Lavoro flessibile e cyber security: un’equazione complicata che tutti gli esperti di sicurezza informatica non si stancano di evidenziare. Se la messa in sicurezza dei dati aziendali in uno scenario in cui il remote working ha guadagnato un notevole spazio è demandata in buona parte all’implementazione di soluzioni tecniche, il cosiddetto “fattore umano” continua a mantenere un ruolo di primo piano.
La parola chiave, in questo ambito è “formazione”, che nella declinazione attuale della cyber security rappresenta una priorità assoluta per qualsiasi azienda.
“La scelta di avviare un percorso pluriennale di formazione in azienda affidata agli specialisti di Cyber Guru è stata una naturale conseguenza dell’attenzione per la sicurezza informatica che caratterizza la nostra realtà” spiega Giovanna Ruggieri, Head of ICT di EP Produzione. “Buona parte degli incidenti di sicurezza nel settore IT derivano da errore umano e in un contesto di lavoro ibrido il rischio aumenta esponenzialmente”.
Fuori dal perimetro
Sotto il profilo della cyber security, le forme di lavoro in remoto o ibrido (in cui si alternano periodi di prestazioni all’interno dell’ambiente aziendale “fisico” ad attività in remoto) rappresentano un elemento di complessità notevole. Prima di tutto a causa del fatto che gli utenti in remote working si trovano a operare in un ambiente che non ha lo stesso livello di protezione di quello aziendale.
Le stesse caratteristiche tecniche delle reti, solitamente affidate a un router “casalingo” fuori dal controllo del reparto IT dell’azienda, comportano un abbassamento del livello di sicurezza complessivo. Gli endpoint, infatti, non possono essere protetti da tutti quei sistemi di controllo centralizzato (come i firewall) che agiscono a livello di rete. Non solo: la distanza dalla sede fisica sposta il focus della sicurezza sul tema dell’autenticazione e della gestione delle credenziali per accedere in remoto ai servizi e alle risorse aziendali.
Un aspetto, questo, che i cyber criminali sfruttano a loro vantaggio utilizzando tecniche di social engineering, come il phishing, che puntano a estorcere con l’inganno le credenziali alle loro vittime. “Il tema del phishing è stato centrale nel corso di formazione” conferma Giovanna Ruggieri. “Fornire a dipendenti e collaboratori gli strumenti per riconoscere ed evitare questo tipo di minaccia consente di ridurre notevolmente il rischio di un attacco, fermandolo all’origine”.
L’importanza di una cultura della sicurezza nel remote working
Il secondo elemento di debolezza cui è necessario far fronte è l’inevitabile commistione tra sfera privata e sfera lavorativa, che porta a un aumento della superficie di attacco a disposizione dei pirati informatici. In altre parole, nel momento i cui l’ambiente digitale in remote working “mescola” attività lavorative, ludiche e personali, aumentano le probabilità che il dispositivo utilizzato dal dipendente possa rimanere vittima di un attacco.
Quella rigorosa distinzione tra dati e servizi aziendali e personali, che in un normale contesto di lavoro in ufficio è legato all’uso di dispositivi differenti, nel remote working rischia di venire meno.
Se le soluzioni tecniche possono aiutare a mantenere un confine tra le due sfere, il vero fattore chiave è quello dei comportamenti tenuti dal singolo lavoratore. “Nell’avviare il percorso di formazione predisposto con Cyber Guru abbiamo coinvolto tutti i settori dell’azienda, lavorando non solo con chi gestisce le risorse umane e l’IT, ma anche e soprattutto con gli addetti alla comunicazione” spiega la responsabile ICT di EP Produzione. “Le attività sono state proposte in maniera non vincolante, con la possibilità di seguirle sia a casa che in ufficio e senza vincoli di orario”.
A contribuire al coinvolgimento dei lavoratori è anche lo strumento della gamification, attraverso un sistema di competizione a squadre in cui il punteggio dei singoli concorre alla valutazione complessiva del gruppo. Questa dimensione orientata a trasformare la formazione in un “lavoro di squadra” ha anche la capacità di innescare un meccanismo che invoglia i singoli a partecipare al corso stesso.
“Il tutto avviene affrontando un argomento specifico ogni mese, utilizzando un linguaggio semplice ed esempi pratici nell’uso degli strumenti informatici comuni” prosegue Ruggieri. “Nella nostra esperienza, questa modalità ha portato a un’adesione al corso del 90% dei lavoratori dell’azienda. Un risultato che riteniamo estremamente soddisfacente”.
L’attenzione per l’ecosistema familiare
Negli ultimi mesi, caratterizzati dall’emergenza pandemica e da una (necessariamente) frettolosa introduzione di modalità di remote working, tra i fattori di rischio a livello di cyber security è comparso un altro elemento: quello delle attività “a rischio” dei familiari all’interno della rete, che possono riverberarsi sul lavoratore. Lo scenario, infatti, non è solo di un dispositivo inserito all’interno di un ambiente in cui a sicurezza è erosa dall’assenza di strumenti specializzati di difesa, ma anche dalla “vicinanza” con altri soggetti che possono tenere comportamenti rischiosi nel corso della navigazione o nell’uso degli strumenti digitali domestici.
“L’erogazione del corso di sicurezza che abbiamo predisposto prevede anche un sistema di formazione basato su pillole video, interpretate da attori professionisti della durata di circa 20 minuti, che possono essere guardati in qualsiasi momento, anche con i familiari” spiega Giovanna Ruggieri. “È una formula estremamente efficace, perché in questo modo l’attività di formazione si estende anche al nucleo familiare”. Tra gli argomenti trattati, inoltre, ci sono anche aspetti della sfera digitale che non hanno a che fare strettamente con l’ambito lavorativo, come le truffe legate ai servizi di shopping online, che hanno visto una netta crescita negli ultimi mesi.