Lo smart working richiede consapevolezza dei possibili rischi per la cyber security. Infatti, consente o incoraggia l’utilizzo dei propri dispositivi per lavorare in qualunque posto. Sono evidenti i benefici economico-sociali potenziali per le aziende e per i dipendenti, ma è importante prendere in considerazione le possibili problematiche legate alla sicurezza delle tecnologie digitali utilizzate, delle reti e dei dispositivi. Vediamo quali sono i rischi e com’è possibile mitigarli con costi sostenibili o quasi nulli.
Indice degli argomenti
Smart working: fattori di rischio esterni all’azienda
I numeri in gioco sono importanti: circa il 40% delle aziende vittime di attacchi ha subito exploit o perdite importanti che hanno visto i dispositivi mobili per il lavoro da remoto come vettori di attacco. I numeri relativi alle possibili perdite sono significativi: si parla di costo aziendale medio di 1.400.000 euro circa per un incidente di sicurezza che implichi perdite di dati attraverso device mobili.
Le cause di uno scenario di questo tipo sono diverse e si riferiscono ad una situazione che vede, da un lato, le funzionalità dei dispositivi in continuo sviluppo e dall’altro la proliferazione delle minacce informatiche in evoluzione: si va dai software dannosi ai siti malevoli, fino ad attacchi di phishing mirati ai dispositivi mobili.
I cyber criminali sono sempre alla ricerca di obiettivi da attaccare e nuovi orizzonti da sfruttare, dai quali poter trarre vantaggi, per lo più in termini economici e mostrano di essere sempre all’avanguardia rispetto al mondo che sta cambiando. L’uso crescente dei dispositivi personali per scopi aziendali, il fenomeno del cosiddetto BYOD (Bring Your Own Device), quindi, costituisce un obiettivo allettante per i cyber criminali e pone i responsabili della sicurezza delle varie realtà produttive di fronte a nuove sfide per la gestione ed il controllo delle infrastrutture, anche al di fuori del normale perimetro aziendale.
Gli attaccanti sfruttano, infatti, vari metodi per ottenere accesso non autorizzato ai dispositivi mobili, tra cui applicazioni infette, reti Wi-Fi pubbliche con bassi livelli di sicurezza, attacchi di phishing e messaggi dannosi. Il rischio esiste in molte situazioni, anche in quelle che possono sembrare apparentemente innocue: basta accedere ad un sito dannoso o che appare come legittimo ma in realtà è compromesso da un codice malevolo.
Anche collegarsi per la ricarica dei dispositivi o per mettere in contatto, ad esempio lo smartphone con il computer può determinare un pericolo nella trasmissione di minacce dannose e un rischio per la sicurezza dei dati archiviati o per i quali si hanno accessi.
Smart working: fattori di rischio interni all’azienda
Il problema della sicurezza, inoltre, non è determinato solo da cause esterne, come attacchi, tentativi di furto di dati e campagne targhettizzate, ma anche da un fattore intero che può rivelarsi molto pericoloso.
I dipendenti che utilizzano i propri device mobili per lavoro da remoto, ma anche per uso personale, portano ad un potenziale aumento del rischio di violazione della sicurezza informatica. La mancanza di conoscenza e di preparazione da parte dei dipendenti inoltre può determinare l’insorgenza di ulteriori fattori di rischio.
Un altro aspetto da non sottovalutare riguarda il fatto che molti dipendenti credono che la propria azienda non abbia stabilito alcuna policy relativa alla sicurezza informatica, pur essendo consapevoli che tutti dovrebbero assumersi la responsabilità della protezione delle risorse dalle minacce informatiche.
Il problema è che lo staff a volte si comporta in modo completamente opposto: pare che il personale disattento abbia infatti contribuito agli incidenti di cyber sicurezza nell’80% dei casi avvenuti nello scorso anno. Tutte queste condizioni relative alla sicurezza potrebbero rivelarsi pericolose sia per le grandi realtà aziendali sia per le piccole imprese.
I dirigenti aziendali, i responsabili delle risorse umane e della divisione finanza, che hanno accesso ai dati sensibili all’interno di realtà enterprise, sono di solito gli utenti maggiormente presi di mira dai cybercriminali.
Se rivolgiamo l’attenzione alle realtà più piccole, invece, spesso vediamo che non esiste personale dedicato alla cyber security, le responsabilità sono distribuite tra personale IT e non IT e che il contraccolpo dal punto di vista economico per loro potrebbe essere più impattante. Trascurare anche le regole più semplici, come cambiare password o installare aggiornamenti necessari, in imprese di tutte le dimensioni, potrebbe compromettere l’intera sicurezza aziendale.
I consigli per mettere in sicurezza lo smart working
Per affrontare tutti questi problemi in modo proattivo e non farsi trovare impreparati di fronte ad un panorama di minacce in continua evoluzione, le aziende di piccole e medie dimensioni dovrebbero adottare un approccio che combina formazione e protezione: è importante avvalersi sia di regolari training di formazione sull’importanza della sicurezza informatica per lo staff, sia di soluzioni di sicurezza personalizzate in base a specifiche esigenze dell’azienda.
Con la digital transformation ormai avviata e la sempre più forte relazione tra mondo della tecnologia e operation aziendali per realtà di varie dimensioni e di vari settori, la sicurezza è un punto fondamentale, per quel che riguarda sia la formazione, sia le soluzioni da adottare, che deve essere preso in seria considerazione.
Questo punto, insieme ad una chiara strategia di business e all’impegno dei propri team di lavoro, può determinare il successo duraturo di un’impresa e fare la differenza nelle performance rispetto ai competitor.
Sistema di autenticazione a due fattori
Con riferimento alla sicurezza dei dati dell’azienda cui il lavoratore accede, sarebbe opportuno operare su diversi piani.
Il primo è il controllo degli accessi e delle credenziali, con autenticazione a doppio fattore e notifica in tempo reale di eventuali problemi. Detto in termini più semplici, è opportuno adottare strumenti per cui il datore di lavoro possa essere certo che il lavoratore che si sta collegando all’archivio di dati dell’azienda sia proprio lui.
L’unico modo è prevedere un sistema di accesso, in particolare autenticazione e autorizzazione, che sia più complesso di una semplice password unita a un nome utente ma che richieda o un dispositivo hardware (un token, una chiavetta USB, una smartcard, un sistema di OTP o di generatore di codici come quello fornito dalle banche) o che invii sul dispositivo del lavoratore un codice ogni volta che sia richiesto l’accesso.
Questo sistema di autenticazione a due fattori (dove il secondo fattore è, appunto, l’invio di un codice univoco sul telefonino del lavoratore che, si presume, sia sempre in suo possesso) ripara dalla possibilità di furto delle credenziali del lavoratore, un furto che può avvenire anche tramite l’inganno (un accadimento, oggi, molto comune).
Il problema della connessione lavoratore–sistema informatico dell’azienda è il primo problema di sicurezza da risolvere, un aspetto di fondamentale importanza che può mettere a rischio tutto il sistema. Anche l’accesso alle reti wireless aziendali o la connessione fisica a prese di rete, per quei dipendenti che frequentano i locali aziendali in orari non predeterminati, diventa un aspetto da tenere in considerazione e da regolamentare da un punto di vista della sicurezza degli accessi.
Profili di autorizzazione
Un secondo punto riguarda, invece, i profili di autorizzazione. Il lavoratore che si collega da remoto al sistema aziendale deve poter “vedere”, e usare, soltanto i dati che si riferiscono esplicitamente alle sue mansioni e non potrebbe consultare, al contrario, aree del sistema, cartelle o dati che contengono informazioni non afferenti ai suoi compiti in azienda.
Il “limitare” in camere stagne l’accesso dei dipendenti, non consentendo loro di vedere le informazioni critiche della realtà aziendale, diventa fondamentale quando si apre la possibilità di accedere ai dati a qualsiasi momento del giorno e della notte e da ogni luogo.
Sicurezza della strumentazione tecnologica
Per proteggere, poi, la banca dati aziendale da attacchi o problemi di sicurezza che possono provenire non direttamente dal lavoratore ma da un malfunzionamento o vulnerabilità dei suoi strumenti, è opportuno che il datore di lavoro consegni al lavoratore degli strumenti che siano perfettamente configurati da un punto di vista della sicurezza, anche rispettando le indicazioni che sono fornire nella normativa GDPR e nelle misure di sicurezza previste da Agid. In estrema sintesi, fondamentale è uno strumento dotato di antivirus, di un sistema di backup, di un sistema di cifratura dei dati e di una connessione cifrata.
L’antivirus protegge, appunto, dai virus che potrebbero infettare lo strumento aziendale in mano al dipendente ed estendere danni anche a computer aziendali a esso connessi (si pensi a un ransomware che riesca a cifrare e “sequestrare” anche i dati dei dispositivi connessi in rete o nel cloud). Il backup in tempo reale fa sì che tutto il lavoro del dipendente, in caso d’incidente informatico, non vada perduto. Il backup deve essere effettuato su server sicuri dell’azienda, a cadenza regolare e anche senza bisogno di un intervento del dipendente.
La cifratura delle informazioni serve a far sì che in caso di furto o smarrimento del dispositivo, quale esso sia, non sia possibile recuperare in alcun modo i dati aziendali. Meglio sarebbe se la cifratura fosse trasparente per l’utente finale, collegata alle sue credenziali di accesso.
Infine, le comunicazioni cifrate tra il dispositivo e i server aziendali consentono di far sì che le informazioni non siano intercettabili con il sistema del man-in-the-middle (un soggetto che si posiziona a metà tra chi parla e chi ascolta e intercetta i pacchetti di dati).
Si ricordi, ultimo ma non ultimo, che la sicurezza in questo quadro è molto condizionata anche dalle istruzioni (tecniche) che il datore di lavoro dovrebbe fornire al dipendente insieme alle tecnologie che utilizzerà: queste istruzioni dovrebbero essere sia un sintetico decalogo sui comportamenti da tenere per garantire un buon livello di sicurezza (il fattore dei comportamenti è cruciale), sia un’informazione accurata su quali tipi di controllo può esercitare il datore di lavoro sugli strumenti che possano incidere anche sulla privacy del lavoratore.
Piano di backup e protezione dal malware
La security by design deve anche prendere in considerazione la possibilità che il dato possa andare perduto, garantendo – o, meglio, suggerendo – una costante ridondanza delle informazioni. Tutti i sistemi operativi (anche sugli smartphone) consentono oggi di impostare un efficiente piano di backup di tutti i dati che sia trasparente all’utente, ossia che non richieda ogni volta azioni specifiche che potrebbero, sul lungo periodo, dissuadere l’utente.
La ridondanza dei dati oggi mette al sicuro sia da danni accidentali (smarrimento del dispositivo, rottura di un disco), sia da attacchi informatici veri e propri sia, infine, dall’attacco del più comune tipo di malware circolante, il ransomware, che “sequestra” i dati cifrandoli e domandando un riscatto.
Funzione di moral suasion
Infine, non meno importante, la security by design ha anche una funzione, in alcuni casi, di moral suasion: induce nell’utente alcuni comportamenti che sono sicuri dissuadendo, allo stesso tempo, dal tenerne altri.
Si pensi, ad esempio, al sistema che impedisce l’utilizzo di una determinata password perché ritenuta insicura (obbligando quindi l’utente a sceglierne una più complessa), a una funzione che evidenzia con un led l’attivazione di una webcam per impedire riprese di nascosto, alla richiesta o comunicazione esplicita dell’attivazione di un sistema di geolocalizzazione (ad esempio il GPS) che potrebbe tracciare l’utente o, infine, a un obbligo di attivare connessioni sicure verso un sito (“obbligando a una connessione HTTPS”) o verso un dispositivo che contiene dati sensibili (come un braccialetto che monitora il fitness e l’attività corporea).
Smart working e nuovo Regolamento europeo sulla privacy
Il nuovo Regolamento Europeo sulla protezione dei dati (GDPR) può essere utilizzato come opportunità per regolare il fenomeno dello smart working anche e soprattutto sotto il profilo della sicurezza dei dati e dei perimetri dei sistemi IT aziendali.
Il GDPR, infatti a differenza del vecchio Codice Privacy obbliga il titolare del trattamento a prevedere misure tecniche ed organizzative idonee a prevenire la perdita dei dati personali e atte a garantire la sicurezza informatica.
Scardina quindi il vecchio sistema dell’allegato B del decreto legislativo 196/03 in cui erano “elencate” le misure di sicurezza (spesso poi prive di vera effettività protettiva) per lasciare il posto ad una situazione più “libera” e manovrabile, in ossequio al principio di accountability e quindi ad una responsabilizzazione del titolare.
Come in un gioco degli specchi, quindi, l’istituto dello smart working responsabilizza il dipendente, il GDPR responsabilizza il titolare del trattamento. Anche se in realtà non possiamo far altro che attendere il futuro per comprendere quale sarà il reale impatto fattuale del GDPR sul fenomeno in questione.
Conclusioni
Un buon cocktail, insomma, tra misure di sicurezza, attenzione ai comportamenti, tecnologie evolute, formazione e istruzioni dettagliate sul rapporto che si viene creare tra dipendente, tecnologia e azienda, è essenziale per disegnare un ambiente veramente sicuro.
Il concetto di security by design diventa tanto più sofisticato quanto più si evolvono i dispositivi, soprattutto, quanto più è il tempo che l’utente passa online o connesso ai dispositivi, spostando continuamente il suo patrimonio di dati in un contesto digitale.
La “tecnologicizzazione” del lavoro richiede alle imprese una trasformazione culturale in termini di revisione delle infrastrutture IT e di incremento degli investimenti per rendere più efficace la pianificazione delle attività svolte dai lavoratori a distanza mediante l’adozione di devices mobili.
Impianti di videoconferenza e sistemi di VPN (Virtual Private Network) consentono, infatti, l’interazione fra più soggetti o gruppi di lavoro dislocati in diverse sedi aziendali, evitando i costi della trasferta. Ma troppo spesso le aziende trascurano un fattore essenziale: la formazione dei lavoratori come strumento per ridurre il rischio di perdita, distruzione o diffusione indebita dei dati personali.
La formazione e la cultura della sicurezza del dato è un fattore fondamentale sul quale però non ho insistito molto in questo post per focalizzare maggiormente l’attenzione sulla sicurezza by design come ombrello più ampio necessario per poi introdurre più facilmente la formazione continua come strumento critico di successo nella protezione dei dati aziendali.
Lo smart working o lavoro agile origina dalla volontà di contemperare aspetti apparentemente contrastanti come le esigenze lavorative dell’impresa e quelle individuali del dipendente. Il bilanciamento di necessità tanto diverse avviene ricorrendo al concetto di flessibilità, termine che compare anche nella definizione data dall’Osservatorio Smart Working, nato ufficialmente nel 2012 con lo scopo di monitorare la trasformazione del mondo del lavoro.
Il lavoro agile, “filosofia manageriale fondata sulla restituzione alle persone di flessibilità ed autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare, a fronte di una maggiore responsabilizzazione sui risultati”, consiste in un nuovo approccio al lavoro, sicuramente più competitivo ed elastico con riferimento al luogo e all’orario che però va gestito correttamente in termini di formazione e di approccio di security by design alla protezione personalizzata.
