Il “ritorno in ufficio” dal punto di vista della sicurezza informatica

Vi proponiamo una checklist di cybersecurity da seguire per tornare sul posto di lavoro in tutta sicurezza.

Prima o poi, la maggior parte delle aziende dovrà pensare a come organizzare la routine di lavoro post-pandemia. Anche se molte aziende, barcollanti per gli effetti della pandemia, devono ancora prendere una decisione finale sulla gestione delle nuove realtà lavorative, anche un ritorno parziale in ufficio richiede certe misure da parte dei team di sicurezza informatica e IT in generale.

Il passaggio allo smart working da casa non è stato facile ma, stranamente, tornare in ufficio potrebbe essere comunque difficile. Le aziende dovranno ritornare a certe situazioni un tempo consolidate, il che può comportare tanto lavoro quanto una prima implementazione. Dovranno anche verificare nuovamente la sicurezza dei servizi interni e soddisfare le esigenze dei dipendenti per quanto riguarda i software a cui si sono abituati durante il lockdown. Per aiutare i manager della sicurezza IT sotto pressione a stabilire le priorità, abbiamo individuato alcuni azioni di riferimento da intraprendere per  garantire la cybersecurity aziendale.

1. Mantenere le soluzioni alternative di cybersecurity adottate a casa

Per mantenere la sicurezza degli endpoint aziendali mentre i dipendenti lavoravano da casa, molte aziende hanno introdotto ulteriori misure di protezione come i controlli di sicurezza e la gestione centralizzata delle patch dei computer remoti, aggiungendo o espandendo l’accesso VPN e offrendo formazioni sulla cybersecurity. Gli agenti di rilevamento e risposta sugli endpoint hanno giocato un ruolo importante nell’identificare e colmare le lacune nel perimetro della rete.

Se i vostri dipendenti stanno tornando in ufficio o semplicemente si spostano per motivi di lavoro, l’utilizzo di VPN, EDR e sistemi di rilevamento delle intrusioni sugli endpoint garantiràun ritorno al lavoro in ufficio in totale sicurezza.

2. Ripristinate tutti i controlli di sicurezza che avete disabilitato a causa dello smart working

Per permettere ai dipendenti da remoto di connettersi alla rete aziendale, specialmente dai dispositivi personali, alcune aziende hanno indebolito o disabilitato i controlli di cybersecurity come il Network Admission Control (NAC). Il NAC controlla i computer per verificare la conformità con i requisiti di sicurezza aziendale, come la protezione aggiornata contro i malware, prima di concedere l’accesso alla rete aziendale.

Quando i dipendenti torneranno in ufficio e si connetteranno alla rete aziendale, il NAC dovrà essere precedentemente avviato per proteggere i sistemi interni nel caso in cui i dispositivi presentino dei rischi. Ma poiché i computer sono stati usati da remoto per circa 18 mesi, potrebbero aver perso alcuni aggiornamenti. Questo significa che abilitare il NAC per decine o addirittura centinaia di questi dispositivi potrebbe causare molti errori. Di conseguenza, l’attivazione del servizio potrebbe trasformarsi in un processo di messa a punto passo dopo passo per piccoli gruppi di dipendenti.

Le aziende devono anticipare tali problemi e adottare un piano che includa risorse, scadenze, correzioni di bug e forse anche l’aiuto di IT integrator.

3. Aggiornate i sistemi interni

Non dimenticate di controllare i servizi critici interni. Se in ufficio ci dovessero essere server contenenti vulnerabiltà non risolte, il team di sicurezza IT deve esserne a conoscenza prima di far entrare chiunque.

Quando eravamo tutti seduti alle scrivanie in ufficio, i nostri computer erano costantemente connessi alla rete aziendale ed erano sotto protezione e controllo delle politiche di sicurezza 24 ore su 24, 7 giorni su 7. Di conseguenza, i rischi che un exploit penetrasse nella rete da un PC e compromettesse un server vulnerabile erano minori.

Con il ritorno di massa in ufficio e la connessione dei computer portatili alla rete aziendale in una volta sola, un solo controller di dominio, contenente vulnerabilità non risolte, potrebbe fornire un ampio accesso, ad esempio, ai dati degli account dei dipendenti e alle password.  Un team di sicurezza IT vigile dovrebbe rilevare il problema in tempo e scongiurare guai seri, ma questo comporta comunque del lavoro extra per riorganizzare la rete e per modificare tutte le password.

4. Preparatevi a risparmiare, ma anche a pagare

Riportare i dipendenti in ufficio permetterà ai datori di lavoro di risparmiare. Per esempio, noi di Kaspersky abbiamo aumentato il numero di tunnel VPN da 1.000 a più di 5.000 per permettere alla maggior parte del nostro staff di lavorare da casa. È probabile che ridurremo questo costo quando il nostro team tornerà in ufficio.

Allo stesso modo, le aziende possono ridurre il numero di abbonamenti a soluzioni su cloud come Slack o Microsoft Teams. Con il personale in ufficio, le aziende non avranno bisogno di tante licenze per il cloud, e potrebbero essere in grado di riportare alcuni servizi sulle risorse locali. La stessa strategia si applica alle app di firma elettronica, necessarie durante il lockdown, ma sostituibili (o ridimensionabili) con un ritorno alle tradizionali procedure di firma dei documenti.

Considerate l’idea di spendere queste risorse economiche disponibili per organizzare workstation digitali in modo che i dipendenti possano dividere le loro settimane tra l’ufficio e un qualsiasi altro luogo. Il concetto non è nuovo, ma la pandemia lo ha reso più frequente, come osserva Gartner. Dall’infrastruttura desktop virtuale (VDI) al desktop as a service (DaaS), le tecnologie di lavoro da remoto possono essenzialmente spostare gli spazi di lavoro su cloud, rendendoli accessibili da qualsiasi dispositivo collegato, e i desktop virtuali sono molto più facili da implementare, gestire, riparare e proteggere rispetto ai computer in remoto.

5. Salvate i tool e le impostazioni che i dipendenti utilizzavano da remoto

Lavorando in smart working, i dipendenti hanno imparato a padroneggiare nuovi strumenti di comunicazione e collaborazione, come chat, tool per videoconferenze, pianificazione, CRM e altro. Se questi tool hanno funzionato bene, i dipendenti vorranno continuare a utilizzarli. Grazie alla loro esperienza acquisita durante la pandemia, il 74% dei nostri intervistati ha detto di preferire condizioni di lavoro più flessibili e confortevoli.

Vietare tali innovazioni potrebbe non essere saggio. Potrebbe provocare la crescita di una sorta di “shadow IT“, ossia quando i membri dello staff usano le applicazioni senza l’approvazione del team informatico. Le aziende dovrebbero essere preparate o ad approvare nuovi servizi o a suggerire, e difendere, delle alternative. Le soluzioni dedicate possono aiutare a gestire l’accesso ai servizi cloud, utilizzando funzioni dedicate di cloud discovery in una soluzione di sicurezza o dei cloud access security broker, e applicare le relative politiche di sicurezza.

La sicurezza IT dovrebbe essere un elemento favorevole al business, non una limitazione. Ignorare un importante cambiamento comportamentale può danneggiare l’opinione che un dipendente ha dell’azienda, mentre permettere un lavoro flessibile e servizi che siano adatti ai lavoratori può portare all’esatto contrario.

Questo vale anche per i futuri candidati e per il personale. È successo con Apple, quando i dipendenti hanno scritto una lettera aperta a Tim Cook e ai dirigenti, chiedendo formalmente di “far sì che le decisioni sul lavoro da remoto siano flessibili e autonome per un team, così come lo sono le decisioni in merito alle assunzioni.”

La pandemia e la transizione globale allo smart working hanno rappresentato delle sfide di grande importanza per le aziende e i loro dipartimenti IT. Nonostante le difficoltà, questa esperienza è inestimabile e fornisce una lezione decisiva per il futuro.

Uno degli insegnamenti più importanti della pandemia è la rapidità con cui le aziende possono cambiare. Avendo imparato così tanto da questa esperienza, la sicurezza IT dovrebbe offrire opzioni altrettanto flessibili nel corso del tempo. Un ritorno intelligente e sicuro al lavoro in ufficio, in qualsiasi modalità, può aiutare le aziende a stare al passo con questa tendenza e a sfruttare al meglio i processi aziendali.

Consigli