Il termine gig economy si riferisce all’uso sempre più diffuso di lavoratori freelance o indipendenti per lavori a breve termine o a progetto: la disponibilità dei gig worker ha portato negli ultimi anni enormi cambiamenti nel mondo del lavoro.
I driver Uber e Lyft sono degli ottimi esempi. Non esiste una programmazione fissa e il lavoro viene svolto corsa dopo corsa. All’inizio dell’attività di rideshare, salivi su un veicolo Uber o su un veicolo Lyft, ma oggi i conducenti spesso guidano per entrambe le aziende contemporaneamente. Questo è un aspetto molto comune nel mondo della gig economy: i lavoratori sono spesso coinvolti contemporaneamente da concorrenti diretti. La disponibilità in qualsiasi momento di competenze remote consente di aumentare o ridurre la manodopera secondo necessità e i lavoratori possono essere ingaggiati praticamente da qualsiasi luogo.
In passato, un dipendente lavorava per una singola azienda alla volta e in alcuni casi anche in una sola azienda per tutta la sua carriera lavorativa. C’era molta lealtà e longevità. Ma oggi un contractor o un dipendente a tempo pieno può rimanere in un’azienda solo per 18 mesi o anche meno prima di passare ad altre opportunità.
Secondo uno studio del 2021 dell’Institute for Business Value di IBM, un lavoratore su quattro prevede di cambiare lavoro quest’anno, un ritmo maggiore rispetto a un anno fa in cui il valore era uno su cinque. Di coloro che hanno cambiato lavoro lo scorso anno, più della metà è stata identificata come millennial o Gen Z.
All’interno dell’industria tecnologica in particolare, tuttavia, i lavoratori a breve termine presentano alcuni rischi per i datori di lavoro, alcuni dei quali sono piuttosto seri. Sebbene i vantaggi aziendali possano essere chiari, alti livelli di temporalità e transitorietà rendono la gig economy un’enorme bomba per la sicurezza.
Ma nessuno sembra ancora preoccuparsene.
Gig economy e cyber security, come gestire il data risk: le soluzioni
Indice degli argomenti
Gig worker: nuova tipologia di minaccia interna
Le minacce interne sono sempre state un problema nel settore della sicurezza. Alcuni dei più grandi casi di perdita di dati e frode che ho riscontrato nella mia carriera provengono da utenti interni (i cosiddetti insider) perché conoscono i controlli e i processi dell’azienda e possono trovare modi per aggirarli, evitando facilmente il rilevamento.
Ma i potenziali rischi associati ai gig worker sono unici rispetto a quelli degli insider tradizionali, rendendo le minacce ancora più difficili da rilevare e da cui difendersi.
L’avvicendarsi rapido dei progetti implica che troppo spesso non vengono effettuati i necessari controlli di routine sul profilo del lavoratore.
Poiché i lavori dei gig worker sono a breve termine, spesso ai lavoratori non è richiesto di disporre delle stesse misure di sicurezza che le aziende si aspetterebbero da un lavoratore a contratto, come l’utilizzo di dischi rigidi crittografati, protezione antivirus e/o archivi di documenti sicuri.
I gig worker in genere utilizzano i propri computer per lavorare, archiviando ricerche sensibili e informazioni proprietarie su un’unità locale o in un account cloud personale. Ma cosa succede a tutte quelle informazioni una volta terminato il lavoro? Vengono cancellate, archiviate o sono vulnerabili al furto? Vengono condivise o riutilizzate con un concorrente? Come potrebbe mai saperlo la società che ha ingaggiato il lavoratore a contratto?
I rischi dei gig worker: un esempio pratico
Supponiamo di assumere a tempo un programmatore di applicazioni a contratto per scrivere una routine di analisi (parsing routine) per la nostra azienda. Il programmatore “gig” impiega tre mesi per scriverla e costa 100mila dollari in spese di manodopera e di processo. Dopo che il lavoro è finito, quello stesso programmatore viene assunto dal nostro principale concorrente e anche questa azienda ha bisogno di scrivere una routine di analisi. Il gig worker si siederà e riscriverà l’intera routine di analisi dall’inizio?
Probabilmente riutilizzerà ciò che ha già scritto e apporterà solo alcune modifiche per adattarsi al sistema del concorrente. Quindi il nostro concorrente risparmia 80mila dollari perché il gig worker ha potuto riutilizzare la nostra proprietà intellettuale senza alcuna interferenza o conseguenza.
I programmatori tendono a pensare che se scrivono un pezzo di codice, lo possiedono come parte della loro cassetta degli attrezzi. E quando quel programmatore è un collaboratore, porta quella cassetta degli attrezzi da un lavoro all’altro, anche ai concorrenti che non hanno investito in cicli di ricerca e sviluppo per lo sviluppo di quel codice.
Dove i gig worker rappresentano una minaccia
La programmazione è solo un’area in cui potrebbe manifestarsi questa minaccia. Le aziende che spesso assumono anche gig worker come analisti e ricercatori di mercato, sales account manager, analisti di database IT, corrono gli stessi tipi di rischi.
Dati sui prezzi, analisi di mercato, ricerche legali: tutte queste informazioni hanno il potenziale per essere riutilizzate da un’altra entità tramite un gig worker intraprendente che cerca di massimizzare i suoi guadagni e ridurre al minimo il lavoro che deve fare.
Non sono solo le assunzioni temporanee a portare i rischi alla gig economy. I dipendenti a tempo pieno possono anche lavorare di nascosto come gig worker per avere un reddito aggiuntivo. Con la maggior parte dei lavoratori che ora svolge il proprio lavoro da remoto, non c’è nessuno che li controlli per vedere se stanno lavorando a qualcosa di parallelo o estraendo il codice da un lavoro precedente.
Il livello di rischio interno è aumentato dall’inizio della Covid-19 e gran parte di ciò può essere ricondotto al boom della gig economy.
La maggior parte dei dipendenti remoti di oggi non si aspetta di tornare presto al luogo di lavoro fisico.
Senza controlli avanzati in atto per rilevare e proteggere dall’uso improprio delle informazioni sensibili, nulla impedisce a un dipendente di riutilizzare i dati proprietari a vantaggio di un’altra azienda e del proprio guadagno personale.
Zero trust: un nuovo approccio metodologico alla cyber security
Valutazione del rischio: rilevare, proteggere e rispondere
Definite più chiaramente le potenziali minacce che i gig worker potrebbero rappresentare, ora è fondamentale fare il passo successivo per calcolare i rischi effettivi che presentano per un’azienda.
Qual è la probabilità di una vulnerabilità o di una minaccia nella tua azienda? Quali dati sono effettivamente a rischio per la tua azienda in questa situazione? E quale sarebbe l’impatto sull’azienda se quei dati venissero sfruttati?
I risultati di tale valutazione del rischio possono quindi guidare un piano di protezione. In primo luogo, saranno necessari controlli amministrativi.
L’organizzazione necessita di policy in atto: indicazioni chiare da parte del management in merito all’uso appropriato sia dei gig worker che dei lavoratori remoti. Delinea le situazioni in cui è accettabile assumere un libero professionista e quali limitazioni dovrebbero essere messe in atto per gestire questo tipo di fornitori temporanei.
Con policy definite, l’azienda può quindi emettere contratti ai gig worker che illustrano chiaramente i requisiti legali del lavoro, come la riservatezza tramite un accordo di non divulgazione (NDA), i requisiti di sicurezza, le restrizioni sull’outsourcing e l’indennizzo.
I controlli di processo possono includere la formazione dei neoassunti per i gig worker al fine di istruirli sulle policy e sulle aspettative della tua azienda. Internamente, anche i leader aziendali devono essere formati sui rischi associati all’assunzione di gig worker.
Dovrebbero inoltre essere in atto misure di sicurezza per evitare di aggirare la gestione dei fornitori, il che di solito significa coinvolgere il reparto contabilità fornitori per garantire che solo gig worker formati e controllati possano essere pagati.
Le tecnologie di sicurezza che affrontano i rischi dei gig worker sono una combinazione di controlli dei lavoratori remoti, controlli dei contractor e controlli Zero Trust Network Access (ZTNA).
Ciò può includere l’uso di una rete privata virtuale (VPN), che richiede l’autenticazione a due fattori per l’accesso alle applicazioni aziendali e il rafforzamento delle regole di accesso a dati/file per questo tipo di lavoratore.
Il principio fondamentale di Zero Trust è particolarmente importante in questo caso, poiché i gig worker esistono al di fuori del tradizionale perimetro di sicurezza e non puoi intrinsecamente fidarti dell’autenticazione, del dispositivo, della rete o delle applicazioni che stanno utilizzando.
Le funzionalità VPN di nuova generazione possono fornire l’accesso diretto all’applicazione in modo che il gig worker possa accedere solo all’applicazione di cui ha bisogno per svolgere il proprio lavoro e nient’altro all’interno dell’azienda.
Allo stesso modo, un’architettura Zero Trust può aiutare le organizzazioni a creare un modello di fiducia adattivo che è più agile e può cambiare in base alle circostanze di ciascun lavoratore.
Data Loss Prevention: strumenti e processi per la sicurezza dei dati aziendali
Partire da un’analisi dei rischi
La forza lavoro dei gig worker sta crescendo a causa del valore travolgente che può offrire sia alle aziende che ai privati. Le organizzazioni dovrebbero abbracciare questo cambiamento globale. Alla fine, un gig worker dovrebbe essere trattato come un tipo differente di contractor.
Le stesse regole dovrebbero applicarsi in termini di contratti, controlli di sicurezza degli endpoint, monitoraggio del cloud (modelli di comportamento per quanto riguarda l’accesso al sistema/dati e lo spostamento dei file) e la disponibilità di un sistema per controlli di background rapidi.
Inizia valutando il rischio che hai nel tuo ambiente. Quindi crea una roadmap di monitoraggio e controlli. Le organizzazioni di oggi necessitano di controlli contestuali che seguano dati e utenti. I controlli granulari di accesso riducono la superficie a rischio, e dovrebbero includere:
- controlli dell’identità che forniscono una autenticazione forte dell’accesso e analisi comportamentali che coprono sia i rischi dell’utente che quelli del dispositivo;
- controlli delle applicazioni che includono controlli adattivi dell’accesso e delle attività;
- controlli dei dati con discovery e classificazione automatizzati, applicazione delle policy in un unico punto e prevenzione della perdita di dati (Data Loss Prevention, DLP).
La gig economy è destinata a restare e a crescere. Occorre farsi trovare pronti.
