A causa della diffusione del COVID-19, molte aziende hanno ordinato al proprio staff di lavorare da casa, compresi settori che non hanno mai contemplato prima questa possibilità. Ciò vuol dire che non hanno mai implementato una politica adeguata di smart working, né probabilmente hanno mai preso in considerazione i rischi crescenti per la cybersecurity dovuti al passaggio a questa nuova forma di lavoro. Con questo post cercheremo di colmare queste lacune, spiegandovi come ridurre al minimo i rischi di sicurezza informatica.
Di primo acchito, l’unico cambiamento per chi solitamente lavora in ufficio potrebbe essere il non poter vedere ogni giorno i propri colleghi e non poter trascorrere l’orario di lavoro con loro. Ma c’è molto altro; pensate, ad esempio, ai canali di comunicazione, alla routine stabilita, ai tool di collaborazione, ai dispositivi in uso e l’accesso a essi (una superficie d’attacco più ampia, evidentemente).
Canali di comunicazione
Quando i vostri dipendenti lavorano in ufficio utilizzando la rete locale, le soluzioni di sicurezza adottate in azienda gestiscono tutti i processi di scambio di dati. Ma se i dipendenti lavorano da casa, entra in gioco un nuovo fattore, ovvero i fornitori dei servizi Internet (ISP, sigla in inglese). Non sapete nulla di queste connessioni e non avete il controllo sulle misure di sicurezza adottate. In alcuni casi, alla connessione Internet di casa potrebbe avervi accesso non solo il vostro dipendente ma anche un potenziale cybercriminale. In breve, meglio non condividere segreti aziendali su canali di comunicazione di questo tipo.
Soluzione: Se i vostri dipendenti devono collegarsi da remoto a risorse aziendali, assicuratevi che lo facciano impiegando una VPN affidabile, che stabilisce un canale sicuro tra la workstation e la vostra infrastruttura, proteggendo i dati aziendali da interferenze esterne. Allo stesso tempo, va impedita qualsiasi connessione alle risorse aziendali da parte di reti esterne senza l’uso di VPN.
Routine definite
Quando si lavora da casa non si può semplicemente avvicinarsi a un collega per parlare di una questione in concreto. Per questo, è molto probabile che aumentino gli scambi via e-mail o che vengano aggiunti partecipanti alla conversazione (persone con le quali magari si avevano solo scambi verbali su un certo argomento di lavoro). Insomma, il fatto di non avere a portata di mano le persone che di solito si trovano in ufficio, inevitabilmente altera la routine di lavoro. Ciò potrebbe dare maggior spazio di manovra a un cybercriminale, in particolare per perpetrare attacchi BEC (Business E-mail Compromise). Nella miriade di scambi di e-mail tra colleghi, potrebbe essere difficile identificare un’e-mail di phishing, che potrebbe passare inosservata. Un’e-mail (falsa) che vi chiede dei dati, in circostanze normali darebbe adito a sospetti, ma in situazioni eccezionali come questa… Inoltre, quando ci si trova in casa, in un ambiente più rilassato, è più probabile che si abbassi la guardia.
Soluzione: Innanzitutto, anche se a casa, tutti i dipendenti dovrebbero utilizzare solo la casella di posta elettronica aziendale. In questo modo sarà più facile capire se un cybercriminale prova a farsi passare per un altro dipendente, utilizzando un account di un altro dominio. In secondo luogo, assicuratevi che i vostri server di posta siano protetti da tecnologie di cybersicurezza in grado di individuare i tentativi di modifica dell’indirizzo del mittente. Le nostre soluzioni per server e-mail e Microsoft Office offrono tecnologie di questo tipo. In terzo luogo, prima che un dipendente inizi a lavorare da casa, sarebbe opportuno dargli un corso accelerato sulle minacce informatiche.
Strumenti di collaborazione
Senza la possibilità di comunicare faccia a faccia, i dipendenti possono ricorrere ad altri metodi per collaborare; alcuni non sono tra i più affidabili e devono essere configurati adeguatamente. Ad esempio, i documenti Google Docs con autorizzazioni di accesso mal impostate possono essere indicizzati da un motore di ricerca e diventare così una fonte di fuga di informazioni. Lo stesso avviene per i dati su cloud. Anche uno strumento di collaborazione come può essere Slack potrebbe portare a una fuga di dati e un utente esterno aggiunto senza criteri adeguati potrebbe ottenere accesso all’intera cronologia di file e messaggi.
Soluzione: Naturalmente, è nel vostro interesse scegliere uno strumento di collaborazione adeguato in termini di sicurezza online e funzionalità. Alla registrazione, dovrebbe essere necessario un indirizzo e-mail aziendale; inoltre, varrebbe la pena di nominare un amministratore che si occupi dell’emissione e della revoca di autorizzazioni quando necessario. Ma soprattutto, prima che i dipendenti comincino a lavorare da casa, è importante tenere una formazione (anche da remoto) al riguardo, insistendo sull’uso esclusivo dei tool di collaborazione indicati dall’azienda (o approvati dalla Direzione). Inoltre, va ricordato che ognuno è responsabile dei segreti aziendali che, ovviamente, dovranno rimanere tali.
Apparecchiature e dispositivi
In generale, non tutti i dipendenti hanno accesso a portatili di proprietà dell’azienda e gli smartphone non servono per tutto. Per questo motivo, potrebbe capitare che i dipendenti usino il proprio computer personale. Per le aziende che non hanno implementato una politica BYOD adeguata (Bring Your Own Device), ciò potrebbe supporre una grave minaccia alla sicurezza informatica.
Soluzione: Innanzitutto, se i dipendenti devono lavorare da casa, fate sì che utilizzino portatili e telefoni aziendali, se possibile. Ovviamente questi dispositivi devono essere protetti mediante soluzioni di sicurezza adeguate. Inoltre, tali soluzioni devono consentire la cancellazione dei dati aziendali da remoto, la separazione tra dati privati e aziendali e restrizioni su dove installare le applicazioni. Impostate le soluzioni di sicurezza affinché analizzino i software più importanti e installino automaticamente gli aggiornamenti del sistema operativo.
Se per una qualche ragione i dipendenti sono costretti a utilizzare dispositivi personali, è necessario indicare una politica BYOD riguardante la gestione dei dati aziendali presenti su questi dispositivi (creando, ad esempio, partizioni separate per dati aziendali e personali). Inoltre, insistete con i vostri dipendenti affinché installino un software antivirus, anche solo una soluzione gratuita. Dovreste consentire il collegamento di questi dispositivi alla rete aziendale solo dopo esservi assicurati della presenza di un software antivirus sul dispositivo in questione, e con sistema operativo aggiornato.
Accesso ad apparecchiature e dispositivi
Non potete essere sicuri su dove vivano i vostri dipendenti e con chi. Ad esempio, non potete sapere chi può dare una sbirciatina allo schermo quando si sono allontanati un momento per prepararsi una tazza di tè. Una cosa è se i dipendenti lavorano a casa da soli praticamente tutto il giorno, un’altra se decidono di uscire a prendere un caffè o lavorare in uno spazio di coworking (ovviamente parliamo in generale). In questi ultimi casi, i rischi di una fuga di dati o di una violazione dell’accesso al dispositivo possono essere maggiori.
Soluzione: La maggior parte di queste problematiche può essere gestita mediante specifiche politiche di sicurezza che prevedano l’uso di una password o del blocco automatico dello schermo. Per quanto riguarda altre situazioni inerenti allo smart working, ricorrere a formazioni adeguate potrebbe far sì che il livello di attenzione rimanga sempre alto.
Webinar
I nostri esperti hanno organizzato un webinar sullo smart working sicuro (in lingua inglese). Vi invitiamo a partecipare al dibattito registrandovi su BrightTalk.