Smart Working sicuro con una piattaforma di servizi dedicata

di Mario Pasquino  ^- IT Manager Security Trust 

Se qualcuno ci chiedesse di individuare la parola chiave di questo difficile primo trimestre 2020, “Smart Working” sarebbe sicuramente tra le favorite. Le misure di distanziamento sociale, unica arma a disposizione per contrastare l'epidemia dei contagi da COVID-19, hanno fornito un poderoso impulso alla diffusione di pratiche di lavoro da remoto: solamente in Italia si stima nei due mesi appena trascorsi un’impennata del 20%, con aziende ed Istituzioni che stanno tentando di supportare tale cambiamento senza precedenti. Un occhio di riguardo dovrebbe però essere riservato alla sicurezza: il coronavirus ha infatti messo alla prova non solo la sicurezza in termini di salute umana, ma anche la sicurezza e lo stato di salute dei dati aziendali, con minacce tanto interne quanto esterne all’azienda, che riguardano la sicurezza sia dei dispositivi che delle reti e dei dati che vengono coinvolti.

Questa emergenza ha infatti amplificato a livello mondiale l’accesso dall’esterno ai dati proprietari, spingendo i lavoratori ad utilizzare reti domestiche per continuare l’attività lavorativa e moltiplicando di conseguenza il rischio di una loro possibile violazione. È il fenomeno del cosiddetto BYOD (bring your own device) adottato dalle Aziende che permettono ai propri dipendenti e collaboratori di portare sul posto di lavoro e di utilizzare per scopi lavorativi dispositivi di proprietà personale come smartphone, tablet e laptop. Questo però implica che si acceda dall’esterno al sistema ed alla rete aziendale, coinvolgendo dispositivi non necessariamente sicuri e soprattutto fuori dal controllo dell’azienda stessa.

Tre tipologie di utenti

Abbiamo individuato tre categorie di utenti: 1) i più fortunati – che possono utilizzare la propria soluzione VDI (Virtual Desktop Infrastructure) ed i propri strumenti di collaboration pregressi (ad esempio Office365) per gestire il lavoro interamente da remoto; 2) chi non era preparato – che è corso ad attrezzarsi con soluzioni “pesate il minimo indispensabile” per abilitare il remote working (distribuzione laptop, abilitazione VPN, acquisto di qualche soluzione standalone); 3) chi si comporta in modo sconsiderato – es: “ti apro l’RDP/terminal server del PC in emergenza, lo pubblico su Internet, collegati da casa con il tuo notebook”.

Tre diversi rischi

I tre diversi approcci, che statisticamente appartengono a categorie di dimensioni aziendali diverse (dalla large Enterprise alla PMI), comportano per la natura dell’azienda rischi molto diversi ed i criminali sono consci di questo, ragion per cui non si tratta di prevedere un aumento degli attacchi informatici: stiamo già assistendo da settimane ad un incremento dei tentativi di attacco e ad un incremento di incidenti di sicurezza. Gli hacker sfruttano diverse strade per ottenere quell’accesso non autorizzato ai dispositivi mobili, ma tanto funzionale a danneggiare il sistema: applicazioni infette, reti Wi-Fi pubbliche con bassi livelli di sicurezza, piuttosto che attacchi di phishing e messaggi dannosi.

Il rischio è dietro l'angolo

Il rischio è davvero dietro l’angolo, anche in quelle circostanze a cui spesso si dà poco peso: un sito dannoso o che appare come legittimo, ma che è in realtà compromesso da un codice malevolo. Anche le dinamiche di collegamento smartphone-computer, sia per motivi di ricarica sia per trasferimento di contenuti, possono essere determinanti nel passaggio di minacce dannose per la sicurezza dei dati archiviati o per i quali si ha accesso. Tutto ciò genera rischi di cyber attacchi da parte di terzi con il possibile obiettivo di sottrarre dati e richiedere un riscatto per rilasciarli (fenomeno che costa oggi alle aziende in media 42 milioni di dollari a livello globale: solamente nel 2019 sono stati segnalati 1.670 noti di particolare gravità, ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili).⁽¹⁾

Serve rivedere i protocolli

Appare quindi evidente che una revisione generalizzata dei protocolli di sicurezza e la formazione capillare delle persone coinvolte appaiono urgenti per scongiurare il rischio che il cybercrime faccia tesoro di questa occasione per attaccare, a scopo di profitto o destabilizzazione politica, reti e sistemi pubblici, aziendali o personali (distinzione spesso vanificata proprio dall’uso promiscuo dei dispositivi), oggi più esposti e vulnerabili che mai.

Smarworking del lungo periodo

Definire e implementare buone pratiche di sicurezza informatica e Cyber Hygiene, d’altronde, è necessario anche per evitare che lo “Smart Working” resti relegato ad una pratica emergenziale: considerati gli innegabili vantaggi in termini di benessere delle persone coinvolte e di sostenibilità ambientale, infatti, questa pratica ha oggi la sua occasione per inserirsi a pieno titolo nel panorama del lavoro contemporaneo e restare con noi anche quando - si spera presto - la pandemia sarà sotto controllo, come possibile ricaduta positiva di questi tempi difficili.

Per uno smart working sicuro

Security Trust ha voluto mettere la propria esperienza pluriennale al servizio delle imprese progettando lo “Smart Working Box”, una piattaforma di servizi che consente di supportarle velocemente nell’adozione delle soluzioni corrette sia dal punto di vista giuslavoristico, organizzativo che tecnologico, partendo da un check-up su processi, modalità di lavoro e interazione tra le persone ad un IT assessment per analizzare e scannerizzare la struttura digitale alle fondamenta di tutto il flusso lavorativo, individuando le problematiche connesse sia all’ambiente hardware quanto software, ottimizzando le risorse, eliminando eventuali elementi inutili e favorendo il corretto funzionamento del sistema IT.

Per approfondire: https://www.securitytrust.it/it/

⁽¹⁾ Fonte: Rapporto CLUSIT 2020