalità operativa. Vedi l’esempio richiamato per le sedute in videoconferenza degli organi collegiali.
Non è superfluo ribadire che anche nei sistemi informatici il fattore umano è fondamentale, se non decisivo, per la mitigazione del rischio e per la sicurezza.
Pertanto, sono da valutare attentamente le necessità di fornire adeguata formazione ed assistenza al personale ed agli amministratori che si troveranno ad operare con strumenti nuovi o con strumenti conosciuti ma normalmente utilizzati in contesti differenti.
Raccomandazioni per uno smart working responsabile (e sicuro)
Le raccomandazioni pubblicate da AgID (vedi box), molto pratiche e ispirate prima di tutto al buon senso, “sono state elaborate dal Cert-PA di AgID, sulla base delle misure minime di sicurezza informatica per le pubbliche amministrazioni” ed hanno come scopo di sensibilizzare i dipendenti pubblici ad operare “con comportamenti responsabili, anche quando utilizzano dotazioni personali”.
Sulla stampa specializzata, ma anche su quella di più larga diffusione, il tema smart working è stato molto trattato, anche per le sue implicazioni relative alla sicurezza.
Ne sono stati pubblicati molti con differenti approcci e livelli di approfondimento, per differenti tipologie di lettori anche con orientamento tecnico. Di seguito una breve selezione fra quelli disponibili in rete:
Smart working, come garantire sicurezza informatica e privacy pubblicato il 02 Mar 2020 sul sito Agendadigitale.eu
Smart working nella PA, come farlo in tutta sicurezza pubblicato il 26 Mar 2020 sul sito Agendadigitale.eu
Smart working, telelavoro e accesso remoto: soluzioni di sicurezza pubblicato il 26 Mar 2020 sul sito Cybersecurity360
E con un taglio più generale:
Smart working, ecco cosa bisogna sapere per tenere al sicuro i dati pubblicato sul Sole 24 Ore del 27 marzo 2020.
Coronavirus, smart working in sicurezza: come tenere il pc lontano dai virus informatici pubblicato su Repubblica
Per chiudere con un articolo “Il team nobilita il lavoro agile” segnalato da AgID e pubblicato il 30 marzo 2020 su Italia Oggi.