Il lavoro a distanza è la più formidabile delle sfide alla sicurezza informatica. L’enorme numero di possibili scenari IT dello smart working rende quasi impossibile definire un modo univoco in cui ogni organizzazione dovrebbe implementare la sicurezza quando i sistemi informativi vengono utilizzati in remoto. Tuttavia, sono individuabili degli elementi chiave della sicurezza informatica applicabili a più scenari di remote working, in particolare a quello che oggi è cruciale: lavorare da casa.
Come il lavoro a distanza influisce sulla sicurezza informatica
Ovviamente, il lavoro a distanza non è un fenomeno nuovo. Anche prima che la pandemia Covid-19 innescasse quella che è stata definita “la prima migrazione mondiale di massa dagli uffici al lavoro a distanza”, più della metà dei dipendenti del mondo lavorava già fuori ufficio per almeno 2,5 giorni a settimana.
Covid ha accelerato le cose. Durante la fase più acuta dell’emergenza, smart working ha riguardato il 97% delle grandi imprese, il 94% delle PA italiane e il 58% delle PMI. Un totale di 6,58 milioni di smart worker, un terzo circa dei lavoratori dipendenti italiani. Lavoratori di aziende private e dipendenti pubblici hanno sperimentato il lavoro a distanza e questo ha aperto interessanti prospettive per un’adozione più diffusa dello smart working.
In vista della fine del distanziamento, molte aziende si interrogano se proseguire in full smart working o in smart working ibrido, che prevede un regime misto tra presenza in ufficio e remote working. Poche le aziende orientate sul “tutto come prima”. Questo anche in virtù di quanto è accaduto nei mesi di home working “forzato”. L’Osservatorio Smart working del Politecnico di Milano ha constatato che il 68% dei lavoratori è riuscito da remoto a svolgere tutte le attività, il 29% non è riuscito a svolgere solo una parte delle attività, spesso a causa della mancanza di processi e dati digitalizzati, mentre solo il 3% non è riuscito a portare avanti la maggior parte delle attività.
L’imposizione del lavoro da casa dovuta a Covid-19 ha rappresentato una sfida impegnativa per organizzazioni e dipendenti non abituati a utilizzare i sistemi IT da remoto. L’improvviso passaggio al lavoro a distanza doveva essere gestito rapidamente, su vasta scala e nel mezzo di una crisi globale di vasta portata che ha aumentato drasticamente le opportunità a disposizione dei criminali informatici.
Le sfide alla sicurezza informatica del lavoro remoto amplificate da Covid-19
I rischi per la sicurezza informatica del lavoro a distanza aggravati dalla pandemia includono un potente mix di sfide sia tecniche sia umane:
- una superficie di attacco estesa costituita da dispositivi e connessioni aggiuntivi, molti non ottimizzati per la sicurezza (dispositivi personali come computer domestici, tablet e telefoni o apparecchiature di rete di livello consumer);
- un massiccio aumento degli obiettivi e delle posizioni degli obiettivi (dati aziendali nelle case dei dipendenti);
- una serie di impatti sul business che potenzialmente riducono o dirottano il budget e le risorse per la sicurezza informatica, anche se la necessità di tali risorse aumenta;
- un clima profondamente criminogenico di paura, incertezza, dubbio e urgenza (redditi familiari minacciati, ridotti o persi; rischi elevati per la salute della famiglia; clima politico e sociale instabile; circostanze, regole e regolamenti in rapido cambiamento).
Un numero senza precedenti di persone si trova a essere potenziale fonte di errori e comportamenti errati che aprono la strada a molte forme di criminalità informatica. Allo stesso tempo, è probabile che il crimine informatico sia più attraente per un gruppo più ampio di persone, un gruppo che può includere alcuni dei dipendenti attuali o di quelli usciti di recente. In che modo le organizzazioni dovrebbero affrontare il nuovo panorama delle minacce?
Modi per affrontare i problemi di sicurezza informatica del lavoro remoto
Le risposte necessarie per affrontare i rischi per la sicurezza informatica amplificati dal lavoro a distanza sono un mix di tecnologi e comportamenti umani. Un buon punto di partenza è dove l’utente finale incontra gli endpoint di un’infrastruttura IT.
- Nei casi più fortunati, l’organizzazione ha una storia di abilitazione del lavoro remoto sicuro per una percentuale significativa di dipendenti. Pertanto, ha già implementato il divieto di lavoro su computer non aziendali assegnando ai dipendenti laptop, tablet e telefoni con autenticazione multifattoriale (MFA) configurati dall’azienda, gestiti in remoto, tutti protetti da endpoint e legati in modo sicuro. Nei casi particolarmente fortunati e / o ben gestiti, i dipendenti sono anche stati formati per utilizzare, accettare e supportare le regole del lavoro a distanza.
- E i dipendenti che, prima del 2020, lavoravano in azienda solo su computer desktop aziendali ancorati alle scrivanie aziendali? Anche in questo caso, alcune organizzazioni avevano già virtualizzato quei sistemi con una qualche forma di infrastruttura desktop virtuale. Se i dipendenti legati all’ufficio stanno già utilizzando le VM, spostarle in un ambiente domestico da cui possono utilizzare una connessione remota dedicata e crittografata alla rete aziendale è un’opzione praticabile.
- Che dire delle organizzazioni meno fortunate, quelle che sono entrate nel 2020 con poche conoscenze di accesso remoto e di concetti come virtualizzazione desktop, MFA, zero trust , VPN e SDP? Chiaramente, hanno dovuto affrontare una curva di apprendimento ripida e una forte domanda di risorse IT. L’unica buona notizia è la ricca disponibilità di opzioni consolidate che possono essere implementate, che si tratti di VM sui server aziendali, a cui si accede tramite una VPN protetta da MFA o di una soluzione basata su cloud che combina SaaS e IaaS.
Alcune risposte meno tecniche ma di vitale importanza per il passaggio sicuro al lavoro da casa sono applicabili a un ampio spettro di organizzazioni, non solo ai neofiti dell’accesso remoto. Questi includono formazione, risposta agli incidenti e controlli di sicurezza.
La mancanza di formazione sulla sicurezza comporta costi elevati
Le organizzazioni che trascurano la formazione sulla sicurezza informatica per i dipendenti che lavorano da casa lo fanno a loro rischio e pericolo. Nel 2019, IBM ha scoperto che il numero di incidenti interni che coinvolgono il furto di credenziali – che una corretta formazione può combattere – era triplicato in frequenza dal 2016 e raddoppiato in costi. Molte delle violazioni relative ai dipendenti sono state causate da malware scaricato accidentalmente tramite collegamenti fraudolenti, seguiti da attacchi di phishing.
Formazione sulla sicurezza “su misura” per il lavoro a distanza da casa
Per le organizzazioni che introducono nuove tecnologie, procedure e politiche per gestire il lavoro da casa in sicurezza, la necessità di formazione sull’importanza della sicurezza sembrerebbe ovvia. Tuttavia, non è così. Supponendo che tu un IT manager abbia il sostegno e le risorse per fornire ai dipendenti aziendali un corso di formazione sulla consapevolezza della sicurezza informatica del lavoro da casa, la prima cosa da verificare è che il contenuto del corso affronti i problemi unici del lavoro a casa, che è abbastanza diverso dal lavorare in una camera d’albergo, nell’ufficio di un cliente o in un bar. Ad esempio, sebbene i consigli su come evitare il Wi-Fi pubblico siano ancora validi, i protocolli di sicurezza dovrebbero essere rafforzati per altri rischi, tra cui:
- configurazione del Wi-Fi domestico;
- regole sul blocco dei dispositivi non presidiati;
- non condivisione di dispositivi con altri membri della famiglia;
- protezione dei dispositivi dal furto e dalle intrusioni.
Ci sono diverse buone ragioni per assicurarsi che le persone che lavorano da casa siano ben gestite e monitorate, non ultima la possibilità reale che un ambiente meno strutturato possa indurre alcuni dipendenti ad adottare un approccio più rilassato alle politiche di sicurezza. Occorre prestare attenzione al morale e cercare di essere il più solidali e positivi possibile, tenendo presente che questi sono tempi profondamente stressanti per le famiglie e le comunità, anche se magari l’azienda sta andando bene.
Il piano di risposta agli incidenti, l’assicurazione contro i rischi informatici, il controllo
Purtroppo, anche se un’organizzazione fa un buon lavoro sia sul lato tecnico sia su quello umano nella sfida della sicurezza informatica del lavoro a distanza, rimane la possibilità di un incidente. Ciò significa che bisogna assicurarsi di avere un piano di risposta agli incidenti aggiornato ai cambiamenti imposti dalla pandemia perché – ad esempio, “riunire il team nella sala conferenze del terzo piano” potrebbe non essere fisicamente fattibile…
Ora che molte organizzazioni si sono abituate a strumenti per riunioni remote, come Zoom e Microsoft Teams, potrebbe essere un buon momento per assicurarsi che tutti i processi critici siano fattibili. Un buon momento anche per rivedere l’assicurazione contro i rischi informatici, assicurandosi che i rischi del lavoro da casa non siano esclusi. E che dire di un audit per assicurarsi che i cambiamenti determinati dalla necessità di lavorare da casa siano stati effettuati in modo sicuro? Anche questa è tra le operazioni da non rimandare.