Il periodo pandemico ha consentito una graduale adozione, nelle aziende in Europa e nel mondo, di modalità di lavoro ibride, ovvero che consentono di operare sia in presenza che da remoto, portando all’affermazione dello smart working. Anche le aziende tradizionali, quelle che prevedono il lavoro per l’intera settimana in sede, hanno dovuto aprirsi alla flessibilità. Se da un lato molti apprezzano i vantaggi della “nuova normalità”, dall’altro le aziende si trovano ad affrontare una serie di nuove sfide dovute alla crescente mobilità della forza lavoro. Nessuna, tuttavia, è così preoccupante come la crescente minaccia alla sicurezza informatica.
L’uso diffuso di dispositivi personali e di reti Internet non protette, ha ampliato in modo significativo la superficie di attacco per le aziende. Assicurarsi che i dipendenti utilizzino connessioni Internet anche in smart working sicure e di qualità non significa solo evitare continue chiamate di assistenza in quanto l’utilizzo di un laptop personale su una rete non protetta presenta rischi significativi che, se violati, potrebbero compromettere gravemente l’azienda.
I responsabili IT si trovano così a gestire sfide senza precedenti. Non solo devono garantire la protezione delle reti e degli end-point in ufficio, ma devono anche assicurarsi che i dipendenti comprendano come proteggere le rispettive postazioni “da remoto” e altri luoghi da cui possono lavorare (smart working). Poiché la stragrande maggioranza degli attacchi è il risultato di un errore umano, è fondamentale per i titolari delle aziende evitare di trascurare gli elementi che sono alla base della sicurezza, quali:
1. Adattare le policy di sicurezza alle nuove realtà aziendali ibride
La sicurezza informatica era una delle principali preoccupazioni per le aziende anche prima della pandemia, quando era sicuramente più facile da gestire poiché tutte le persone lavoravano in un unico luogo. Cercare di proteggere forze lavoro eterogenee presenta complicazioni per le policy di sicurezza, dato che i dipendenti non beneficiano più dell’uso di una sola rete e di un approccio unificato alla sicurezza. Per questo motivo, è essenziale che sia i manager che i team IT adottino policy di sicurezza aggiornate che riflettano la realtà del lavoro ibrido e dello smart working. Sebbene i responsabili IT debbano valutare una serie di strumenti e piattaforme di sicurezza per i team che operano in collaborazione, alcuni esempi di policy di sicurezza consigliate per adattarsi al lavoro ibrido includono la messa in sicurezza degli end-point, l’adozione dell’accesso alla rete perimetrale basato su software (accessi Zero Trust) e l’implementazione di funzionalità di sicurezza anche nelle varie attività di collaborazione.
Aggiornando i protocolli e le best practice per l’accesso ai server di lavoro in remoto, la direzione può compiere passi positivi verso l’implementazione e la normalizzazione di una forza lavoro attenta alla sicurezza. In questo modo si garantisce che i dipendenti in smart working non solo siano consapevoli delle vulnerabilità presenti nella vita lavorativa di tutti i giorni, ma che abbiano anche un quadro di riferimento che li guidi ad adottare le precauzioni necessarie, ovunque si trovino.
2. Analisi regolari delle reti domestiche e d’ufficio
La revisione dello standard delle apparecchiature già presenti in una rete è un passo semplice da compiere nell’ambito dell’aggiornamento della sicurezza. Controllare la capacità delle apparecchiature chiave, come router, dispositivi IoT e altri, è importante per individuare potenziali vulnerabilità. L’aggiornamento dei router permette di connettersi in modo più sicuro. Le aziende non dovrebbero esitare a consigliare e, ove possibile, dotare i dipendenti degli strumenti appropriati. Ad esempio potrebbero prendere in considerazione i più recenti router Wi-Fi 6 per aumentare la velocità e la portata della rete e garantire una connessione più efficiente per case con molti dispositivi, oppure i router 4G/5G che offrono una larghezza di banda indipendente dalla rete domestica o un router VPN che offre una connessione sicura e privata da casa alla rete dell’ufficio.
3. Regolamentare l’uso di dispositivi personali
Utilizzare device personali, come smartphone e PC, per le attività lavorative è oggi un comportamento dei dipendenti ampiamente accettato dalle aziende, seppur pieno di rischi. L’ideale sarebbe che i dipendenti non debbano utilizzare i dispositivi personali, poiché non sono necessariamente predisposti per gestire le minacce informatiche legate all’azienda, non prevedono gli aggiornamenti dei sistemi e neppure l’utilizzo di firewall e VPN di qualità. Inoltre, i dispositivi personali possono variare in termini di marca e sistema operativo, rendendo più difficile per i team IT tenere sotto controllo le impostazioni di sicurezza dei dipendenti. Per questo motivo, è importante capire quali sono i dispositivi personali che i dipendenti utilizzano in smart working per accedere alle informazioni relative al lavoro e porre dei limiti all’utilizzo.
4. Comunicazione e responsabilità sono fondamentali
Una volta sviluppate e implementate le nuove policy di sicurezza e affrontate le vulnerabilità presentate dai dispositivi esistenti, è importante informare i dipendenti su come possono rispettare le policy di sicurezza aziendali, ad esempio segnalando i problemi e le e-mail di phishing in arrivo. Ognuno deve essere consapevole del proprio ruolo nella salvaguardia dai rischi per l’azienda: è della dirigenza il compito di istruire i dipendenti sull’approccio corretto e controllarli per garantire la conformità.
Mentre le aziende sono alle prese con la ricerca del giusto equilibrio tra il rientro parziale negli uffici e la flessibilità dello smart working, la tecnologia rimane un elemento centrale di questa transizione. Nonostante le aziende continuino a introdurre nuove infrastrutture per tenere il passo con le esigenze del lavoro ibrido, è impossibile trascurare l’importanza di mantenere valide policy di sicurezza.
A cura di Alessandro Riganti, Country Manager di D-Link per l’Italia