Lavorare in sicurezza prerequisito per lo smart working. Come fare? | ZeroUno

Lavorare in sicurezza prerequisito per lo smart working. Come fare?

pittogramma Zerouno

Prospettive

Lavorare in sicurezza prerequisito per lo smart working. Come fare?

Di fronte all’evidente permanere di modalità di lavoro da remoto anche una volta usciti dall’emergenza, è necessario ripensare come garantire protezione dalle minacce dei criminali informatici a tutti gli smart workers, loro vittime preferite, punto di accesso “facile” alle reti e ai dati aziendali. Le soluzioni improvvisate nei primi mesi di lockdown vanno sostituite con nuovi strumenti e strategie accompagnati da ben note buone pratiche non ancora da tutti applicate.

17 Giu 2021

di Marta Abba'

Nel new normal sono davvero pochi i “copia e incolla” dall’era pre-Covid che si possono effettuare con successo anche in ambito lavorativo perché la disruption registrata con il lockdown e l’impennata dello smart working richiedono alle aziende di adottare nuove abitudini e nuovi processi. Questo è più che mai vero nell’ambito della sicurezza in cui sono i dati di fatto che chiedono a gran voce attenzione e cambiamenti soprattutto per quanto riguarda il lavoro da remoto, non più riservato ai soli vertici ma praticato da un numero elevato di dipendenti.
New call-to-action
Oltre quindi a garantire efficienza e operatività per tutti coloro che sono in smart working è essenziale affrontare il tema della cyber security in parte applicando buone pratiche note da tempo ma sempre trascurate, in parte sperimentando i nuovi strumenti che la tecnologia mette a disposizione dimostrandosi ancora una volta una preziosa alleata in questa fase di ri-progettazione e ri-costruzione di un modo di lavorare nuovo, diverso, più sicuro e allo stesso tempo anche più rispettoso del work life balance, una chimera ancora per molti.

Smart workers vittima preferita dei cyber criminali

Nel 2020 il bersaglio preferito degli hacker sono stati i pc dei dipendenti, l’anello debole della catena verso cui il numero degli attacchi è raddoppiato raggiungendo la cifra di 85mila a livello mondiale, secondo i dati del Security Operations Center di Fastweb pubblicati a marzo 2021. Ciò che è accaduto ormai oltre un anno fa è chiaro a tutti: dovendo improvvisare modalità di lavoro da remoto in poche ore, dal nulla, molti non sono riusciti a dotare i propri dipendenti di laptop aziendali con conseguente utilizzo di dispositivi personali. Questi end point sono solitamente più vulnerabili a malware e virus, a loro volta nel 2020 aumentati del 40% per il 40% delle grandi imprese secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano. Nello stesso studio si osserva anche che chi investe si concentra soprattutto sulla componente tecnologica: le soluzioni di sicurezza di base come antivirus e firewall sono le più richieste (41%) anche se molti hanno compreso che è necessario fare un passo in più verso sistemi di Intrusion Detection o Identity & Access Management (37%). Di pari passo dovrebbero arrivare anche gli investimenti in formazione dei dipendenti su sicurezza e data protection (32%) a cui affiancare eventualmente consulenze in cybersecurity (28%) e nuove figure come il Security Analyst o Security Administrator (18%).

10 cose da fare (o da non fare) per lavorare in sicurezza da remoto

La direzione delle risposte date in generale dalle aziende di fronte al pericolo rappresentato dal cybercrime non è affatto sbagliata, ma assieme a degli investimenti più coraggiosi serve in molti casi un approccio più coordinato e meno emergenziale che contempli tutti gli aspetti della sicurezza nel lavoro da remoto e dia vita a nuovi modelli di security adeguati al new normal.

Il cambiamento deve senz’altro partire dalle persone, dai singoli, con l’adozione di alcune buone pratiche che non richiedono un background tecnico ma solo buon senso, pazienza e costanza.

  1. Aggiornare costantemente sistema operativo ed i software
  2. Investire sulla formazione dei dipendenti sul tema Cyber Security
  3. Scegliere una password e un password manager sicuri, implementare autenticazione multi-fattore anche su account personali
  4. Ignorare messaggi, link, pop-up non necessari o di dubbia provenienza. Non aprire siti web discutibili o pericolosi
  5. Proteggere i propri dati personali e aziendali per evitare di essere impersonati
  6. Equipaggiare dispositivi personali e aziendali con software di sicurezza avanzati
  7. Organizzare il proprio spazio di lavoro
  8. Prestare attenzione alle email di (corona) phishing e telefonate sospette (vishing)
  9. Fare backup costanti e conservarli off-line
  10. Preparare piani di risposta alle crisi informatiche (almeno per gli scenari più comuni quali attacchi ransomware)

Strumenti per uno smart working a basso rischio

All’impegno dei singoli e collettivo per alzare le difese contro gli attacchi dei criminali informatici vanno affiancati anche degli strumenti efficaci per la difesa e anche per la prevenzione degli attacchi. Si tratta di soluzioni, dispositivi o software su cui le aziende dovrebbero investire ed è importante che lo possano fare con consapevolezza e lungimiranza.

Sia su pc che su smartphone è fondamentale utilizzare un buon antivirus e antimalware aggiornato, anche per i dispositivi personali, e installare anche un firewall affidabile che crei una sorta di barriera attorno a questi end point evitando che intrusi vi accedano o che programmi “corrotti” stabiliscano connessione indesiderata.

Nei primi due mesi di lockdown IBM con la sua piattaforma XForce Threat eXchange ha registrato un incremento dello spam del 6.000% e una crescita di spam e phishing sempre a tema Covid-19 del 14.000%. Cambierà probabilmente il tema, perché gli hacker ne troveranno uno nuovo più accattivante e ingannevole, ma le e-mail spam continueranno a pioggia e saranno sempre più spesso affiancate da siti web e account social compromessi, che diffondono malware. Per questo è necessario adottare strategie nuove come un approccio Zero Trust, in grado di migliorare la protezione delle applicazioni ed i dati aziendali sia da minacce esterne ma anche da minacce interne veicolate attraverso dispositivi compromessi.

Sistemi di autenticazione multi-fattore o biometrici sono in grado di assicurare l’identità del nostro utente ma devono essere affiancati a sistemi di monitoraggio e behavior analysis in grado di evidenziare problemi di sicurezza. A questo va aggiunta una gestione dei permessi attenta a garantire accesso alle sole applicazioni e dati necessari per il proprio lavoro.

E’ altresì fondamentale utilizzare strumenti di collaboration forniti dall’azienda, semplici e pratici da utilizzare, e scoraggiare o vietare l’utilizzo di strumenti non approvati dall’IT come servizi trasferimento dati di dubbia provenienza o che non sono compliant con le policy di sicurezza dell’azienda.

L’isolamento delle applicazioni più critiche, l’uso di sistemi di backup avanzati (possibilmente anche su sistemi multipli) ed una chiara strategia di Business Continuity consentono di rendere più complessa la penetrazione di un Ransomware e più agevole il ritorno alla normalità.

La dubbia ovvietà della VPN e le alternative possibili

Nella fretta del primo lockdown, a molte aziende la creazione di una VPN per lavorare in smart working anche con dispositivi non gestiti è sembrata l’opzione più conveniente in termini economici. Nei mesi successivi, pur rendendosi conto che l’esperimento di lavorare da remoto non sarebbe cessato a breve, poche sono tornate su questa decisione per analizzarne le criticità a lungo termine. Eppure ce ne sono, così come è altrettanto vero che esistono anche delle buone alternative.

Ecco alcune ragioni per le quali la VPN non è sicura e non è efficace:

  1. Protegge solo il canale di comunicazione, ma espone l’intera rete a minacce di sicurezza come la diffusione di ransomware e più in generale di software malevolo.
  2. Crea colli di bottiglia quando la forza lavoro da remoto supera piccole percentuali, causando rallentamenti a livello operativo.
  3. Introduce rischi quando si consente l’uso di dispositivi non aziendali e su cui potrebbero essere scaricati dati sensibili; eventuali malware presenti potrebbero essere in grado di rubare tali dati o scattare screenshot.
  4. Non è nativamente progettata per rilevare minacce né per intraprendere azioni correttive, se le sue credenziali sono compromesse; in mancanza di autenticazione multi-fattore gli hacker possono ottenere accessi privilegiati.
  5. Mette a rischio la privacy dei dipendenti perché comporta la backhauling di tutto il traffico sia aziendale, sia personale.
  6. In uno scenario di lavoro da remoto o smart working di lungo periodo si possono presentare diversi problemi: prestazioni non sufficienti delle applicazioni connesse in rete, trasferimenti dati di grandi dimensioni che impiegano molto tempo o applicazioni che smettono di funzionare correttamente dopo un aggiornamento. Queste situazioni generano stress e frustrazione nelle persone.

È evidente che la VPN, in un contesto in cui è possibile accedere alle risorse da dispositivi BYO, gestiti e non gestiti, non è tra le soluzioni più efficaci. L’ideale sarebbe poter consentire ai dipendenti l’accesso via browser a tutte le applicazioni di cui hanno bisogno usando virtualmente qualsiasi dispositivo, senza VPN, ma con misure di sicurezza robuste come l’autenticazione multifattoriale. E’ un ideale non utopistico ma possibile se, dopo una scelta comoda e giustificatamente affrettata, si osa esplorare possibili altre soluzioni innovative. C’è l’opportunità di farlo assieme a Citrix in un ciclo di incontri dedicati allo smart working nel new normal, in particolare in quello previsto per luglio in cui si parlerà di come gestire l’ufficio digitale e introdurre un nuovo modello di sicurezza per il lavoro da ogni luogo.

Marta Abba'

Giornalista

Laureata in Fisica e giornalista, per scrivere di tecnologia, ambiente e innovazione, applica il metodo scientifico. Dopo una gavetta realizzata spaziando tra cronaca politica e nera, si è appassionata alle startup realizzando uno speciale mensile per una agenzia di stampa. Da questa esperienza è passata a occuparsi di tematiche legate a innovazione, sostenibilità, nuove tecnologie e fintech con la stessa appassionata e genuina curiosità con cui, nei laboratori universitari, ha affrontato gli esperimenti scientifici.

Argomenti trattati

Approfondimenti

B
Backup
H
hacker
R
Ransomware

Articolo 1 di 4