In queste ore l’AgID ed il Dipartimento della Dipatimento della Funione Pubblica stanno fornendo suggerimenti per creare ambienti di telelavoro efficaci e sicuri. I testi pubblicati però, potevano essere meglio specificato. Vediamo un po’ di entrare in dettaglio.
AgID e il vademecum per lo smart working
Ci si aspetterebbe da una realtà come AgID che, oltre a specificare il “cosa” fare per mantenere in sicurezza un ambiente di lavoro digitale, fornisse indicazioni anche sul “come” farlo, dettando linee guida tecniche precise con requisiti minimi da seguire. La mancata adozione di queste linee guida potrebbe portare a fraintendimenti in misura anche piuttosto severa. Facciamo alcuni esempi per chiarire questo aspetto.
05-Verifica che gli accessi al sistema operativo siano protetti da una password sicura, conforme alle policy della tua PA
La politica di protezione mediante password è regolamentata da autorità europee (vedi le ultime modifiche NIST). Su un argomento del genere, tra l’altro, sarebbe il caso di stabilire una regola unica e comune che sancisca per le P.A. una linea guida oltre la quale vi è solo l’errore. Stabilire quanto deve essere lunga una password, quanto complessa, che caratteri, quale livello di durata deve avere, sono requisiti minimi che andrebbero stabiliti in modo unitario per evitare, come testimoniato dagli incessanti attacchi di Anonymous, di avere delle P.A. che impostano password inadeguate come “pippo” o “palma43”.
09-Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette
Cosa significa “adeguatamente”? Una rete protetta con chiave WEP non è chiaramente più sicura, a vantaggio di reti WPA2 AES/PSK: sarebbe stato utile fornire indicazioni su “come” verificare la sicurezza e su “cosa” chiedere al comparto tecnico.
La Funzione Pubblica e la guida pratica al lavoro Agile
Anche la Funzione pubblica ha provato a scrivere un testo, piuttosto generico, sul lavoro Agile. Ne è risultato una guida gradevole ma poco specifica in molti punti. Tra questi c’è un punto che invito tutti ad osservare. Ad un certo punto della guida è riportato quanto segue
Alternativamente si può ricorrere all’attivazione di una VPN (Virtual Private Network, una rete privata virtuale che garantisce privacy, anonimato e sicurezza attraverso un canale di comunicazione riservato) verso l’ente, oppure ad accessi in desktop remoto ai server.
Fonte: Ministero per la Pubblica Amministrazione – “Guida pratica al lavoro agile nella PA”
Gli esperti tecnici avranno notato una stonatura abbastanza seria rappresentata da “oppure ad accessi…”. Il termine “oppure” indica chiaramente una metodologia alternativa a quella precedente (la VPN) quando in realtà i due metodi andrebbero usati in contemporanea: si stabilisce un collegamento VPN (quindi sicuro) e solo in quel caso si stabilisce un collegamento in desktop remoto. In questo modo si evita che il collegamento in desktop remoto sia attivo per l’intera popolazione di internet, ma venga reso disponibile solo per i singoli utenti autorizzati.
I sistemi gestionali e il sistema di protocollo sono i software che fanno funzionare un’amministrazione. Se non sono raggiungibili da remoto può essere utile prevedere che i colleghi che restano in ufficio facciano da tramite per la gestione in ingresso e in uscita dei documenti e delle istanze, la realizzazione di ricerche, etc.
Fonte: Ministero per la Pubblica Amministrazione – “Guida pratica al lavoro agile nella PA”
Sarebbe stato utile, anche in coordinamento con quanto dichiarato dal Presidente Conte in termini di semplificazione, che questa regola avesse valore temporaneo, insistendo sulla necessità di rendere semplificati e digitali i servizi dell’Amministrazione. Una specifica, in tal senso, secondo me sarebbe stata doverosa per evitare che s’intendesse come normale la presenza fisica e la “manualità” in un lavoro che dovrebbe essere reso agile e digitale.
Conclusioni
Chi segue questo blog sa che io ripongo un’estrema fiducia e una grande stima in AgID. È un’istituzione importante per questo Paese se gli venisse concesso di avere maggiori capacità esecutive. Abbiamo parlato di questo aspetto molte volte in convegni e in vari articoli (ad esempio questo). Nel 2020, alle porte del perimetro cibernetico, in un mercato unico, con una fusione di tecnologie che forse rischiano di esser anche troppe, ci si aspetta che le istituzioni diano risposte chiare e precise anche al “come” realizzare servizi oltre che al “cosa fare”.
Questo apre anche un secondo fronte di analisi: quando l’Italia si deciderà ad offrire servizi cloud nazionali e servizi di videoconferenza integrati nella realtà delle P.A. e poi, magari, anche per i professionisti e i cittadini? Senza spingerli su soluzioni estere che rischiano implicitamente di violare i dettami del GDPR?
Sfruttiamo questo periodo di quarantena per aiutare P.A. e aziende concretamente: basta arbitrarietà nelle politiche di sicurezza, è ora che siano fornite regole chiare alle quali aggrapparsi per offrire servizi ICT sicuri, efficaci e degni di essere definiti servizi di smart working.
Riferimenti bibliografici utili
Guida Pratica al lavoro agile nelle P.A. – http://www.funzionepubblica.gov.it/articolo/dipartimento/12-03-2020/guida-pratica-al-lavoro-agile-nella-pa
Smart working: vademecum per lavorare online in sicurezza – https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/03/17/smart-working-vademecum-lavorare-online-sicurezza
