SMART WORKING E CYBER SECURITY: VADEMECUM CONTRO BRUTTE SORPRESE

redatto da Aryon Solutions | Cyber Security | 26 Maggio 2021

In questo periodo di emergenza moltissime aziende, sia piccole e medie che grandi, stanno adottando la soluzione dello “smart working” o lavoro agile, una modalità di lavoro a lungo desiderata da molti per i grandi vantaggi di flessibilità e riorganizzazione del proprio tempo.

Per trarre il massimo vantaggio da questa opportunità, occorre però dare la giusta attenzione ad aspetti non certo secondari, quali la sicurezza delle informazioni.

Vediamo insieme quali sono le principali criticità

Si dà per scontato che lavorare all’esterno dell’azienda (da casa) sia sicuro come lavorare in ufficio, ma ragioniamo su alcuni aspetti che dimostrano esattamente il contrario.

Le aziende più “strutturate” che hanno già adottato un regime di smart working, hanno strumenti adeguati per rispondere pienamente a tutte le necessità di questa modalità di lavoro. Hanno quindi dotato i dipendenti di dispositivi appositamente predisposti, con applicativi pronti per una fruizione remota, dispositivi telefonici virtuali adeguati allo scopo, ma anche di portali per la gestione del tempo lavorativo (rilevazione presenze, ecc.), in un contesto gestito in modo formalmente ineccepibile.

Molte altre aziende, invece, hanno sperimentato il ricorso all’attività lavorativa in remoto in casi sporadici e non l’hanno quindi mai regolamentata dal punto di vista informatico, pensando, cioè, ai risvolti di sicurezza e all’uso di strumenti idonei.

In tanti quindi, stanno spingendo i dipendenti all’attività in smart working senza avere idea di come affrontare in modo serio la questione, mettendo di fatto a rischio i dati aziendali.

Cercando di semplificare un tema che semplice non è, ci sembra corretto affermare che la maggiore criticità sia data dal fatto che i dipendenti usino i loro dispositivi personali per accedere ai Sistemi aziendali, incluse quindi le connessioni di rete dove magari non si sono modificati i parametri standard.

Di frequente a casa, utilizzando dispositivi personali, si trascurano le misure di sicurezza, non si adottano adeguatamente sistemi antivirus/antimalaware, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione (accesso a siti pericolosi, download, ecc.).

Di conseguenza è alta la possibilità che i computer abbiano malware attivi, o che qualcuno possa intercettare le nostre comunicazioni senza particolari difficoltà: uno scenario seriamente pericoloso se si accede, in questo modo, ai sistemi aziendali.

Suggerimenti pratici per lo smart working:

  • Non usare sistemi personali, neppure per leggere la posta elettronica, ma ricorrere sempre a dispositivi forniti dall’azienda, sui quali dovrebbero essere attivi e verificati con regolarità sistemi di sicurezza adeguati.
  • In caso contrario, installare almeno un buon sistema antivirus (magari quello aziendale messo a disposizione per l’emergenza) ed effettuare un’accurata scansione preventiva.
  • Sempre se possibile è molto utile un sistema di gestione remota del PC, con il quale i colleghi tecnici possano monitorare e gestire eventuali
  • A questo punto, stabilito il dispositivo da usare e messo in condizioni di sicurezza, ci si deve collegare ai sistemi aziendali, con differenti possibilità di interazione.
  • Alcuni avranno a disposizione accessi remoti “terminalizzati”. In questo assetto sul computer remoto viene eseguita una sessione che mostra una elaborazione che viene svolta in totale sicurezza sui sistemi aziendali, evitando una interazione diretta tra il sistema remoto ed il sistema Informativo aziendale.
  • Altri usano sistemi accessibili via web, già predisposti all’uso remoto. Anche in questo caso, adoperando corretti criteri di sicurezza.
  • Ed infine, l’attivazione di una connessione VPN ovvero quel canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda, attraverso il quale si accede direttamente agli applicativi ed ai dati aziendali. Questa è la condizione più critica, che richiede particolare attenzione in quanto mette in collegamento diretto il dispositivo remoto col sistema informativo aziendale, con il rischio ad esempio che un software malevolo infetti il dispositivo remoto e da qui l’intero sistema.
  • Da ultimo, resta ancora un aspetto assai delicato che è quello legato all’accesso (il login). Se non si usano adeguati sistemi di protezione -come protocolli sicuri e software di protezione adeguati- è possibile che le utenze e le password digitate vengano carpite.
  • Se possibile, l’adozione di sistemi di autenticazione a due fattori (con l’uso di codici o token, in aggiunta alla normale password), risolve questo problema.
  • In caso contrario, consigliamo almeno di aumentare il grado di complessità delle password utilizzate, e di forzarne il cambiamento molto più frequentemente di quanto si faccia normalmente.

L’ASPETTO DELLA PRIVACY

Dal punto di vista della privacy, i progetti di smart working implicano il coinvolgimento di tutta l’organizzazione e comportano una maggiore responsabilizzazione (accountability) dei lavoratori/autorizzati caratterizzata non solo da maggiore autonomia, ma anche da un orientamento ai risultati più forte rispetto al lavoro tradizionale.

Il lavoro agile se da un lato consente di migliorare la produttività delle imprese e di usufruire di diversi incentivi fiscali, nonché di permettere ai lavoratori una migliore conciliazione tra lavoro e famiglia, producendo pertanto maggiori opportunità per le imprese e i lavoratori, dall’altro espone anche a maggiori rischi informatici.

A maggior ragione in contesti esterni o in occasione di trasferte o di lavoro in mobilità dovranno essere aggiornate e rispettate le policy (IT e posta elettronica o telefono aziendale). Al riguardo, alcune semplici accortezze:

  • evitare l’uso dei social network, o altre applicazioni social facilmente hackerabili;
  • adoperare “misure di sicurezza” nell’utilizzo di pc o tablet come paraschermi (privacy-screen) che impediscano la visuale laterale del vicino, non tanto e solo per motivi di riservatezza, ma anche per la circolazione dei dati;
  • evitare di rivelare al telefono informazioni aziendali;
  • evitare il collegamento a reti non sicure o sulle quali non si abbiano adeguate garanzie;
  • non lasciare portatili o incartamenti incustoditi in treno o locali pubblici.

Tutto ciò trova, in materia di Privacy, tutela rafforzata in particolare nel GDPR laddove il legislatore ha voluto introdurre una politica di responsabilizzazione (cd. accountability) del Titolare del trattamento.