LA GUIDA PRATICA

Security policy dello smart working: guida pratica per i datori di lavoro

L’aumento del numero di lavoratori a distanza nel contesto della pandemia di Covid-19 ha contribuito a moltiplicare proporzionalmente i rischi informatici per le aziende. Ecco un’utile guida pratica per realizzare una efficace security policy dello smart working

21 Mag 2020
D
Giampaolo Dedola

Senior security researcher (GReAT) di Kaspersky

Nel contesto della pandemia di Covid-19, Internet ha giocato e sta giocando un ruolo ancora più centrale in tutto il mondo consentendo alle persone di lavorare da casa in modalità smart working, di studiare, accedere ai contenuti in streaming, giocare online e comunicare con le persone attraverso i social media e le app di videoconferenza.

Anche le aziende stesse hanno dovuto trovare il modo di sfruttare tutte le opportunità che offre il digitale per continuare a fornire ai clienti i propri servizi, o per soddisfare le nuove esigenze dei consumatori e allo stesso tempo garantire la continuità delle entrate.

Security policy dello smart working: il contesto

Il 75% delle aziende ha ampliato le proprie politiche interne legate al lavoro da casa e sta investendo di più in tecnologie chiave che siano in grado di supportare il lavoro da remoto. In previsione molte di loro, infatti, si aspettano di spendere di più per garantire la comunicazione e la collaborazione tra i dipendenti (43%), per i dispositivi e i servizi mobili (37%), per la larghezza di banda e la capacità di rete (32%) e per la sicurezza informatica (28%).

WHITEPAPER
8 benefici dell’hybrid work che faranno bene al tuo business
Risorse Umane/Organizzazione
Smart working

L’aumento del numero di lavoratori a distanza ha moltiplicato proporzionalmente i rischi informatici legati allo smart working che Kaspersky aveva già evidenziato in periodo pre-crisi conducendo una ricerca e interrogando un totale di 3.041 dipendenti IT di piccole e medie imprese operanti in 29 Paesi in tutto il mondo. Agli intervistati era stata chiesta come fosse organizzata la loro infrastruttura IT, quali persone fossero coinvolte nella gestione della sicurezza informatica e che tipo di strumenti e servizi in-the-cloud fossero adottati. Da questa indagine è emerso che quasi un’azienda su due, 50% nel caso di imprese molto piccole e 40% per le piccole medie imprese, permetteva già prima ai propri dipendenti di lavorare da remoto. Ovviamente nella situazione di quarantena, queste percentuali sono cresciute notevolmente, raggiungendo quasi il 100%.

Security policy dello smart working: le minacce

Un comportamento che causa dei rischi è il fatto che in questi casi, le comunicazioni di tipo personale vengono spesso mescolate a quelle aziendali poiché i dipendenti utilizzano i propri dispositivi per lavoro e viceversa. La connessione a una vasta gamma di servizi cloud, l’installazione di software o l’utilizzo di dispositivi mobili possono rappresentare nuove sfide per gli amministratori IT che devono tenere sotto controllo ogni elemento attenendosi, allo stesso tempo, alle security policy. Questa situazione rende ancora più importante la necessità di verificare quanto un’azienda sia pronta ad affrontare le sfide poste dal lavoro da remoto in termini di sicurezza informatica.

Ransomware, infezioni da malware e spionaggio aziendale sono tra le minacce che devono essere considerate in ogni momento, e la scarsa sicurezza delle reti domestiche amplifica il rischio di infezione.

Si è già parlato del malware che in occasione dell’emergenza legata alla Covid-19 è stato inserito in file che dovevano sembrare documenti informativi riguardo al virus e che avevano come obiettivi settori quali i trasporti, la produzione, l’ospitalità, l’assistenza sanitaria e le assicurazioni.

Un altro rischio che potremmo definire “interno” alle aziende è la scarsa formazione dei dipendenti in materia di sicurezza informatica.

I team dei reparti IT e di sicurezza possono fissare delle security policy per consentire o meno l’accesso ai dipendenti a determinati file e cartelle, ma rimane sempre la possibilità dell’errore umano. I dipendenti, infatti, sono diventati un obiettivo primario per la criminalità informatica: sfruttare le debolezze umane come la disattenzione, l’ignoranza o la negligenza è molto più facile e meno costoso che cercare di ingannare sofisticati software di protezione.

Lo scorso anno, il 67% dei furti di credenziali ha avuto successo grazie a errori causati da dipendenti disattenti che si sono lasciati ingannare da truffe di phishing. L’impatto finanziario medio annuo per una PMI, che rappresenta la tipologia di aziende più diffuse in Italia, di una violazione dei dati causata da un uso inappropriato delle risorse IT da parte dei dipendenti è di circa 116.000 dollari[1]. Una cifra che rischierebbe di mettere in ginocchio un’azienda di piccole dimensioni. Da un recente report di Kaspersky, che ha visto il coinvolgimento di 6.000 dipendenti in tutto il mondo e di 550 solo in Italia, è inoltre emerso che almeno il 73% degli italiani coinvolti dal sondaggio ha dichiarato di non aver avuto una formazione in tema di sicurezza informatica da quando ha iniziato a lavorare da remoto.

In questo momento di emergenza, questo dato risulta ancora più preoccupante se teniamo in considerazione che quasi un quarto (24%) dei dipendenti intervistati ha detto di aver già ricevuto, ad esempio, e-mail di phishing a tema Covid-19 e quindi sarebbe stato utile che avessero ricevuto la formazione necessaria per sapere come affrontare questi rischi. Il download accidentale di contenuti malevoli da questo tipo di e-mail può portare all’infezione dei dispositivi e anche alla compromissione dei dati aziendali con conseguenze enormi da un punto di vista economico e di reputazione.

Le basi di una security policy dello smart working

Tenendo conto di queste statistiche, per costruire un ambiente aziendale più sicuro e mettere i dipendenti nella condizione di lavorare in sicurezza anche da casa, molte organizzazioni dovrebbero inserire tra le loro priorità la questione relativa al rafforzamento e al miglioramento della consapevolezza in materia di sicurezza informatica dei loro dipendenti.

La formazione in materia di sicurezza informatica spesso viene percepita dai dipendenti come una attività faticosa e noiosa e che non ha nulla a che fare con le mansioni lavorative. È anche vero che qualche volta i programmi di formazione non sono adeguati alle esigenze dei dipendenti perché magari sono troppo brevi e le conoscenze non hanno il tempo di essere acquisite adeguatamente, o magari troppo lunghi e noiosi da completare, e pieni di informazioni irrilevanti.

Un programma di formazione in grado di migliorare davvero il livello di sicurezza di un’azienda dovrebbe includere attività di formazione non solo relative alla conoscenza della sicurezza informatica ma anche in grado di agire sul comportamento dei dipendenti.

Un dipendente adeguatamente formato seguirà le policy di sicurezza e le migliori pratiche fornendo un contributo importante alla protezione dell’azienda e alla sua reputazione e riducendo drasticamente la possibilità che l’azienda diventi vittima di un attacco informatico a causa di azioni guidate dalla mancanza di consapevolezza dei dipendenti. Una corretta security awareness che comprenda soluzioni per la formazione basate su behavioural science, data science e psychological and creative learning research, può aiutare le organizzazioni a sviluppare una cultura “cyber-safe”. Questo approccio permette di affrontare i problemi di sicurezza informatica che potrebbero colpire qualsiasi tipo di dipendente, a prescindere dal reparto in cui opera.

Un’altra abitudine dei dipendenti emersa durante il lockdown è quella di utilizzare servizi digitali personali per scopi lavorativi contribuendo all’aumento dei potenziali rischi connessi agli Shadow IT, compresa la divulgazione di informazioni sensibili.

Ad esempio, il 43% dei dipendenti italiani utilizza account di posta elettronica personali per questioni di lavoro e il 49% ammette di farne uso con maggiore frequenza da quando lavora da casa. Il 39%, invece, utilizza app di messaggistica personali non approvate dai responsabili IT, e il 68% ha dichiarato di farlo con maggiore frequenza date le nuove circostanze

Spesso la praticità di alcuni servizi, riscontrata dai dipendenti, si scontra con le esigenze di business e sicurezza. Le aziende si trovano quindi nella posizione di non poter sempre soddisfare le richieste dei dipendenti di utilizzare alcuni servizi a scopi lavorativi.

È necessario trovare un equilibrio tra praticità e esigenze di business. Per fare ciò, le aziende dovrebbero fornire l’accesso a servizi che forniscano soltanto i privilegi minimi necessari, implementare una VPN e utilizzare sistemi aziendali sicuri e approvati. Questa tipologia di software può avere alcune restrizioni che influiscono leggermente sulla usability, ma offrono maggiori garanzie di sicurezza. In generale, dotarsi di una soluzione specifica per i servizi cloud potrebbe essere un primo passo importante.

I consigli per lavorare da remoto in sicurezza

In definitiva, per garantire che le aziende mantengano al sicuro i propri dipendenti e i dati aziendali durante il lavoro da remoto è consigliato seguire alcuni semplici consigli:

  • Per cominciare è importante che le aziende si assicurino che i dipendenti abbiano tutto ciò di cui hanno bisogno per lavorare in sicurezza anche da remoto e sappiano a chi rivolgersi in caso di problemi di sicurezza informatica. È importante prestare particolare attenzione a quei dipendenti che devono lavorare da casa utilizzando dispositivi personali, fornendo loro delle indicazioni e delle raccomandazioni specifiche a livello di cyber security.
  • Come abbiamo già detto è prioritario programmare delle occasioni di formazione di base per i dipendenti a tema sicurezza informatica. Si tratta di un tipo di formazione che può essere fatta anche online e che dovrebbe riguardare alcune tematiche essenziali, come la gestione di account e password, la sicurezza della posta elettronica, degli endpoint e della navigazione online.
  • Adottare misure fondamentali per la protezione dei dati, così da salvaguardarli insieme ai dispositivi aziendali, come l’attivazione di una protezione tramite password, la crittografia dei dispositivi di lavoro e la garanzia di un backup per i dati.
  • Assicurarsi sempre che tutti i dispositivi, software, applicazioni e servizi siano sempre aggiornati con le ultime patch.
  • Installare un software di protezione sicuro su ogni endpoint compresi i dispositivi mobili e attivare il firewall. Il prodotto di protezione dovrebbe includere la protezione dalle minacce web e dal phishing tramite e-mail.
  • Prestare la massima attenzione alla protezione dei dispositivi mobili: abilitare le funzionalità antifurto come l’individuazione della posizione del dispositivo, il blocco e la cancellazione dei dati, il blocco dello schermo e la password, e il Face ID o il Touch ID: abilitare il controllo delle applicazioni per garantire che siano installate solo quelle della white list.

Molto importante, inoltre, adottare strumenti di controllo e protezione degli endpoint aziendali in grado di aiutare gli amministratori IT a mantenere una maggiore trasparenza sull’IT aziendale e a garantire che all’interno della propria organizzazione vengano utilizzati solo servizi cloud affidabili.

Infine, una eventuale funzione di rilevamento del cloud consente di definire la lista dei servizi in-the-cloud autorizzati che soddisfano i criteri di sicurezza aziendali e di garantire che questo elenco venga rispettato.

NOTE

  1. Kaspersky “IT security economics in 2019”

WHITEPAPER
Una semplice guida pratica per imparare ad usare una Virtual Private Network
Software Defined Networking
Wide Area Network
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2