"Work At Home" vs "Work From Home" & Cybersecurity
"Lavorare a Casa" versus "Lavorare da Casa"
Fra le pieghe della soddisfazione pel raggiungimento di un traguardo personalmente importante emergono considerazioni tutt’altro che sentimentalistiche sul Telelavoro, che caratterizza la mia attività sin da prima che ne conoscessi anche solo il nome, ed una specifica, conseguente, sulla Sicurezza Digitale del lavoro in remoto…
Fra qualche mese, precisamente in Luglio 2018, la mia Partita IVA compirà vent’anni (Codice Ateco 620909: “Altre attività dei servizi connessi alle tecnologie dell’informatica“); all’incirca nello stesso periodo mi troverò alle prese con la Dichiarazione dei Redditi nella quale finirà quello prevalente da dipendente, ormai da quasi tre lustri, presso un Ente di Formazione che sta a 12 minuti a piedi da casa, mentre prima — bhé, non è proprio vero: per un po’ sono stato a part-time in entrambe le scarpe — ero stato dipendente d’una società di consulenza con sedi a Milano e Brescia, in cui, però, mi presentavo una volta ogni due settimane. È in progetto un bilanciamento del tempo a mia disposizione più favorevole alla prima attività ma per il momento continuo ad essere:
- Un “homepreneur” (lavoratore autonomo) per qualche ora nei giorni feriali, di più nei pre-festivi, e comunque…
- Incontrando clienti e collaboratori presso i sempre più diffusi luoghi per il Social Officing;
- Incontrandone altri, nonché i clienti di clienti ed i fornitori dei clienti, presso le loro sedi — e talvolta entrando nelle loro reti (Multi-Homing);
- Coltivando stabili contatti sia con le aziende — ad un certo punto sono stato nello stesso momento fornitore di una ditta inglese ed una francese, ad esempio (Soft Shoring) — che con i partner (Network Telecollaborativo) non raggiungibili con una trasfertina.
- Un dipendente co-localizzato per molte ore durante i giorni feriali ma alla bisogna…
- …anche remotizzato nei feriali, nei pre-festivi e pure nei festivi o durante i periodi di ferie…
- Prevalentemente a casa → “Telelavoro Domiciliare“;
- Talvolta nelle altre sedi dell’Ente → “Telelavoro Office-to-Office“;
- Talvolta durante i tragitti, in treno, per andare nelle altre sedi → “Telelavoro Mobile“.
In buona sintesi non è dato sapere se sia nato prima l’uovo o la gallina, cioè se una situazione tanto articolata mi sia capitata perché ne avevo studiato le caratteristiche oppure mi sia messo ad approfondire, all’epoca, per tentare di raccapezzarmici. Resta il fatto che a Luglio, essendomi nel tempo ripassato tutti i tipi di Telelavoro, compirò pure il ventesimo anniversario come Telelavoratore Nomade — benchè io insista di gran lunga a preferire “Workshifter“… — e persino informale, visto che le mie attività Off Site vengon fatte apparire come “trasferta” a casa con eventuali ore supplementari…
Resta il fatto che sul Telelavoro negli anni ho accumulato anche una certa esperienza, sul campo, oltreché una certa conoscenza…
“Lavoro a Domicilio” e “Telelavoro Domiciliare“
Giuridicamente parlando almeno in Italia il Lavoro a Domicilio è questione artigianal-manifatturiera, da cui forse è discesa la disturbante inerzia normativa che ha accompagnato il riconoscimento di lavori, impiegatizi, prestabili anche a casa. È dimostrato storicamente e sociologicamente, invece, che, evidentemente in modi fuorilegge, da ben prima che fosse disponibile una qualche tecnologia propedeutica ad un Telelavoro qualsiasi, sono esistiti, da un lato, prestatori che si portavano il lavoro a casa e, dall’altro, datori tutt’altro che preclusi a tale opportunità. Quando le tecnologie sono state disponibili, e poi sono diventate vieppiù potenti, semplicemente sono cresciute in parallelo le possibilità di sincronia fra gli operatori Off Site e quelli On Site: oltre al “lavoro a domicilio” è stato sempre più viabile anche il “lavoro da domicilio“, checché alcune impostazioni giuridiche imperscrutabilmente l’abbiano deciso di trascurare…
Io percepisco nettamente, nella mia pratica quotidiana, sia come lavoratore autonomo che come dipendente, che il fondamentale discrimine è fra “Attività Sincrone” ed “Attività Asincrone“,1 in un continuum che va dalle attività che imprescindibilmente non possono essere compiute in solitudine a quelle che, altrettanto imprescindibilmente, lo possono essere, o quelle, infine, che è possibile terminare efficientemente ed efficacemente solo a distanza sufficiente dalle distrazioni dell'”office noise“ in senso lato. Posso fare anche qualche esempio pratico:
- Una volta chiariti i requisiti di un progetto in solitaria con un cliente e i tempi di realizzazione — che finiscono nel preventivo —, la comunicazione si fa asicncrona (prevalenza di email) e va poco oltre ai soliti Stati di Avanzamento Lavoro…2
- …ma ciò non esime né il cliente né me ad alzare il telefono, magari anticipando via messaggino, per rivedere al volo qualcosa di quello o di altri progetti, od anche solo per chiarimenti in generale;3
- Non dissimilmente funziona per il lavoro dipendente: mi viene presentata od io stesso presento una commessa con relativa pianificazione; nell’agenda digitale per la consuntivazione successiva da parte dell’Ufficio Personale l’esecuzione in pseudo-trasferta viene approvata dal mio Direttore; io, dopo aver recuperato on site tutto ciò che potrebbe servirmi dagli eventuali altri committenti interni, eseguo la commessa off site in autonomia…4
- …ma se gli elaborati intermedii e bozze sono passibili anche solo di riscontri telefonici e/o via messaggistica istantanea…
- …l’elaborato finale viene da me sottoposto via email ad approvazione definitiva che, trattandosi spesso di pubblicazioni online o comunque documentazione ufficiale, io richiedo essere altrettanto formale;
- Le tele-conferenze e le video-conferenze di gruppo (sincrone) con clienti, fornitori e membri del team di lavoro si fanno eccome…
- …ma sono anticipate da flussi di messaggistica, istantanea e non (email),5 che rendano assai improbabile che i partecipanti vi si presentino impreparati, col conseguente rischio che la riunione virtuale si protragga oltre il minimo indispensabile;
- Lo ammetto: più e più volte mi è capitato di passare le pause-sigaretta o le pause-pranzo dal lavoro dipendente a scrivere email od a gestire la chat di gruppo del team di lavoro su Whatsapp per quello autonomo, così come di fare altrettanto, ancorché non formalmente in trasferta, fuori dell’orario del lavoro dipendente o nel weekend…
- …ma si è sempre trattato di tempi marginali rispetto al completamento, da parte mia o di collaboratori, del o degli elaborati attesi.
Che si tratti del lavoro dipendente o di quello autonomo il rapporto fra “lavoro a domicilio” e “lavoro da domicilio” o da altrove nella mia esperienza, che tuttavia beneficia in entrambe le situazioni di un netto orientamento al produrre qualcosa, seppur digitale, si attesta spannometricamente ad un 80±10% contro 20±10% a seconda del caso specifico, vale a dire che per la maggior parte del tempo sia le mie controparti (clienti/superiori, collaboratori/colleghi, etc.) sia io facciamo ciascuno la propria parte individualmente, mentre…
- …più frequentemente le interazioni (sincronia) seguono una struttura canonica in cui si fanno più intense in testa ed in coda all’arco temporale che porta al risultato — e similmente, seppur riproporzionata, negli step intermedii;
- …meno frequentemente fra le interazioni emerge puntiformità, ossia una divergenza dalla suddetta canonicità, e ciò capita quando una o più parti manifestano, banalmente, intempestività a fare od inerzia a decidere, ovvero scarsa professionalità…
Sincronia, Asincronia e Sicurezza
Non posso omettere di considerare che, sia nelle vesti di dipendente che in quelle di lavoratore autonomo, il tipo di lavoro che faccio è di per sé predisponente al Telelavoro, e di conseguenza vi sono predisposti i soggetti coi quali mi confronto: non credo vi siano lavori più idonei del mio, almeno nella parte creativo-professionale di ciò che Richter & Meshulam (1993) chiamarono Spettro Professionale
…
Ciononostante, restando io una mente deterministica, pur accettando che il mio personale rapporto “80±10% contro 20±10%” fra attività asincrone e attività sincrone venga persino ribaltato in un’altra situazione personale, ma sempre telelavorativa, insisto a pensare che il discrimine (attivo)6 fra queste resti funzionale a molti scopi, ad esempio il (contenimento dei costi del…) contenimento del rischio in termini di Cybersecurity:
- Esposizione del network aziendale a partire da quelli dei telelavoratori o, viceversa,7 esposizione dei network di questi ultimi a partire da quello/i aziendale/i;
- Abusi anche in buona fede8 del network aziendale da parte dei telelavoratori, che tuttavia hanno conseguenze in performance ed in esposizione;
- La potenziale vulnerabilità dei device usati dagli operatori remoti, magari in BYOD, le cui patch di sicurezza o definizioni dei virus potrebbero non esser aggiornate, che potrebbero venir usati da congiunti dell’operatore,9 che potrebbero essere semplicemente non allineati — magari sarebbe bastato un aggiornamento di sistema — ai requisiti per la connessione (sicura) al network aziendale.
Faccio due esempi applicabili ad una situazione semplicissima — l’operatore che deve poter accedere da remoto alla documentazione aziendale per produrre nuovi elaborati (analisi, reportistica, documentazione tecnica, etc.) — ma che è possibile traslare proporzionalmente a quelle più complesse con software dedicati (locali o SaaS), database e quant’altro:
- Esser agganciati per 9 ore di fila alla VPN aziendale solo per mantenere il checkin a non più d’una manciata di file non solo è costoso, visto che richiede un accesso — e relativo monitoraggio… — per ciascun telelavoratore che invece potrebbe essere condiviso fra più, ma è oltretutto inutile, visto che può ottenersi lo stesso risultato effettuando il download dei file, modificandoli ed infine restituendoli con un upload, occupando nel complesso la VPN sì e no per qualche minuto; per aumentare la sicurezza a livelli paranoidi è sufficiente che la “password” della VPN scada dopo 5-10 minuti, sicché un nuovo accesso sarà possibile solo contattando l’Admin, che solo in quel lasso di tempo avrà da osservare l’eventualità di traffico sospetto (da indirizzi IP diversi da quelli del collega od in spoofing) e/o l’eventualità di file infetti;
- La (asincrona) Posta Elettronica, specie se il servizio è fisicamente separato (presso ISP) dal network aziendale, è sempre più spesso assicurata sia da sistemi di crittamento (HTTPS/TLS), che impediscono lo sniffing dei contenuti e degli allegati, che da antivirus, sì da delimitare il contagio ai singoli operatori e provvedere di conseguenza.
Riepilogando: per tanto più tempo l’operatore remoto potrà restare disconnesso dalla rete aziendale, tanto più quest’ultima avrà rafforzato almeno uno fra i vari fronti della sicurezza. Non solo: tanto più canoniche e non puntiformi saranno le comunicazioni, tanto sarà il tempo dedicabile ad evitare eventuali contagi virali, che potrebbero limitarsi ad essere un fastidio per gli infetti, ma potrebbero costituire anche il preludio a tentativi di bucare i sistemi aziendali, a partire dalla rete. Ancora più sinteticamente: saper moderare il “lavoro da domicilio” in favore del “lavoro a domicilio“, connettendosi al network aziendale od ad altri servizi in real-time esclusivamente nel momento del bisogno, può beneficiare la Cybersecurity.
Oltre vent’anni d’esperienza, senza problematiche di security più rilevanti di qualche aggiornamento delle chiavi per le connessioni crittografate, me lo confermano. Così come mi suggeriscono, però, che il problema risiede altrove:
- Un bel po’ di lavoratori, non infrequentemente pure fra quelli “autonomi“, non avrebbero sufficiente autonomia neppure se la mansione fosse stata cucita loro addosso esattamente a questo scopo;
- Un bel po’ di capi e capetti non sono disposti a concedere autonomia ai loro sottoposti, indipendentemente da quale che sia il profilo e/o lo storico dello specifico individuo.
No Autonomy, No Party..!
si potrebbe dire: senza autonomia qualsiasi discriminabilità fra attività sincrone ed asincrone è semplicemente impossibile a priori; senza discriminabilità non è possibile una quantificazione, anche spannometrica, del rapporto fra queste; senza quantificazione, infine, non è possibile valutare l’impatto in termini di Cybersecurity e quindi tocca presumere — e di conseguenza pagare… — lo scenario peggiore.
Note
- "Attività" nel senso di "Task", "Sub-Task", etc.;
- Un principio basilare nella gestione di progetti è che "verba volant, scripta manent": niente che possa avere un effetto sui tempi e costi finali, ad esempio una modifica in corso d'opera, può essere lasciata alla sola voce;
- In un progetto che coinvolga più soggetti fra team di lavoro e fornitori terzi la comunicazione sincrona acquisisce solo un po' più di peso, in termini di tempo da investirci;
- Le commesse possono essere multiple ma normalmente ciascuna richiede 2-3 ore di lavoro; raramente, durante l'anno, capitano commesse da 10 ore ed a mia memoria solo una volta e capitata una maxi-commessa, peraltro al limite della deadline per l'Ente, da una quarantina di ore;
- Questo è uno dei tanti motivi del successo di strumenti collaborativi come Microsoft Teams, Slack, Workplace by Facebook, etc.: coniugare una costanza e rapidità di aggiornamento (sincronia a livello diadico o gruppale) con la recuperabilità dall'archivio dei materiali (asincronia individuale);
- Per "discrimine attivo" intendo la consapevolezza delle attività che possono essere svolgibili in totale asincronia e la proattiva volontà di pianificarle adiacenti fra loro;
- In realtà si può sfruttare la prima esposizione per arrivare alla seconda e/oppure quest'ultima per arrivare alla prima: dipende da quale o da quali siano i fini malevoli;
- Praticamente sin da quando esistono le Virtual Private Network esistono anche i dei "disattenti" (…) che, magari totalmente fuori orario lavorativo, vengono pizzicati a guardare porno passando per il newtork aziendale semplicemente perché non si sono ricordati di disconnetersi dalla VPN;
- Nonostante gli OS sia desktop che mobile supportino la multiutenza quest' opportunità pare disattesa se si considerano i dispositivi personali, anche quelli condivisi sotto lo stesso tetto;
Bibliografia
- Richter, Judith, & Meshulam, Illam. (). Telework at Home: The Home and the Organization Perspective. Human Systems Management, 12(3), 193-203.