Come rimanere al sicuro mentre si lavora con i freelance

Metodi di protezione ragionevole contro potenziali minacce informatiche legate ai freelance.

Lavorare con i freelance è diventato da tempo una routine per molti manager. Anche in una grande organizzazione, non tutti i compiti possono essere risolti all’interno del team, per non parlare delle piccole imprese, che di solito non possono permettersi di assumere un ulteriore dipendente. Tuttavia, collegare un esterno al flusso di lavoro digitale può introdurre ulteriori rischi informatici, soprattutto quando si lavora con una persona direttamente senza un’agenzia intermediaria.

Pericoli nelle e-mail in arrivo

Dovreste iniziare a pensare alle potenziali minacce quando cercate il giusto freelance. È improbabile che voi assumiate qualcuno senza guardare il suo portfolio. Un freelance può inviarvi un documento, un archivio con una serie di lavori, o un link a un sito di terze parti, e probabilmente sarete costretti a seguire il link o ad aprire il file. Tuttavia, in realtà, quasi tutto può essere in quel file o sito.

I ricercatori scoprono regolarmente vulnerabilità nei browser o nelle office suite. Più di una volta gli hacker sono riusciti a prendere il controllo dei computer aziendali inserendo script dannosi in un documento di testo o incorporando un exploit pack nel codice del sito web. A volte, però, questi trucchi possono non essere necessari. Alcuni dipendenti sono pronti a cliccare su un file ricevuto senza guardare l’estensione e lanciare un eseguibile.

Tenete a mente che un criminale informatico può mostrare un portfolio assolutamente normale (non necessariamente con i propri lavori) e inviare successivamente un file dannoso come fosse un incarico. Inoltre, qualcuno potrebbe prendere il controllo del computer o della casella di posta di un freelance e usarli per attaccare la vostra azienda. Dopo tutto, nessuno sa come il loro dispositivo o account è protetto e la vostra sicurezza IT non ha alcun controllo su ciò che sta accadendo lì. Non dovreste considerare affidabili i file ricevuti, anche se provengono da un freelance con cui lavorate da anni.

Contromisure

Se avete bisogno di lavorare con documenti creati al di fuori dell’infrastruttura aziendale, mantenere l’igiene digitale è della massima importanza. Tutti i dipendenti dovrebbero essere consapevoli delle minacce informatiche rilevanti, quindi vale la pena aumentare il loro livello di consapevolezza della sicurezza.  Inoltre, possiamo darvi alcuni consigli pratici:

  • Stabilite regole severe per lo scambio di documenti, informate i freelance e non aprite i file se non rispettano queste regole. Archivio autoestraente? No, grazie. Un archivio con una password specificata nel corpo e-mail? Questo può essere necessario solo per aggirare i filtri antimalware della posta elettronica.
  • Dedicate un computer separato, isolato dal resto della rete, o un dispositivo virtuale per lavorare con i file da fonti esterne, o almeno per controllarli. In questo modo è possibile ridurre significativamente qualsiasi danno potenziale in caso di infezione.
  • Assicuratevi di dotare questo computer o macchina virtuale della soluzione di sicurezza per bloccare lo sfruttamento delle vulnerabilità o il clic su un link a un sito web dannoso.

Diritti di accesso

Supponiamo che abbiate trovato lo specialista esterno necessario. Per collaborare a un progetto, i freelance spesso ottengono l’accesso ai sistemi digitali dell’azienda: piattaforme di condivisione dei file, sistemi di gestione dei progetti, servizi di conferenza, messaggistica interna, servizi cloud e così via. Qui bisogna evitare due errori: non date al freelance diritti eccessivi e non dimenticate di revocare l’accesso dopo che il lavoro è stato completato.

Quando si tratta di concedere diritti, è meglio seguire il principio del privilegio minimo. Un freelance dovrebbe avere accesso solo a quelle risorse che sono necessarie per il progetto corrente. L’accesso illimitato all’archiviazione dei file o anche alle cronologie delle chat può rappresentare una minaccia. Non sottovalutate le informazioni memorizzate anche nei servizi ausiliari. Secondo i rapporti dei media, l’hack di Twitter del 2020 è iniziato quando i criminali informatici hanno avuto accesso alla chat interna dell’organizzazione. Lì, utilizzando metodi di ingegneria sociale, sono stati in grado di convincere un dipendente dell’azienda a dare loro l’accesso a decine di account.

Anche la revoca dei diritti dopo la fine del progetto non è una formalità. Non stiamo dicendo che avendo completato il lavoro, il freelance inizierà necessariamente ad hackerare il vostro sistema di gestione del progetto. L’esistenza stessa di un account aggiuntivo con accesso ai dati aziendali non è una buona cosa. Cosa succede se il freelance ha impostato una password debole o ha riutilizzato la password dei suoi altri account? In caso di perdita, c’è un ulteriore punto di vulnerabilità nella vostra rete aziendale.

Contromisure

La cosa più importante è cancellare o disattivare l’account del freelance dopo la fine del rapporto di lavoro. O per lo meno, cambiare la mail e la password associate, questo può essere richiesto nei sistemi che cancellano tutti i dati associati all’account. Inoltre, vi raccomandiamo di:

  • Mantenere un registro centralizzato di chi ha accesso a quali servizi. Da un lato, questo vi aiuterà a revocare tutti i diritti dopo la fine del progetto, e dall’altro, può essere utile quando si indaga su un incidente.
  • Richiedere agli appaltatori di mantenere una buona igiene digitale e di usare soluzioni di sicurezza (almeno quelle gratuite) sui dispositivi che usano per connettersi alle risorse aziendali.
  • Imporre l’autenticazione a due fattori in tutti i sistemi cloud, ove possibile.
  • Creare un’infrastruttura separata per i progetti e i file dei freelance e dei subappaltatori, se possibile.
  • Scansione di tutti i file caricati sul cloud storage o sul server aziendale alla ricerca di malware.
Consigli