Smart working, lavoro agile e telelavoro sono termini, in questi giorni di emergenza da coronavirus, sulle pagine di molti giornali e sulla bocca di molte persone: al di là delle considerazioni su normativa e produttività, la cyber security dovrebbe sempre essere un tema centrale quando si parla di lavoro da remoto.
È chiaro che l’accesso remoto alla rete aziendale amplia la superfice d’attacco e introduce nuovi vettori d’infezione. Per questa ragione, deve essere almeno tanto sicuro quanto quello locale, se non di più.
Quindi, quali sono i fattori da tenere presente quando si vuole dare ai lavoratori la possibilità di svolgere la propria attività da siti diversi da quelli aziendali? Eccone alcuni.
Indice degli argomenti
Smart working e cyber security: protezione degli endpoint
Sono considerati “endpoint” tutti i dispositivi in grado di collegarsi alla rete aziendale. Tra questi possiamo elencare laptop, tablet e cellulari. Innanzitutto, è sempre opportuno stabilire un livello di sicurezza che ogni dispositivo deve rispettare e che può essere raggiunto implementando soluzioni come:
- Strong password: una password facile da ricordare ma difficile da indovinare è l’ideale. L’uso di passphrase, ovvero una password composta da più parole, potrebbe essere un’ottima soluzione. L’inviolabilità dell’autenticazione è garantita anche dalla lunghezza della password. Per questa ragione dovrebbero essere abilitate password di lunghezza fino a 64 caratteri. Al riguardo si veda la Special Pubblication del National Institute of Standards and Technology NIST.SP.800-63b. Un password manager può aiutare a memorizzare in modo sicuro le nostre password.
- Cifratura dei dati salvati sul dispositivo: criptare un hard disk permette di proteggere tutti i dati memorizzati. Pensate, ad esempio, a cosa potrebbe accadere in caso di furto di un laptop con hard disk non criptato. Tutti i dati salvati potrebbero essere accessibili a qualche malintenzionato.
- Aggiornamento del sistema operativo: costantemente vengono individuate nuove vulnerabilità nei sistemi operativi. Questo è il motivo che dovrebbe indurre ad aggiornare puntualmente i sistemi operativi dei dispositivi che si connettono, anche da remoto, alla rete aziendale.
- Aggiornamento degli antivirus: gli antivirus riconoscono malware e altre minacce confrontando ciò che rilevano con un database contenente le definizioni o signatures dei singoli virus. Questo spiega perché un aggiornamento costante e puntuale di questo database è fondamentale perché la protezione sia più efficace possibile.
- Aggiornamento degli antispam: le tecniche di spamming migliorano giorno per giorno e le mail utilizzate per ingannare il destinatario sono realizzate con sempre maggior cura. Per questa ragione anche gli antispam devono essere aggiornati perché non vengano generati né troppi falsi positivi né troppi falsi negativi.
- Endpoint Detection & Response (EDR): la tecnologia con le sue evoluzioni viene in aiuto con questa soluzione quando un antivirus non riesce a prevenire un attacco. Gli EDR, facendo uso anche della behaviour analysis, permettono di avere una sorta di visibilità centralizzata su ciò che accade sugli endpoint. Questo fa in modo che il team IT possa intervenire per contenere un attacco in corso o per investigare le modalità di un attacco subìto. Gli EDR sono anche forniti come Software as a Service (SaaS).
- Application Whitelisting: a differenza di un firewall che riconosce e blocca tutto ciò che è conosciuto come dannoso, le soluzioni di Application Whitelisting permettono l’installazione e l’esecuzione sugli endpoint delle sole applicazioni riconosciute come non pericolose e formalmente autorizzate. Una policy definirà quali programmi potranno essere autorizzati sulla base del ruolo dell’utente.
Proteggere l’accesso alla rete locale
Una volta reso sicuro il dispositivo che da remoto si deve connettere alla rete aziendale, bisogna pensare a come proteggere i dati in transito così che non siano accessibili a terzi. È inoltre importante gestire nel modo migliore l’accesso alle risorse aziendali. Anche in questo caso la tecnologia ci viene in aiuto.
- Virtual Private Network (VPN): la VPN permette a un dispositivo remoto di connettersi in modo sicuro alla rete locale dell’azienda utilizzando la rete pubblica Internet. Questa soluzione consente il trasporto del traffico su internet in un tunnel sicuro dopo averlo anche criptato.
- Autenticazione a due fattori: l’autenticazione a due fattori rende molto più difficile l’accesso remoto di hacker alla rete aziendale. Oltre alla password, difatti, è richiesta una OTP (One Time Password) normalmente generata da un token hardware o da una specifica app che l’utilizzatore del dispositivo remoto deve possedere.
- Account lockout policy: l’Account Lockout è il blocco dell’accesso a un utente che abbia sbagliato un certo numero di volte consecutive l’inserimento delle proprie credenziali. La relativa policy stabilisce quanti tentativi di inserimento l’utente può effettuare prima che l’accesso sia bloccato e per quanto tempo rimarrà in essere il blocco.
- Jump Server: permette la gestione dell’accesso, anche da remoto, a zone della rete con livelli diversi di sicurezza, ad esempio zone demilitarizzate.
- Identity & Access Management (IAM) o gestione dell’identità e degli accessi: la gestione degli accessi alle risorse aziendali rimane un aspetto chiave nella gestione della sicurezza. Vale la pena evidenziare due metodologie che possono essere adottate ricordando anche l’importanza di impedire l’accesso a sistemi critici (ad esempio i sistemi di controllo industriale o ICS) o di consentirlo solo se strettamente necessario:
- Role-based Access Control (RBAC) o controllo degli accessi in base al ruolo: Non tutti gli utenti in azienda hanno bisogno dell’accesso a tutte le risorse né hanno bisogno delle medesime autorizzazioni. Per questa ragione è sempre opportuno identificare e separare i compiti dei dipendenti e assegnare loro gli accessi in base al ruolo. Ad esempio, chi ricopre un ruolo nelle risorse umane in azienda avrà accesso a determinati file mentre chi ricopre il ruolo di Project Manager avrà accesso ad altri file.
- Attribute-based Access Control (ABAC) o controllo degli accessi in base agli attributi: una soluzione che permette il controllo degli accessi in base agli attributi dell’utente, delle risorse e dell’ambiente. Ad esempio, un dipendente che ricopre un ruolo nelle risorse umane può avere accesso ai file dei prospetti di paga esclusivamente in orario di lavoro. Rispetto al controllo degli accessi in base al ruolo esso ha il vantaggio di permettere una maggior granularità nel controllo ma al costo di una superiore difficoltà di configurazione e gestione.
- Least Privilege: Un aspetto da tenere sempre presente, anche nel gestire il controllo degli accessi in base al ruolo, è il principio del minimo privilegio (Least Privilege). In pratica, ad ogni utente devono essere assegnati esclusivamente i privilegi essenziali e necessari a svolgere la propria attività.
Smart working e cyber security: la sicurezza del cloud
Sempre più spesso vengono contemplate soluzioni nel cloud per implementare lo smart working. Ciò comporta maggior attenzione alla cloud cyber security. Di seguito alcuni aspetti da considerare:
- Autenticazione: anche in questo caso vale quanto già detto in merito all’utilizzo delle password e dell’autenticazione a due fattori. Il principio del minimo privilegio (Least Privilege) si applica anche all’accesso delle risorse nel cloud.
- Protezione dati in transito: l’accesso al cloud tramite VPN permette il transito sicuro e criptato delle informazioni.
- Protezione dei dati nel cloud: il cloud deve garantire la sicurezza dei dati quando sono in transito sulla rete, quando sono a riposo (archiviati ad esempio su hard drive) ma anche quando sono in uso nelle applicazioni.
Considerazioni finali
Vale la pena ricordare che, parlando di smart working e cyber security, nessuna soluzione garantisce che ogni attacco sia bloccato sul nascere. A volte ci si può trovare di fronte alla necessità di mitigarne gli effetti o di rimediare ai danni subiti.
Al riguardo, vengono in aiuto le soluzioni di Security Information and Event Management (SIEM) che permettono di raccogliere e gestire i log di tutti i dispositivi in rete, inclusi quelle collegati da remoto. I dati raccolti danno quindi la possibilità di analizzare eventi anomali fornendo informazioni preziose per rispondere con efficacia agli attacchi e per eventuali attività di disaster recovery.
Certo, le soluzioni e le metodologie a disposizione per gestire la sicurezza degli accessi da remoto sono molte e alcune di quelle elencate fanno parte delle fondamenta della cybersecurity in generale.
A queste si aggiunge la necessaria attenzione alle policy e al fattore umano, che spesso spalanca le porte ad attacchi cyber. Le emergenze di solito non lasciano il tempo per considerare ogni aspetto implicato, per questo motivo le aziende dovrebbero pensare alla cybersecurity in tempi non sospetti.
Ciò significa valutare le opzioni e le risorse disponibili, calcolare il rapporto costi/benefici sulla base di un’attenta valutazione del rischio e agire di conseguenza.