Con l’avvio della Fase 2 dell’emergenza coronavirus, per circa 2,7 milioni di italiani è arrivato il momento del rientro in ufficio e presso i luoghi di lavoro dopo un lungo periodo di smart working e altrettanti si apprestano a farlo nelle prossime settimane.
Il lockdown ha costretto le aziende ad una delle sfide più impegnative mai affrontate, dovuta alla necessità di riorganizzare metodi e modalità di lavoro, attraverso una repentina applicazione di varie forme di telelavoro.
Indice degli argomenti
Smart working: necessità di aggiornamento
Sebbene nel nostro paese la pratica dello smart working fosse in costante aumento già in periodo pre-emergenziale[1], non tutte le aziende risultavano essere adeguatamente attrezzate. Mentre alcune disponevano già di una rete virtuale privata (VPN), altre sono state costrette, per necessità, a far utilizzare ai propri dipendenti i propri device (BYOD).
La pratica del BYOD, acronimo di “Bring Your Own Device”, non è nuova né vietata dal nostro ordinamento, ma necessita dell’adozione di pratiche per la corretta gestione della sicurezza IT e per la protezione dei dati.
Il WP29 con l’Opinion 2/2017[2], inerente al trattamento dei dati sul posto di lavoro, suggerisce di ricorrere a sistemi di Mobile Device Management (MDM) in grado di consentire al datore di lavoro di configurare e controllare con una sola operazione i dispositivi mobili dei dipendenti o la creazione di VPN appositamente realizzate per il trasferimento di dati dal dispositivo del lavoratore al data center aziendale.
La situazione emergenziale ha reso però necessarie delle soluzioni di adattamento. Nel caso in cui alcuni dipendenti, lavorando sui propri device o in quelli forniti dall’azienda, abbiano archiviato dati su chiavette USB o altri tipi di periferiche, risulterà opportuno adottare alcuni accorgimenti. Infatti, tali supporti, sebbene estremamente comodi per maneggevolezza e capacità di archiviazione, presentano dei rischi rilevanti. Con il passaggio da un dispositivo ad un altro diventano il mezzo ideale per la diffusione di malware, spyware e rootkit. Un report di TechAdvisory.org, stima che il 25 per cento dei malware presenti in circolazione si trasmette proprio attraverso tali dispositivi.
L’adozione di alcune buone pratiche, in assenza di servizi di cloud aziendali, può diminuire il rischio di una compromissione dei dati aziendali. Ad esempio, sarebbe opportuno dotare i dipendenti di chiavette USB con crittografia hardware AES 128/256 bit, di antivirus aggiornati e di suggerire la cancellazione di tutti i dati aziendali dal proprio PC, una volta traferiti sul supporto USB.
Al rientro in azienda sarà inoltre opportuno utilizzare antivirus che consentano di disabilitare l’accesso alle periferiche di archiviazione prima di una verifica da parte dei responsabili IT.
È raccomandabile per le aziende, in questa nuova fase, la gestione in cloud delle soluzioni di sicurezza. Un gran numero di aziende dispone di soluzioni antivirus con console on promise o con il server di gestione della soluzione installato all’interno dei dispositivi aziendali.
Un tale tipo di architettura potrebbe rendere complesso o addirittura impossibile l’aggiornamento, la configurazione e la ricezione di alert di sicurezza quando i computer non si trovano all’interno degli uffici aziendali. Se i dipendenti/client che si apprestano a rientrare sul luogo di lavoro non hanno effettuato aggiornamenti o non hanno notificato eventuali problemi legati a virus nel corso del periodo di smart working, potrebbe sorgere un rischio per la sicurezza aziendale nel momento in cui tali device accedano nuovamente alla rete aziendale.
Si consiglia, dunque, di verificare lo stato di salute di tali computer prima di collegarli nuovamente alla rete. Sarebbe inoltre opportuno valutare l’eventuale sostituzione della sicurezza utilizzata con una che possegga una console in cloud capace di gestire gli aggiornamenti, le configurazioni e gli alert anche quando l’utente non si trova in ufficio.
Al fine di arginare il fenomeno dello Shadow IT i datori dovrebbero consigliare ai dipendenti di segnalare, al rientro in azienda, gli eventuali problemi riscontrati durante il periodo in cui si è lavorato da remoto al responsabile del reparto IT.
Infine, si consiglia sempre di effettuare una pulizia delle caselle di posta elettronica, in quanto le pratiche di attacco phishing continuano ad essere le preferite dai criminal hacker. Piccoli accorgimenti come l’utilizzo Suspicious Site Reporter, un’estensione del browser Google Chrome capace di smascherare gli indirizzi sosia (ad esempio indirizzi come paypall.com invece di paypal.com), potrebbe risultare molto utile.
Virtual Private Network: un supporto prezioso
Un capitolo a parte merita il tema delle VPN. Queste infrastrutture di rete sono particolarmente vantaggiose in quanto offrono alle aziende, ad un costo minore, le stesse possibilità delle linee private a noleggio, sfruttando delle reti condivise pubbliche.
Una VPN ben strutturata può offrire grandi vantaggi ad un’azienda in quanto ne estende la connettività geografica, migliora la sicurezza dove le linee di dati non sono state criptate, riduce il tempo di transito e i costi di trasporto per i clienti remoti, fornisce la possibilità di reti globali, fornisce supporto di rete e fornisce compatibilità con le reti a banda larga.
Esistono diverse tipologie di VPN, ognuna delle quali presenta differenti caratteristiche. È opportuno affidarsi a dei professionisti per la scelta della tipologia che sia più adatta alla propria realtà aziendale.
Le VPN con connessione ad accesso remoto, ad esempio, consentono agli utenti di accedere a un server su una rete privata per il tramite della rete Internet. Questo tipo di connessione è maggiormente utilizzata dai dipendenti in smart working e si può immaginare come un collegamento tra un PC client VPN e il server dell’azienda.
Le VPN con connessione site-to-site sono invece utilizzate per connettere in una rete privata, sempre attraverso l’ausilio di una rete pubblica, uffici di una medesima azienda dislocati in differenti aree geografiche, consentendo il routing e una connessione sicura.
In tale scenario ogni sede sarà dotata di un routing dedicato, ovvero un nodo della rete VPN che instraderà i pacchetti di dati verso i destinatari omologhi secondo un modello client/server, condividendo le informazioni con le sedi remote in piena trasparenza. Le VPN site-to-site possono poi essere distinte in due ulteriori sottoclassi: una classe VPN-Intranet utilizzata per scambiare dati tra più sedi della stessa azienda ed una classe VPN-Extranet utilizzata per scambiare dati con aziende e/o uffici esterni all’organizzazione.
All’interno di tale distinzione, in base ai livelli di sicurezza e affidabilità del circuito virtuale le VPN possono essere ulteriormente classificate in: Trusted, Secure e Hybrid.
Tutti questi accorgimenti risultano quanto mai essenziali se si pensa che dall’ultimo rapporto Clusit è emerso che gli attacchi informatici nel nostro paese sono quasi raddoppiati nel giro degli ultimi 5 anni e che tali attacchi hanno riguardando in particolar modo le PMI.
NOTE
- L’Osservatorio Smart Working 2019 della School of Management del Politecnico di Milano, indica un aumento del 20% degli smart worker nel nostro paese rispetto all’anno precedente. ↑
- Il Gruppo di lavoro “Articolo 29” (Art. 29 WP) era il gruppo di lavoro europeo indipendente che, fino al 25 maggio del 2018 (entrata in vigore del RGPD), aveva lo scopo di occuparsi di questioni relative alla protezione della vita privata e dei dati personali. ↑
