La trasformazione del luogo di lavoro verso il concetto di modern workplace è in piena accelerazione e non solo per la diffusione sempre più capillare dello smart working. A trainare il fenomeno sono gli strumenti digitali di nuova generazione erogati attraverso piattaforma cloud, che hanno rivoluzionato la logica stessa nell’erogazione dei servizi all’interno e all’esterno dell’azienda. Un processo di trasformazione che ha un impatto significativo nei luoghi di lavoro e li ha, in pratica, ridisegnati completamente. Ma quali conseguenze hanno questi cambiamenti nella prospettiva della cyber security? Fabio Vernacotola, Security Lead Italy di Avanade non ha dubbi: con il modern workplace il tema della sicurezza informatica richiede un approccio più evoluto rispetto al passato.
Focus sull’informazione
Se la visione tradizionale della cyber security seguiva un approccio di protezione, la sua declinazione “moderna” è decisamente più orientata al controllo. Informazioni e servizi, infatti, devono essere disponibili ovunque e accessibili attraverso qualsiasi tipo di dispositivo. Un quadro in cui ragionare in termini di perimetro è pressoché impossibile. “Oggi gli esperti di sicurezza sanno che per proteggere i dati aziendali è necessario concentrarsi sull’informazione stessa, implementando un sistema che consenta di sapere in ogni momento chi sta accedendo ai servizi e ai dati, che tipo di informazione sta trattando e con quali modalità”. Una forma di monitoraggio che richiede strumenti decisamente più evoluti del semplice uso delle credenziali di accesso di un qualsiasi servizio Internet. La formula, in pratica, è quella dell’uso di sistemi CASB (Cloud Access Security Broker) che garantiscano un accesso sicuri a informazioni e servizi.
I due pilastri per la protezione dei dati
Nella logica di garantire l’integrità e la protezione delle informazioni presenti sui sistemi aziendali, il primo strumento di protezione è la crittografia, che consente di “nascondere” i dati sensibili a chi non è autorizzato ad accedervi o a trattarle. Una protezione che deve essere accompagnata anche da un’attività di classificazione delle informazioni sulla base della loro importanza. Più l’informazione o il servizio sono sensibili, maggiore deve essere il livello di controllo per l’accesso.
Il secondo pilastro di un sistema di protezione efficace riguarda invece la gestione e il controllo dell’identità degli utenti, che richiede necessariamente sistemi di autenticazione multi-fattore e, in una visione ottimale, strumenti di verifica “dinamici” che consentano un maggior controllo degli accessi. “Grazie all’intelligenza artificiale, è possibile subordinare il livello di controllo utilizzando sistemi basati sullo user behaviour, che analizzano elementi come l’orario di accesso, il tipo di dispositivo utilizzato o la posizione geografica” spiega Fabio Vernacotola. La logica, in pratica, è quella di richiedere fattori di autenticazione aggiuntivi nel caso in cui la richiesta di accesso risulti essere in qualche modo anomala.
Il processo di implementazione
L’adozione di un sistema di protezione adeguato alla dimensione del modern workplace richiede un processo che travalica la semplice dimensione tecnica. “La messa in sicurezza dell’ambiente di lavoro richiede un processo in quattro passaggi” conferma Fabio Vernacotola. “Il primo prevede una fase di assessment per capire qual è l’effettivo uso delle informazioni aziendali da parte degli utenti. Un esempio è il cosiddetto ‘shadow IT assessment’ che spesso rivela realtà insospettate nelle forme di archiviazione e condivisione dei dati.
Questa fase conoscitiva, spiega l’esperto di Avanade, è alla base delle valutazioni seguenti, che consentono volta per volta di capire se sia sufficiente un’attività di formazione degli utenti o se sia necessario prevedere delle policy più specifiche. Alla terza fase di implementazione delle policy tramite opportune configurazioni degli strumenti a livello sia di endpoint sia centralizzato, segue poi la quarta (e fondamentale) fase di messa in sicurezza: il monitoraggio, attuato da specialisti anche in modalità di servizio di sicurezza gestita.
“La definizione di regole e processi è indispensabile ma non sufficiente” conferma Vernacotola. “Senza strumenti di controllo adeguati è impossibile rilevare eventuali anomalie e intervenire a protezione degli asset informativi aziendali”.