L’esigenza di realizzare le condizioni per lo smart working sicuro è una delle priorità per tutte le aziende. La pandemia e il conseguente blocco in lockdown hanno obbligato al ricorso del “remote working”, poi evoluto in “smart working”, ma inizialmente non garantito in tutte le features di sicurezza informatica necessarie a contrastare un’agguerrita serie di attaccanti che infatti, ne hanno approfittato con numerosi attacchi, spesso riusciti.
Tuttavia, l’esigenza della continuità operativa del business aziendale impone il ricorso alle modalità di protezione dei dati e l’introduzione di controlli di sicurezza informatica per uno smart working sicuro.
Si rende anche necessario per le imprese, il ricorso a workplace digitali intrinsecamente sicuri o equipaggiati di features di sicurezza che possano rappresentare un guardiano invisibile ma efficace, sollevando il dipendente da attività specifiche di security, ma responsabilizzandone i comportamenti.
Indice degli argomenti
Smart working: da misura preventiva del contagio a nuovo paradigma
L’emergenza Covid-19 che è stata affrontata su scala mondiale ha offerto l’opportunità a molti lavoratori e imprenditori di cambiare le abitudini lavorative e di scoprire che non solo è possibile lavorare da remoto in modo efficace (remote working), ma che è ulteriormente possibile immaginare un modo diverso di organizzare il lavoro per il futuro.
Un futuro in cui lo smart working potrà rappresentare un’opportunità per tutti: la garanzia di work-life balance e di una maggiore flessibilità per i dipendenti e un significativo risparmio per le imprese rispetto alla vecchia concezione del luogo di lavoro, delle postazioni di lavoro e degli spazi aziendali.
Per tutti, invece, si apre l’opportunità per un importante cambio culturale legato alla trasformazione digitale del lavoro, in termini di flessibilità di luogo e orario di lavoro e per un approccio basato non più sull’orario ma sull’identificazione di obiettivi specifici, misurabili, realistici e definiti in un determinato periodo di tempo.
Anche gli strumenti digitali e operativi come già succedeva in azienda fra diverse sedi di lavoro e branch della stessa company, dovrebbero essere scelti per adeguarsi e anzi supportare totalmente qualsiasi esigenza lavorativa che la forza lavoro debba affrontare da remoto per una abilitazione alla collaborazione, alla condivisione di documenti, al repository documentale sempre disponibile e accessibile, alle comunicazioni via mail e in video, con riunioni a distanza e alla gestione di gruppi di lavoro e stanze virtuali in cui i vari team possano organizzarsi e ritrovarsi.
Allo stesso tempo gli strumenti on line e digitali dovrebbero garantire la sicurezza per tutte queste attività lavorative.
Le conseguenze dello smart working “improvvisato”
Il ricorso allo smart working in modalità “frettolosa” con abilitazioni e attivazioni di servizi in piena emergenza pandemica, ha portato diversi disagi alle aziende, culminati con una estensione della superficie di attacco in favore degli attaccanti e una condizione di maggiore vulnerabilità dei singoli dipendenti collegati da casa con mezzi propri.
Le conseguenze sono state piuttosto rovinose. Secondo un rapporto recentemente pubblicato da Europol, il report IOCTA (Internet Organized Crime Threat Assessment), il crescente numero di persone che ha adottato lo smart working attraverso la propria rete internet locale, spesso non adeguatamente protetta, ha aumentato esponenzialmente per gli hacker le opportunità di perpetrare un attacco informatico per sottrarre dati personali sensibili e/o dati aziendali oppure per tentare un accesso persistente nei sistemi aziendali e sfruttare movimenti laterali ed escalation dei privilegi per ulteriori frodi e crimini digitali.
Il report IOCTA ha evidenziato anche un significativo aumento dell’attività del Dark Web e la proliferazione di campagne di phishing su larga scala e a tema Covid o a tema “vaccini”, per favorire un’ampia diffusione di malware dei generi più vari.
Infine, un altro tipo di attività criminale online che sembra continuare a svilupparsi con il COVID-19 è quello del ransomware, ovvero quel tipo di malware che opera per rendere non accessibili i file presenti su un computer, attraverso la loro crittografia e/o il mancato accesso all’utente e propone una richiesta di riscatto, generalmente in Bitcoin o altre criptovalute.
Recentemente la pratica evoluta del ransomware a doppia estorsione, aggiunge anche l’esfiltrazione dati e la minaccia di divulgarli come aumento della pressione verso la vittima se quest’ultima si rifiuta di pagare il riscatto.
L’importanza della sicurezza nello smart working
Considerando le molteplici minacce e il rischio concreto di esserne vittima è evidente come le aziende che hanno potuto risparmiare per le sedi di lavoro, debbano razionalizzare i loro investimenti includendo strumenti, ovvero workplace digitali e tool che possano garantire la sicurezza delle informazioni aziendali all’interno di un environment sicuro e predisposto alla protezione dei dati sia quando si tratti di dati fermi (noti come dati “at rest”) sia dati in movimento (noti come dati “in transit”) e in qualsiasi luogo digitale siano gestiti (cloud o on premise).
È ulteriormente necessario garantire uno approccio Zero Trust, con un paradigma di sicurezza informatica incentrato sulla protezione delle risorse e la premessa che la fiducia non viene mai concessa implicitamente ma deve essere continuamente valutata nel perimetro «fluido» aziendale.
Lo Zero Trust si realizza intervenendo sulle risorse aziendali e sulla sicurezza dei dati mediante controlli sulle identità, le credenziali, la gestione degli accessi, le operazioni, gli endpoint, e l’infrastruttura di interconnessione.
Alcuni dei suoi obiettivi principali riguardano: la limitazione delle risorse a coloro che hanno la necessità di accedere concedendo solo privilegi minimi; l’abilitazione dell’autenticazione a doppio fattore per prevenire il furto di credenziali; la tenuta sotto controllo di tutti gli asset e delle policy di sicurezza; il controllo di tutti gli accessi, dagli endpoint alle applicazioni aziendali.
Quali che siano gli strumenti aziendali prescelti per realizzare un workplace operativamente abilitante e uno smart working sicuro è consigliabile conoscere bene le features di security offerte dalle suite software. Giorgio Prino commerciale di Pragma Progetti suggerisce l’adozione di Microsoft365 Business Premium perché: “offre funzionalità di protezione dalle minacce, protezione dei dati e gestione dei dispositivi per evitare minacce online e accessi non autorizzati, oltre a proteggere e gestire i dati aziendali su telefoni, tablet e computer. In particolare” spiega “il prodotto è dotato delle features di protezione: Advanced Threat Protection (ATP), Windows Defender che operano contro malware, ransomware, virus e spyware. E la feature di Message Encryption che combina funzionalità di crittografia e diritti di accesso per garantire che solo i destinatari previsti possano visualizzare il contenuto dei messaggi”.
Un’altra caratteristica spesso sottovalutata nella scelta di soluzioni abilitanti è la facilità di configurazione e l’usabilità degli strumenti prescelti.
Questo tema è particolarmente sentito nelle PMI o nelle imprese che non hanno un gruppo IT interno, o in cui il ricorso all’outsourcing è prassi.
In effetti, il rischio è che non conoscendo le prassi di sicurezza, o in assenza di policy aziendali il personale preposto alla prima installazione e alla configurazione non sappia come procedere per impostare una policy piuttosto che un’altra fra quelle eventualmente proposte dal tool. In questi casi la presenza di wizard di configurazione e il supporto di un processo guidato possono aiutare a conseguire il task.
In questo senso Giorgio Prino chiarisce come “i wizard siano eseguiti solitamente dagli amministratori dei servizi sollevando gli utenti dal compiere particolari operazioni nell’applicazione delle varie policy. Queste ultime sono applicate mediante un deploy che non rappresenta particolari impatti operativi per gli utenti. L’esempio è quello del Data Loss Prevention (DLP). La prevenzione della perdita di dati (DLP) è un importante elemento dei sistemi di messaggistica aziendale a causa del vasto uso di posta elettronica per importanti comunicazioni aziendali che includono anche dati sensibili. Per poter applicare requisiti di conformità nella gestione della posta elettronica per quel tipo di dato sensibile senza ostacolare la produttività dei lavoratori, si devono applicare le funzionalità di prevenzione della perdita di dati”.
Per le aziende che scelgono servizi di outsourcing affidandosi a consulenti esterni il consiglio è quello di verificare sempre all’inizio della collaborazione sia le competenze, sia le certificazioni ma anche di concordare livelli di servizio per interventi che possano avviare e mantenere nel tempo la caratteristica di uno smart working sicuro, (supporto dell’utenza, impostazioni e configurazioni, risoluzione problemi).
“In questi casi” conclude Giorgio Prino “prima di implementare le varie policy di sicurezza conviene effettuare un’analisi della realtà aziendale in cui ci si trova e pianificare correttamente il processo, per capire quali feature possono essere applicate e la tipologia di impatto che possono provocare una volta messe in produzione”.
Contributo editoriale sviluppato in collaborazione con Pragma Progetti.
