Anci Lombardia LogoRegione Lombardia Logo
Notizie

31|03

2020

di Maurizio Piazza

Comuni Digitali

Smart working e sicurezza informatica

Le recenti disposizioni normative e le direttive ministeriali per affrontare l’emergenza coronavirus hanno previsto il ricorso allo smart working (lavoro agile, telelavoro, ecc.) come modalità ordinaria ove applicabile. Per facilitarne l’attuazione nella pubblica amministrazione, le disposizioni vigenti hanno previsto che si possano utilizzare i dispositivi propri del dipendente (telefono, computer, tablet, connessione internet, ecc.) per svolgere il lavoro da casa “purché siano garantiti adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni”.

Affrontata la fase iniziale per mettere in condizione le persone di lavorare da casa connettendosi ai sistemi ed alle applicazioni della propria amministrazione, è necessario affrontare anche il tema “sicurezza” in questa nuova condizione operativa.

A tal proposito, il 17 marzo scorso, AGID ha reso disponibile alla pagina Smart working: vademecum per lavorare online in sicurezza “undici semplici raccomandazioni rivolte ai dipendenti pubblici che hanno adottato la modalità di lavoro agile per aiutarli a utilizzare al meglio e in sicurezza i propri dispositivi personali: pc, smartphone, tablet”.  (vedi anche “Risorse per approfondire” in coda all’articolo)

Ma, per meglio affrontare il tema sicurezza è necessario mettere a fuoco alcuni aspetti relativi al passaggio allo smart working ed in particolare della sua attuazione nella PA Locale.

I Comuni e lo smart working

Le amministrazioni si sono trovate ad affrontare il passaggio allo smart working con le dotazioni e l’organizzazione del proprio sistema informatico “così com’è” (as is).

Come raggiungere le applicazioni, con quale dotazione strumentale (notebook fornito dall’amministrazione, pc personale, smartphone, tablet, ecc.) e con quale connettività (ADSL, fibra, wifi, hot spot, ecc.), sono le variabili che ciascun ente ha dovuto considerare e valutare.

Attivare le connessioni

Sul come raggiungere le applicazioni ed i sistemi dell’amministrazione, le soluzioni tecniche adottabili considerando le diverse condizioni di partenza sono molteplici, identificate con sigle e terminologie a volte un po’ criptiche per i non addetti ai lavori (VDI, RDS, DaaS, VPN, …), ma che hanno tutte lo stesso scopo: consentire di interconnettere la propria postazione di lavoro “domestica” per operare da remoto come se ci si trovasse in ufficio, sulla propria “scrivania”. E farlo garantendo un livello di sicurezza adeguato oltre che la necessaria operatività.

In pratica, come sottolinea anche il Dipartimento della Funzione Pubblica nella sua Guida pratica al lavoro agile nella PA, si può adottare una soluzione fra quelle disponibili che risponde alle esigenze della propria realtà:

  1. Nel caso più favorevole “se le applicazioni dell’ente sono raggiungibili da remoto, ovvero sono in cloud, il dipendente può accedere tranquillamente da casa ai propri principali strumenti di lavoro.
  2. In alternativa, “si può ricorrere all’attivazione di una VPN (Virtual Private Network, una rete privata virtuale che garantisce privacy, anonimato e sicurezza) verso l’ente, oppure ad accessi in desktop remoto ai server”.
  3. E negli altri casi “sono anche disponibili "soluzioni ponte”, che permettono dal proprio pc personale di collegarsi alla propria postazione presso l’ente e quindi rendere l’esperienza come se si fosse in ufficio (purché il pc sia tenuto acceso anche in ufficio)”.

Per un esempio concreto, vedi (nel box) l’esperienza dei Comuni della Valle Sabbia

 

Lo smart working in Valle Sabbia

Quale esempio pratico dell’attivazione dello smart working in alcuni Comuni lombardi, anche di piccole dimensioni, vi presentiamo un ampio stralcio della comunicazione inviata da SECOVAL, società partecipata dalla Comunità Montana e dai Comuni della Valle Sabbia, agli enti che hanno richiesto l’attivazione dello smart working.

Buongiorno,
di seguito vi illustriamo le modalità tecniche con cui è possibile erogare i servizi informatici in modalità “smart working”.
Le modalità indicate di seguito cercano innanzitutto di preservare la sicurezza dei dati del vostro ente, cercando di rispettare nei limiti delle necessità dell’emergenza COVID-19, le misure minime di sicurezza indicate anche da AgID.

CASO A – L’ente utilizza il cloud “Teseo”

Se il vostro ente ha migrato l’infrastruttura informatica presso il cloud di Comunità Montana Valle Sabbia si trova nella situazione migliore per poter attivare il lavoro “agile”.

Poiché tutte le postazioni client sono raggiungibili in forma “virtuale” è possibile accedere da qualsiasi macchina domestica personale (pc, mac, tablet) alla propria postazione di lavoro senza nessun vincolo semplicemente a seguito dell’attivazione di una VPN dedicata.

Per la richiesta di VPN è necessario che il responsabile del dipendente o il Segretario Generale ne richiedano l’attivazione specificando i dettagli dell’utente attraverso il nostro help desk.

CASO B – L’ente non utilizza il cloud “Teseo”

Se il vostro ente non ha ancora migrato l’infrastruttura informatica presso il cloud di Comunità Montana Valle Sabbia è necessario prestare particolare attenzione alle misure minime di sicurezza per garantire adeguati livelli di sicurezza e protezione della rete del vostro ente.

Per l’attivazione della modalità "Smart Working" è necessario:

·         essere in possesso di un sistema operativo con versione Windows 8 o superiore;

·         avere le credenziali di amministratore;

·         che sul PC personale sia installato un software antivirus aggiornato.

Dato che il collegamento ai server del Comune viene effettuato da macchine ad uso privato, di cui non siamo amministratori di sistema, non è possibile garantire il rispetto TOTALE delle Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni di AGID https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict

A seguito dell’attivazione della VPN e dell’utilizzo di una postazione di lavoro personale possiamo garantire l’accesso a qualsiasi applicativo erogato in modalità web.

Sarà naturalmente garantito l’accesso alla posta elettronica tramite client o tramite webmail oltre che l’installazione di applicativi per la gestione di documenti firmati digitalmente.

Non è possibile garantire il funzionamento di siti web che necessitano un certificato di postazione (esempio: sito puntofisco non può essere accessibile dal pc personale poiché richiede la certificazione della macchina fisica).

Qualora invece il dipendente decida di utilizzare il proprio pc aziendale (previo accordo con l’ente) è garantito l’accesso a tutti gli applicativi installati sulla macchina dell’utente, naturalmente a seguito di attivazione di una VPN.

 

Operare da remoto

La situazione dei Comuni, rispetto ad altre amministrazioni pubbliche, è probabilmente la più complessa: nonostante tutti i Comuni si occupino, in proprio o in gestione associata, delle stesse cose – con le dovute differenze dimensionali e di collocazione geografica- la pratica ci insegna che sotto il profilo “informatico” ci possono essere ampie differenze fra le diverse realtà.

Le differenze forse più rilevanti sono sostanzialmente riconducibili:

  • all’organizzazione ed alla disponibilità di dati e documenti in formato digitale, accessibili e/o condivisibili in cloud, in cartelle sui server dell’amministrazione oppure salvati nella propria postazione di lavoro in ufficio - caso quest’ultimo da sconsigliare sempre, anche se praticato con lo scopo di voler garantirne la “riservatezza”.
  • al livello di informatizzazione generale degli uffici e dei servizi. In particolare, dal supporto fornito dalle applicazioni gestionali assieme al livello di digitalizzazione dei dati e dei documenti, degli atti e dei procedimenti, oltre che dalla disponibilità di servizi - a sportello e online - nativamente digitali, accessibili e fruibili da cittadini e imprese.

Questi fattori influiscono sulla capacità operativa del sistema – ed ancor più in modalità smart working - incidendo sull’efficacia, oltre che sull’efficienza, dell’azione amministrativa e nella gestione dei servizi.

Ciò che oggi, in condizioni di operatività di emergenza, si riscontra come limitazione o difficoltà, sia un insegnamento per come ci dovremo meglio organizzare una volta usciti dall’attuale emergenza.

Operare in sicurezza

Oltre all’operatività dobbiamo considerare gli aspetti legati alla sicurezza. Cambiare le modalità di lavoro e farlo in un periodo di emergenza non deve significare un abbassamento dei livelli di attenzione per garantire i livelli minimi di sicurezza richiesto dalla Pubblica Amministrazione. Anzi, forse è il momento giusto per mettere l’accento sul tema sicurezza, soprattutto sotto il profilo della consapevolezza delle persone.

Nella Guida citata, alla sezione “Sicurezza e Privacy”, sono indicate alcune semplici regole e fra queste, una ci ricorda che “L’accesso a dati aziendali non è più rischioso in smart working, la pericolosità dipende da come lo strumento e l’operatore gestiscono il dato, non dalla locazione della persona che lavora”.

Infatti, la maggior parte degli altri punti sono indicazioni per un corretto comportamento:

  • non salvare documenti di ufficio sul pc personale, se non temporaneamente e poi cancellarli immediatamente (specie se contengono informazioni personali);
  • porre attenzione nell’inviare foto per far vedere che si è in smart working con sul monitor dati personali;
  • in caso ci si allontani dal pc, bloccare il pc in modo che non sia utilizzabile da altri
  • non incollare post‐it sul pc personale con le password per accedere agli applicativi di lavoro;

mentre un paio sono più specificamente “informatiche”:

  • è buona norma avere sistema operativo e antivirus aggiornati;
  • creare un account specifico per l’uso nei momenti di lavoro, se il pc è usato anche da familiari o conviventi.

Smart working e sicurezza informatica nella PA (locale)

Nel caso della pubblica amministrazione, occorre gestire da un lato il tema della protezione dei dati e della privacy per le differenti tipologie di informazioni trattate, dall’altro il tema della riservatezza – nei casi richiesti – o del suo aspetto “opposto” in termini di trasparenza e pubblicità.

Un esempio è contenuto nell’articolo 73 del recente DPCM  in merito allo svolgimento delle sedute di Giunta e di Consiglio in videoconferenza,  vien detto che “possono riunirsi secondo tali modalità, nel rispetto di criteri di trasparenza e tracciabilità previamente fissati … purché siano individuati sistemi che consentano di identificare con certezza i partecipanti, sia assicurata la regolarità dello svolgimento delle sedute e vengano garantiti lo svolgimento delle funzioni di cui all’articolo 97 del decreto legislativo 18 agosto 2000, n. 267 , nonché adeguata pubblicità delle sedute, ove previsto, secondo le modalità individuate da ciascun ente”.

La sicurezza non è solo “informatica”

Quindi le raccomandazioni non possono che essere di doppia natura: informatiche e tecniche, ma anche operative e procedurali. Anzi, considerando che gli aspetti tecnologici sono ampiamente conosciuti, anche nella loro complessità, sarà necessario concentrassi sulla revisione dei processi per poter integrare con efficacia i nuovi sistemi a supporto della mutata modalità operativa. Vedi l’esempio richiamato per le sedute in videoconferenza degli organi collegiali.

Non è superfluo ribadire che anche nei sistemi informatici il fattore umano è fondamentale, se non decisivo, per la mitigazione del rischio e per la sicurezza.

Pertanto, sono da valutare attentamente le necessità di fornire adeguata formazione ed assistenza al personale ed agli amministratori che si troveranno ad operare con strumenti nuovi o con strumenti conosciuti ma normalmente utilizzati in contesti differenti.

Risorse per approfondire

Raccomandazioni per uno smart working responsabile (e sicuro)

Le raccomandazioni pubblicate da AgID (vedi box), molto pratiche e ispirate prima di tutto al buon senso, “sono state elaborate dal Cert-PA di AgID, sulla base delle misure minime di sicurezza informatica per le pubbliche amministrazioni” ed hanno come scopo di sensibilizzare i dipendenti pubblici ad operare “con comportamenti responsabili, anche quando utilizzano dotazioni personali”.

Le 11 raccomandazioni di AgID per uno Smart working sicuro

1.       Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione

2.       Utilizza i sistemi operativi per i quali attualmente è garantito il supporto

3.       Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo

4.       Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati

5.       Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione

6.       Non installare software proveniente da fonti/repository non ufficiali

7.       Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro

8.       Non cliccare su link o allegati contenuti in email sospette

9.       Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette

10.   Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione)

11.   Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

 

Articoli su smart working e sicurezza informatica

Sulla stampa specializzata, ma anche su quella di più larga diffusione, il tema smart working è stato molto trattato, anche per le sue implicazioni relative alla sicurezza.

Ne sono stati pubblicati molti con differenti approcci e livelli di approfondimento, per differenti tipologie di lettori anche con orientamento tecnico. Di seguito una breve selezione fra quelli disponibili in rete:

E con un taglio più generale:

Per chiudere con un articolo “Il team nobilita il lavoro agile” segnalato da AgID e pubblicato il 30 marzo 2020 su Italia Oggi.

 

Non sono presenti aree di interesse

Commenti

Nessun commento

Non c'è ancora nessun commento

Lascia un commento

Occorre effettuare il login per inviare un commento

In collaborazione con

Affari Regionali Aria - Azienda Regionale per l'Innovazione e gli Acquisti