È uno degli “effetti collaterali” della pandemia da Covid-19 che, secondo gli esperti di organizzazione aziendale, è destinato ad avere il maggiore impatto su lavoratori e collaboratori. L’adozione forzata del lavoro in remoto nel corso dell’emergenza sanitaria, infatti, avrebbe funzionato come acceleratore per il (già previsto) passaggio a forme di lavoro ispirate allo smart working.
D’altra parte, spiegano gli esperti, le tecnologie per lavorare, comunicare e collaborare a distanza e in mobilità non manca e un loro uso intensivo porta vantaggi sia alle aziende, che hanno riscontri sotto il profilo dell’aumento di produttività e dell’ottimizzazione dei costi per la gestione degli uffici, sia ai lavoratori, che possono gestire il loro tempo con maggiore libertà. L’unico tasto dolente segalato da tutti è quello della cyber security.
Nonostante il lungo training, la prospettiva di uno smart working sicuro è ancora lontana.
Indice degli argomenti
Emergenza cyber attacchi
A confermare le carenze in tema di sicurezza informatica sono le statistiche relative agli incidenti e violazioni avvenuti nel corso del 2020. Tutti i dati riportati dalle società di sicurezza e dagli enti indipendenti segnalano una crescita esponenziale dell’attività dei cyber criminali, che hanno sfruttato la situazione per mettere a segno attacchi sempre più dannosi.
A facilitare il lavoro agli hacker hanno contribuito anche le aziende, che in molti casi hanno implementato strumenti di smart working in tempi brevissimi, senza avere una struttura sufficiente solida (e sicura) per gestire questa modalità di collaborazione a distanza. “Per molte aziende, non c’è stato il tempo materiale di studiare a tavolino una strategia adeguata, c’è stata solo l’urgenza di far lavorare in remoto i propri dipendenti” conferma Massimo Mattana, Sr. Technical Account Manager di Emm&mme Informatica. “Le soluzioni di sicurezza utilizzate erano nella maggior parte dei casi frutto di improvvisazione, utilizzando in molti casi strumenti obsoleti o configurati in maniera errata”.
La casistica riportata dagli esperti di sicurezza, in questo caso, è estremamente variegata. In molti casi, per esempio, le aziende hanno predisposto il lavoro a distanza utilizzando semplici strumenti di controllo remoto collegati ai computer aziendali, che venivano lasciati accesi giorno e notte nella sede delle aziende, con il rischio che chiunque avesse accesso fisico agli uffici potesse utilizzarli.
I rischi di sicurezza nella rete domestica
Uno dei fattori critici a livello di sicurezza è legato a elementi “ambientali” e, in particolare, al livello di security offerto dalla rete a cui ci si collega. In una situazione di smart working improvvisata come quella descritta, i lavoratori si trovano a operare in un ambiente con strumenti di protezione nemmeno lontanamente paragonabili a quelli aziendali.
Il transito di dati sensibili in una rete Wi-Fi gestita da un router domestico, senza alcun firewall configurato ad hoc e strumenti di monitoraggio per individuare eventuali attacchi rappresenta, di per sé, un vero e proprio incubo per un responsabile di sicurezza informatica.
Anche l’uso di VPN, che hanno rappresentato il più comune accorgimento adottato dalle aziende, non è risolutivo per definizione. Soprattutto se “introno” alla VPN ci sono dispositivi e sistemi non aggiornati o insicuri. Ancora più pericoloso il fatto che molti amministratori IT, per consentire l’accesso alle risorse aziendali, abbiano esposto su Internet i server, aprendo le porte per consentire il collegamento ai lavoratori in smart working.
VPN: cos’è, come funziona e a cosa serve una Virtual Private Network
Il nodo dei dispositivi
Un ulteriore elemento di rischio, in questa fase, è stato quello dei dispositivi utilizzati dai lavoratori durante lo smart working “forzato”. Molte aziende, infatti, non avevano in dotazione sufficienti computer portatili per garantire ai lavoratori l’utilizzo di un dispositivo sicuro.
In molti casi ci si è trovati costretti ad adottare la logica del BYOD (Bring Your Own Device) con tutti i rischi collegati all’uso di un computer che, in molti casi, veniva utilizzato anche da altri familiari.
Questo aspetto, però, è meno incisivo di quanto possa sembrare. “Ci sono due approcci equivalenti per quanto riguarda questo tema” spiega Mattana. “Nel primo si può decidere di fornire un device aziendale, totalmente gestito e controllato dal dipartimento IT, in modo da essere certi della sicurezza del device. Nel secondo si può pensare di permettere l’uso del device personale se dietro si è scelto una soluzione robusta di accesso remoto.”
Il fattore umano nello smart working sicuro
Al di là delle condizioni ambientali e dei dispositivi utilizzati, l’equazione della cyber security comprende due elementi fondamentali: uomo e macchina. Laddove esistono limiti tecnici che impattano l’area tecnologica (ovvero la macchina), il livello di protezione dei dati dipende dal fattore umano.
In altre parole: un utente in grado di riconoscere ed evitare le minacce informatiche può compensare, con la sua preparazione, eventuali carenze a livello degli strumenti di protezione.
Il tema, insomma, è quello della formazione e dell’awareness, ambito in cui le aziende stanno cominciando a investire ma in cui si registra ancora una certa inerzia.
La prospettiva di una maggiore diffusione del lavoro remoto e in mobilità passa, in definitiva, anche dalla creazione di una vera “cultura della sicurezza”, che consenta di irrobustire i processi e mitigare il rischio di incidenti informatici dettati da errori umani.
Il fattore umano nella cyber security aziendale: regole di gestione e soluzioni di sicurezza
Le prospettive tecnologiche per il futuro
Nell’ottica di un mondo del lavoro in cui lo smart working assurga a “normalità”, la predisposizione di strumenti di collaborazione in remoto sicuri è una priorità per qualsiasi azienda. L’augurio è che si possa contare su un ecosistema IT più preparato alle nuove esigenze e una maggiore diffusione di soluzioni ispirate alla logica della “security by design”.
Una di quelle più affidabili, conferma Mattana, è quella di utilizzare Virtual Desktop/VDI che permettono di assicurare un buon livello di sicurezza concentrando gli sforzi a livello di backend. “Strumenti come Windows Virtual Desktop su Microsoft Azure consentono di ottenere questi risultati” spiega l’esperto di Emm&mme. “Non è necessario dotare l’azienda di hardware dedicato o di riservare della potenza di calcolo sulla struttura esistente, mentre sul lato security gli accessi al sistema sono basati sulla tecnologia di Microsoft 365 con autenticazione multi-fattore e un controllo degli accessi avanzato, anche se l’azienda non dovesse già in precedenza aver adottato lo stesso Microsoft 365”.
Insomma: l’adozione delle soluzioni cloud, che hanno già ampiamente preso piede nel tessuto produttivo, può rappresentare uno dei pilastri su cui edificare uno smart working sicuro.
Contributo editoriale sviluppato in collaborazione con Emm&mme Informatica.