Premessa

Se possiamo trarre qualcosa di positivo dall’emergenza COVID-19 è sicuramente la consapevolezza che non siamo pronti.

Non lo siamo tutti e non lo siamo come vorremmo, soprattutto se pensiamo a quelle imprese italiane che, da un giorno con l’altro, si sono viste costrette a percorrere una marcia forzata verso l’applicazione del Lavoro da Remoto: una modalità operativa che si è fatta spazio nella vita di milioni di persone, con i suoi benefici, le sue difficolta ed i suoi rischi.

Lavoro da Remoto

L’introduzione del Lavoro da Remoto è un processo lento e complesso, che richiede lo svolgimento di diverse attività preparatorie: riorganizzazione dei processi, digitalizzazione delle attività, adozione di tecnologie abilitanti (es. piattaforme di collaborazione, Cloud, VOIP, ecc.) e di adeguati sistemi di sicurezza, istituzione di regole, formazione dei dipendenti, ecc.

Ma cosa succede quando le Aziende sono esposte ad un rischio concreto di interruzione del proprio Business che le costringe all’adozione quasi forzata del Lavoro da Remoto? Le priorità vengono rimescolate, la continuità del Business assume la prevalenza sul resto e in molti casi, la tutela delle informazioni e dei dati personali è messa in secondo piano.

Il Lavoro da Remoto offre infatti un’ampia serie di benefici alle Aziende che l’hanno sperimentato e lo applicano nel modo corretto. Tuttavia, la modifica delle abitudini lavorative e l’adozione di nuove tecnologie ampliano sensibilmente il “perimetro di sicurezza” dell’Azienda esponendo utenti, infrastrutture, applicazioni, informazioni e dati personali ai rischi del Cyber-Spazio.

Rischi che non devono essere sottovalutati, tantomeno in un momento come questo: se l’obiettivo di ogni Cyber-Criminale è individuare nuove vulnerabilità e sfruttarle a proprio vantaggio, cosa c’è meglio di un’emergenza globale che ha improvvisamente costretto le Aziende ad introdurre nuovi strumenti operativi o estendere l’uso di quelli già adottati?

Per questo motivo l’applicazione del Lavoro da Remoto richiede controllo e preparazione, ma soprattutto la conoscenza dei rischi di Cyber-Security connessi a questa nuova modalità operativa e delle azioni necessarie per mitigarli.

Vulnerabilità e contromisure

Il Lavoro da Remoto presenta diversi rischi (es. difficolta di interazione, sovrapposizione di vita privata e vita lavorativa, solitudine derivante dall’abbandono delle consuetudini, ecc.). Tuttavia, per quanto ci riguarda, il podio è sicuramente ricoperto dai pericoli informatici, che trovano massima espressione negli attacchi di Cyber-Criminali a danno delle Aziende.

Tra i principali fattori di rischio ricordiamo l’utilizzo di dispositivi personali che spesso non assicurano il rispetto degli Standard di sicurezza definiti dall’Azienda, la vulnerabilità delle reti domestiche, l’utilizzo di connessioni non sicure per accedere ai sistemi aziendali, la difficoltà nell’addestrare i propri dipendenti e l’assenza di politiche per la sicurezza delle informazioni atte gestire le complessità del Lavoro da Remoto. I Cyber-Criminali possono sfruttare questi fattori di rischio e utilizzare diverse metodologie di attacco (es. malware, intrusione in reti non sicure, attacchi di ingegneria sociale, ecc.) per accedere in modo non autorizzato a dati e informazioni o impedire il corretto funzionamento dei servizi aziendali.

Questi pericoli sono maggiori per le imprese di dimensioni minori, dove non è sempre presente personale con competenze specifiche nell’ambito della Cyber Security.

Misure minime di sicurezza

Quali sono, dunque, le misure di sicurezza che ogni Azienda deve adottare in questo particolare momento ed in generale quando s’intende affrontare la sfida del Lavoro da Remoto? La sicurezza di questa modalità operativa deve essere affrontata considerando tre dimensioni fondamentali: persone, processi, tecnologie.

Persone

Ciascun utente deve essere informato sulle modalità di svolgimento delle proprie attività al di fuori del contesto aziendale e sensibilizzato sui rischi a cui va incontro nel momento in cui utilizza lo strumento del Lavoro da Remoto.

Soprattutto, deve essere reso consapevole del proprio ruolo come partecipante attivo nella “catena” della sicurezza delle informazioni che, come insegnerebbe qualsiasi Cyber-Criminale, è tanto forte quanto il suo anello più debole.

Agire sulle persone significa prepararle ad affrontare una platea di minacce sempre più numerosa, fornendo loro gli strumenti necessari per proteggersi e le procedure da attivare in caso di emergenza (es. rilevazione di un incidente di sicurezza).

È anche importante analizzare le competenze interne e affidarsi a Partner competenti, in grado di supportare l’Azienda dal punto di vista operativo e di sicurezza.

Processi

L’attuale emergenza sottolinea l’importanza di definire piani e regole che permettano all’Azienda di garantire la continuità del Business e che orientino il comportamento degli utenti, al fine di mantenere gli Standard di sicurezza definiti anche nei momenti più critici. Per fare ciò occorre analizzare i processi interni, verificare se possono essere digitalizzati o resi più sicuri, formalizzarli e definire le regole che devono essere rispettate nello svolgimento degli stessi.

In mancanza del tempo necessario per svolgere queste attività, si suggerisce di predisporre un disciplinare rivolto agli utenti, usando come riferimento i principali Standard in tema di sicurezza delle informazioni (es. ISO 27001).

Tecnologie

L’ultima dimensione è la più complessa da gestire, perché richiede l’individuazione e l’adozione tecnologie idonee a consentire il Lavoro da Remoto in sicurezza. Per fare ciò, occorre considerare i seguenti elementi “chiave”:

  • Sicurezza dei dispositivi: utilizzare preferibilmente dispositivi aziendali, configurati secondo gli Standard di sicurezza definiti dall’Azienda (es. antivirus, backup, aggiornamenti, ecc.);
  • Autenticazione: i sistemi dell’Azienda devono poter essere acceduti solo dagli utenti autorizzati, verificandone l’identità degli stessi (es. autenticazione multifattoriale);
  • Autorizzazione: utenze e privilegi devono consentire agli utenti di accedere solo ai sistemi, alle informazioni e ai dati personali necessari per lo svolgimento dell’attività lavorativa;
  • Crittografia: la cifratura del disco fisso offre la garanzia che, in caso di furto del dispositivo, le informazioni e i dati personali non possano essere acceduti in modo non autorizzato;
  • Sicurezza fisica: i dispositivi incustoditi devono essere dotati di automatismi per il blocco dello schermo in caso di inattività dell’utente, in modo da impedirne l’utilizzo da parte di soggetti terzi;
  • Backup: i documenti devono essere sottoposti a Backup periodici per minimizzare il rischio di perdita di informazioni e dati personali in caso di malfunzionamento del dispositivo;
  • Aggiornamento: l’aggiornamento costante del sistema operativo e del software di sicurezza assicura una protezione continua contro i pericoli del Cyber-Spazio (es. Virus, Malware, Trojan, ecc.);
  • Sicurezza delle connessioni: la scarsa sicurezza delle reti domestiche può essere in parte mitigata attraverso l’utilizzo di connessioni crittografate (es. VPN, SSH, HTTPS, ecc.).

Un occhio alla Privacy

Le misure elencate devono essere progettate ed adottate in conformità con le norme vigenti in tema Privacy, analizzando gli impatti delle nuove modalità di lavoro sulla protezione dei dati personali e adottando adeguate contromisure.

Conclusioni

Di fronte all’emergenza COVID-19, molte Aziende si sono viste costrette a ricorrere al Lavoro da Remoto senza seguire l’approccio sopra descritto. Terminata la crisi occorrerà affrontare questa tematica in modo strutturato, cogliendo appieno i benefici che il Lavoro da Remoto offre all’Azienda e ai lavoratori.

 

Riccardo Modena

Consulente SERNET S.p.A.

Membro del Gruppo di Lavoro Cyber-Security di ASSINTEL