ANDIG

La P.A. alla prova dello smart working: tra misure di sicurezza e gestione dell’incidente informatico

Scritto da Alberto Pittau e Andrea Piras

In questi mesi, lo Smart working nella P.A. italiana è diventato, per lo più incidentalmente, lo strumento di lavoro di milioni tra impiegati e funzionari. I dipendenti pubblici stanno davvero usufruendo del cosiddetto lavoro agile oppure tale espressione ha finito per indicare qualcosa che solo in parte lo rispecchia, e che è quindi ancora lontano dall’essere ciò che, invece, già da tempo costituisce la prassi in altri paesi dell’Unione europea?

Si può affermare che lo smart working non sia semplicemente sinonimo di lavoro da casa né di telelavoro, ma piuttosto qualcosa di molto più articolato e complesso, che va a inglobare aspetti organizzativi aziendali, di gestione del personale, di sicurezza, ma anche di autonomia, responsabilizzazione e fiducia nel lavoratore.

L’ampio impiego del “lavoro agile” nella P.A., in questi mesi, è dato prettamente da necessità di contenimento pandemico che, nella maggior parte dei casi, impediscono ai dipendenti pubblici di recarsi fisicamente in ufficio, come espressamente stabilito dal D.L. 23 febbraio 2020 n.6 (clicca qui): una misura che, come sostenuto anche dal Ministro per la Pubblica Amministrazione Fabiana Dadone (clicca qui), ha lo scopo di avviare e rafforzare progetti di smart working nell’immediato. Tuttavia, essa resta pur sempre una misura evidentemente adottata in uno stato di totale emergenza, il quale ha quantomeno avuto il “merito” di accelerare il superamento del regime sperimentale fin qui adottato dalle Pubbliche Amministrazioni per quel che concerne l’utilizzo di forme di lavoro agile, così come delle soglie massime entro cui poterne fare ricorso, elevandolo a “strumento ordinario” (secondo quanto affermato nella direttiva 2/2020 del 12 marzo, consultabile qui).

Proprio dietro la necessità di garantire i servizi pubblici essenziali “da remoto” si possono annidare le insidie più grosse, problemi di sicurezza informatica che mettono a rischio il lavoro e i dati personali dei cittadini, particolarmente alla luce della possibilità – già prospettata nella direttiva del Ministero per la Pubblica Amministrazione  n.1/2020 (clicca qui) - per i dipendenti pubblici che si rendano disponibili, di utilizzare i propri dispositivi personali nello svolgimento della prestazione lavorativa.

Nell’ottica di prevenire e scongiurare scenari del genere, lo scorso 17 aprile 2020 l’AgID (Agenzia per l’Italia digitale) ha emanato una serie di linee guida “per lavorare online in sicurezza” (clicca qui), che comprendono accorgimenti quali:

  • Seguire prioritariamente le policy e le raccomandazioni dettate dall’amministrazione;
  • Utilizzare i sistemi operativi per i quali attualmente è garantito il supporto;
  • Effettuare costantemente gli aggiornamenti di sicurezza del sistema operativo;
  • Assicurarsi che i software di protezione del sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati;
  • Assicurarsi che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dall’amministrazione;
  • Non installare software provenienti da fonti/repository non ufficiali;
  • Bloccare l’accesso al sistema e/o configurare la modalità di blocco automatico quando ci si allontana dalla postazione di lavoro;
  • Non cliccare su link o allegati contenuti in e-mail sospette;
  • Utilizzare l’accesso a connessioni Wi-Fi adeguatamente protette;
  • Collegarsi a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui si conosce la provenienza (nuovi, già utilizzati, forniti dall’amministrazione);
  • Effettuare sempre il log-out dai servizi/portali utilizzati dopo che si è conclusa la sessione lavorativa.

Ciò nonostante, gli incidenti di sicurezza informatica, siano essi causati da social engineering (phishing, spamming ecc), o più semplicemente da un banalissimo errore dell’operatore (il famoso fattore H), sono in continuo aumento. Nel caso in cui ciò si verifichi, tuttavia, esiste una precisa procedura da seguire: saranno infatti il responsabile dei sistemi informativi e il responsabile legale dell’amministrazione in cui si è verificato l’incidente informatico - che ai sensi della circolare AgID n.1/2017 (clicca qui) debbono implementare le “misure minime di sicurezza informatica” – ad avere il compito di informare il CERT-PA (confluito dal 6 maggio 2020, insieme al CERT Nazionale, nello CSIRT Italia, clicca qui) e ad allegare alla segnalazione stessa dell’incidente informatico il modulo di implementazione delle misure minime adottate dall’amministrazione.

TAGS: #smart working, #covid-19, #pubblica amministrazione, #AgID, #lavoro agile, #linee guida AgID, #CSIRT Italia