Il processo di adozione di formule di smart working, come nuovo paradigma dell’organizzazione aziendale, ha subito in questi ultimi anni una decisa accelerazione.
La dimensione di lavoro flessibile, senza un legame indissolubile con un luogo fisico, rappresenta una dimensione sempre più apprezzata dai lavoratori, che hanno una maggiore libertà nella gestione del loro tempo.
Per quanto riguarda le aziende, il digital workplace si traduce in un ormai confermato aumento della produttività, ma non solo. Per chi fa della business continuity un elemento fondante della sua attività, le forme di lavoro decentrato rappresentano un vantaggio notevole, che permette di mantenere operativa l’impresa in qualsiasi situazione.
L’adozione di questo modello, però, richiede un elevato livello di attenzione ai temi della cyber security. Non si tratta semplicemente di collegarsi in remoto alle risorse aziendali, ma di adottare un modello di lavoro completamente diverso.
Indice degli argomenti
Smart working: conseguenze più gravi in caso di cyber attacco
Se l’adozione dello smart working comporta una serie di vantaggi, tra cui un aumento dell’efficienza che i ricercatori stimano in un +5%, il rovescio della medaglia riguarda l’elevato livello di dipendenza dagli strumenti digitali di comunicazione e collaborazione.
Un incidente informatico che coinvolge l’infrastruttura IT dell’azienda rappresenta sempre un danno rilevante, anche sotto il profilo della business continuity. In uno scenario in cui viene introdotto lo smart working, il rischio è ancora più elevato.
Prima di tutto perché i sistemi informatici, che rappresentano un fattore abilitante della stessa attività lavorativa, non possono essere sostituiti da alternative “analogiche” come accade in un tradizionale scenario di lavoro inquadrato in un ufficio.
In secondo luogo, perché in assenza di adeguati sistemi di protezione e backup il rischio di soffrire la perdita di informazioni e documenti (anche sensibili) aumenta a sua volta. Non solo: a causa delle nuove disposizioni normative in tema di protezione dei dati (in primis quelle del GDPR) un incidente di questo tipo può portare a sanzioni da parte delle autorità di sorveglianza.
Smart working: il perimetro aziendale si allarga
Quali sono i problemi legati alla sicurezza informatica nell’adozione dello smart working? Il primo è quello legato all’allargamento del cosiddetto perimetro, cioè un aumento delle dimensioni del network in cui vengono scambiate le informazioni aziendali.
Un fenomeno che, in realtà, ha già subito un’accelerazione con l’introduzione di funzionalità gestite su piattaforma cloud secondo la formula del software as a service, ma che nello smart working viene esasperata portando a un aumento esponenziale della potenziale superficie d’attacco disponibile ai pirati informatici.
Con la formula dello smart working, infatti, il network aziendale si estende ad ambiti che non offrono lo stesso livello di protezione della rete locale. Gli hotspot pubblici o il semplice lavoro in mobilità, così come le reti domestiche dalle quali i dipendenti si collegano quando lavorano dal loro domicilio, poggiano su dispositivi e sistemi che sono al di fuori del controllo degli amministratori IT e rappresentano potenziali falle di sicurezza che si riverberano automaticamente sul network dell’impresa.
Tra queste, per esempio, ci sono quelle che interessano i router domestici, che negli ultimi mesi sono finiti nel mirino dei pirati informatici a causa di vulnerabilità di vario genere e che sono soggetti ad attacchi anche banali, basati per esempio sull’uso di credenziali predefinite per l’aggiornamento o l’accesso in remoto.
Il rischio dell’improvvisazione
Il primo problema di un approccio improvvisato è relativo alla scelta degli strumenti utilizzati per il lavoro a distanza.
Software di videoconferenza e strumenti di controllo remoto gratuiti non forniscono, nella maggior parte dei casi, le garanzie necessarie per assicurare l’integrità delle comunicazioni e la protezione da eventuali attacchi.
Anche l’uso di strumenti professionali, però, richiede accorgimenti specifici come l’utilizzo di VPN (Virtual Private Network) che consentano di proteggere il traffico in ingresso e in uscita, un sistema di gestione dei dispositivi (sia per quanto riguarda i software antivirus sull’endpoint, sia per quanto riguarda il patch management) e, infine, un’adeguata preparazione dei lavoratori stessi.
L’uso di strumenti di condivisone e comunicazione in remoto, infatti, aumentano esponenzialmente non solo il rischio di subire un attacco informatico, ma anche di provocare un data breach attraverso un semplice errore.
Secondo una ricerca del Identity Theft Research Center, gli errori relativi all’invio di informazioni sensibili alle persone sbagliate o la condivisione in modalità inappropriata di documenti è al primo posto tra le cause dei data breach.
La definizione di processi rigorosi, quindi, è indispensabile.
Smart working: il ritardo italiano
Ma qual è la situazione italiana per quanto riguarda l’introduzione dello smart working?
Secondo le statistiche più recenti, a livello di grandi aziende le iniziative strutturate per introdurre sistemi di lavoro flessibile interessa poco più della metà delle imprese, con un 42% ancora in alto mare a livello di progettazione. Il 30% di queste, poi, non ne ha nemmeno previsto l’introduzione.
Per quanto riguarda il settore delle piccole medie e imprese, che rappresentano buona parte del tessuto produttivo italiano, la situazione è ancora più arretrata. Nel settore delle PMI, infatti, il 65% delle aziende non ha nemmeno preso in considerazione la questione. Insomma: l’attuale contesto è composto da imprese che non hanno pianificato in alcun modo l’introduzione di modalità di lavoro remoto o flessibile e che, di conseguenza, non hanno a disposizione infrastrutture di sicurezza adeguate.
Una situazione che apre alla possibilità che la corsa all’adozione dello smart working, che con l’emergenza coronavirus ha registrato un aumento di 554.000 unità (+84%), si traduca in un disastro sotto il profilo della cyber security.
Sfera aziendale e sfera privata
L’uso di dispositivi personali per l’attività lavorativa, secondo la logica del Bring Your Own Device (BYOD), è qualcosa di intimamente connesso con lo smart working e il livello di flessibilità che caratterizza le forme di lavoro “agili”.
Sotto il profilo della sicurezza, però, la contiguità tra dati e servizi relativi alla dimensione aziendale e quelli della sfera privata del lavoratore rappresentano, di per sé, un fattore di rischio.
L’utilizzo di posta elettronica privata, chat e social network sullo stesso dispositivo usato per l’attività lavorativa pone infatti il problema di un possibile data breach come “effetto collaterale” di un attacco portato a un account privato del dipendente.
Tanto più che, secondo i dati riportati nel rapporto Clusit 2020, gli attacchi di phishing e quelli basati su tecniche di social engineering sono in contino aumento (+81,9%) e rappresentano uno dei maggiori rischi per l’integrità dei sistemi aziendali.
In quest’ottica, l’uso di sistemi di Mobile Device Management (MDM) esteso a notebook, tablet e smartphone è uno strumento indispensabile che permette di creare una netta separazione tra i due ecosistemi e proteggere così i dati aziendali anche in caso di compromissione dei dispositivi.
Quale strategia per lo smart working?
Le aziende che intendono implementare lo smart working, sotto un profilo tecnico, si trovano di fronte a un bivio.
Le opzioni disponibili, schematizzando, sono due. La prima è quella di utilizzare collegamenti in remoto sfruttando software di controllo a distanza attraverso Remote Desktop Protocol (RDP).
Questa soluzione, che ha il vantaggio di consentire una rapida implementazione, ha però alcune controindicazioni, soprattutto in tema di cyber security. La sua adozione, per esempio, non consente una gestione centralizzata delle policy di accesso ai dati e ai servizi aziendali.
Anche sotto il profilo del controllo secondo una logica di SIEM (Security Information and Event Management), l’utilizzo di RDP non permette di avere quel livello di trasparenza che permette di eseguire un monitoraggio efficace delle attività all’interno del network, soprattutto se questo integra soluzioni cloud (sia private che ibride) cui i lavoratori si interfacciano attraverso il sistema di gestione remoto.
La seconda soluzione, che prevede un’evoluzione nell’architettura IT dell’azienda, prevede invece la creazione di un’infrastruttura desktop virtualizzata, accessibile tramite protocollo HTTPS, che permette una gestione centralizzata delle policy e un maggior controllo sulle attività.
Smart working as a Service: la soluzione
Alla luce di quanto detto finora, è evidente che una soluzione ottimale per gestire al meglio le politiche di lavoro agile in azienda è rappresentata dalle piattaforme di smart working as a service come quella offerta da Wiit.
In particolare, la piattaforma Wiit consente di adottare un nuovo modello di lavoro digitale basato su differenti sistemi di collaborazione cloud:
- Customer Private Cloud;
- Hosted Private Cloud offerto da Wiit stessa;
- Public Cloud (AWS, Azure)
e offre tutti gli strumenti e le soluzioni giuste per lavorare in sicurezza e senza interruzioni del flusso informativo:
- backup e gestione dei dati aziendali;
- centralizzazione delle comunicazioni voce;
- messaging e condivisione dei documenti;
- sicurezza interna ed esterna;
- accesso a qualunque applicazione aziendale, anche quelle tipicamente più da ufficio come il PLM of il CAD.
La sicurezza degli endpoint è quindi garantita da una connessione remota basata su Mobile VPN che consente allo smart worker di collegarsi alla piattaforma da casa in modalità BYOD o con il device aziendale, utilizzando un qualunque dispositivo tascabile, in mobilità o anche dall’ufficio stesso.
Contributo editoriale sviluppato in collaborazione con Wiit
