Viviamo in un’epoca scandita dalla parola flessibilità, soprattutto nel mondo dell’imprenditoria. E non c’è nulla di più agile per un modello di business che necessita di adattarsi e muoversi rapidamente di fare appoggio su risorse esterne: la versatilità e la possibilità di far leva su competenze specifiche on-demand hanno fatto emergere la figura del freelance ma, nonostante gli indubbi vantaggi operativi, questa scelta comporta però una serie di rischi dal lato cyber security.
Con l’approccio just-in-time, non necessariamente basato su un’attenta pianificazione di tutti i possibili rischi e benefici, la superficie d’attacco aumenta e si fa più complessa. Questo vale ancora di più nella “gig economy”, traducibile tecnicamente come “economia del lavoro a chiamata”.
I collaboratori non sono più legati a un contratto di lavoro dipendente e per questo motivo non sono tenuti a lavorare in un determinato luogo (come ad esempio l’ufficio aziendale) e ad utilizzare un particolare dispositivo.
Nell’ambito della loro attività, i freelance possono utilizzare dati forniti dall’azienda e conservarli all’interno delle loro soluzioni di data storage. Nel caso in cui la catena di fornitura si complichi ulteriormente, con ulteriori subappalti, i rischi possono potenzialmente moltiplicarsi all’infinito.
Indice degli argomenti
I rischi della gig economy in un esempio pratico
Per comprendere gli elementi fondamentali della questione, prendiamo come esempio la figura di un programmatore freelance che lavora “a chiamata” per diverse aziende IT.
Pensiamo ad un programmatore di successo a cui le richieste di collaborazione continuano ad arrivare ininterrottamente. Il programmatore decide così di subappaltare il proprio servizio tramite outsourcing.
Anche nel caso in cui le aziende committenti richiedano l’autenticazione, attraverso procedure a più fattori (MFA), il programmatore per continuare l’attività può semplicemente condividere i propri codici di accesso con il suo collaboratore. Ovviamente né il freelancer né tantomeno il suo collaboratore hanno l’intenzione o lo scopo di danneggiare l’azienda cliente.
Autenticazione a due fattori: quando attivarla e come protegge i nostri account
Ma la condivisione del codice con un individuo (o un’entità esterna) presenta diverse problematiche.
Per esempio, il codice condiviso potrebbe essere rubato e venduto ad un competitor; il collaboratore potrebbe introdurre una backdoor all’interno del codice, all’insaputa di tutte le parti coinvolte; o ancora, la scarsa visibilità delle persone che possono accedere al codice non esclude la possibilità che tale codice finisca in un repository open source, eliminando del tutto il vantaggio competitivo generato dal codice stesso.
Rischi simili si possono delineare anche nel caso in cui vengano condivisi dati societari di diversa natura.
Per esempio, le analisi di mercato e dei competitor sono spesso affidate a professionisti esterni. Si tratta di un lavoro complesso che richiede la conoscenza di diverse informazioni sensibili sulle società coinvolte, come i prezzi dei prodotti o servizi, gli sconti applicati, le informazioni sui canali di fornitura, le percentuali di commissione, gli elenchi dei migliori venditori, le liste clienti, i margini di profitto e via dicendo.
Gig economy e cyber security: gestire il data risk
Quali sono quindi i passi da seguire per rafforzare la propria sicurezza aziendale?
Il primo step da compiere è sicuramente eseguire un risk assessment approfondito.
Se quasi la totalità delle aziende identificano e proteggono i dati di maggiore valore, solo poche fanno la stessa valutazione su elementi di minor rilevanza ma comunque fondamentali per l’azienda nel suo complesso.
Il secondo step è comprendere quali credenziali sono state assegnate ai freelancer e quali sono le azioni che questi possono eseguire all’interno dei sistemi o piattaforme contenenti dati sensibili.
Effettuata questa valutazione, le aziende dovrebbero utilizzare i relativi risultati per verificare che i sistemi di controllo presenti siano proporzionati alle necessità e, in caso, implementarne di nuovi.
Le aziende, inoltre, possono applicare controlli anche lato amministrativo, come ad esempio:
- un approccio contrattuale;
- prevedere una strategia di uscita del lavoratore a chiamata;
- monitorare l’attività del Freelancer.
Gig economy e cyber security: un approccio zero-trust
Dall’altra parte, sotto un punto di vista tech è preferibile adottare un approccio zero-trust, salvo diverse necessità.
Le aziende dovrebbero definire chiaramente i requisiti imposti ai lavoratori autonomi esterni. Andrebbero delineate le modalità operative tramite le quali i collaboratori debbano proteggere i sistemi informatici e i dati sensibili dell’azienda, eventualmente prevedendo penali o sanzioni in caso di violazione del patto contrattuale.
Zero trust: un nuovo approccio metodologico alla cyber security
In tal senso è consigliabile proporre al freelance di utilizzare sistemi di crittografia sulla propria macchina e un buon sistema antivirus. Se necessario, inoltre, è bene includere ulteriori misure di sicurezza utili, anche a seconda dell’ambito di lavoro.
Nel complesso è bene non farsi prendere dal panico, considerando che la gig economy è destinata a diventare sempre più rilevante nel mondo odierno. Allo stesso tempo però sarebbe imprudente non comprendere i rischi e i pericoli legati a questo argomento.
Se un’azienda decide di trarre benefici dall’utilizzo di collaboratori esterni è consigliabile valutare le possibili conseguenze dal lato security e implementare procedure semplici ed efficaci che non rendano eccessivamente gravoso l’onere per nessuna delle parti coinvolte.
Non abbassiamo la guardia.
