Anche in una situazione di emergenza come quella attuale, implementare lo smart working richiede l’adozione di precauzioni essenziali per evitare spiacevoli sorprese, soprattutto in termini di protezione dei dati.
In linea di principio, il telelavoro funziona egregiamente se l’impiegato può accedere alle risorse e alle informazioni che gli necessitano per la propria attività professionale, avvalendosi di terminali forniti dal datore di lavoro in tutta sicurezza. Tuttavia, in Italia l’improvviso e necessario lock-down non ha consentito un passaggio graduale a questa modalità operativa. “Al momento rileviamo un estremo sovraccarico di reparti e fornitori IT, chiamati ad adeguare in fretta e furia l’infrastruttura alle nuove esigenze da un lato e dall’altro una generalizzata isteria da emergenza tra gli utenti, che li porta a cercare nel minor tempo possibile soluzioni per fare da casa quello che facevano in ufficio, per lo più in barba alle policy di sicurezza aziendale”, conferma Davide Pala, Presales Engineer di Stormshield, azienda del Gruppo Airbus specializzata in cybersecurity.
Una totale mancanza di preparazione su entrambi i fronti (aziende e utenti) foriera di sperimentazioni, condotte in maniera inaccurata con dati spesso non protetti o malconfigurazioni anche gravi, pur di garantire ai dipendenti accesso alle risorse aziendali a colpi di “Shadow IT”, con tutte le conseguenze del caso sull’integrità dei dati e dei sistemi informativi di organizzazioni di qualsiasi ordine e grado.
Non dobbiamo dimenticare infatti che, rispetto alla forza lavoro totale attualmente in “home office”, solo una minima parte dei dipendenti dispone di laptop aziendali, su cui si spera che siano implementate policy di sicurezza particolarmente restrittive. È evidente che la maggior parte dei lavoratori deve avvalersi di dispositivi domestici difficilmente allineabili agli standard di cybersecurity aziendali.
Numerose quindi le raccomandazioni in merito alle buone prassi di igiene digitale nel telelavoro, ovvero
- aggiornare antivirus, sistemi operativi e applicazioni sui PC domestici
- usare password complesse per l’accesso ai vari servizi e idealmente l’autenticazione a due fattori
- disinstallare software scaricati da repository di dubbia provenienza o piattaforme peer-to-peer
- ove possibile usare una rete diversa da quella domestica, magari collegandosi ad una rete wireless dedicata come ad esempio l’accesso ospite al WiFi di cui la quasi totalità dei router xDSL/FTTH/FTTC sono dotati, questo per limitare l’esposizione di un dispositivo abilitato all’accesso delle risorse aziendali
- non consultare siti personali o e-mail private, né tantomeno aprire allegati ricevuti su caselle di posta private attraverso i tunnel VPN con cui si è connessi alla rete aziendale. Quest’ultima raccomandazione è davvero importante: l’uso della VPN non blocca la trasmissione di file infetti.
Telelavoro e il modello zero trust
“Proprio ora, a fronte di questa situazione, sarebbe quanto mai opportuno adottare un modello “zero trust”, ovvero la totale chiusura dei privilegi di accesso alle risorse di rete aziendali con deleghe puntuali ai singoli dipendenti ed una strategia di protezione orientata ai dati (cosiddetta datacentric security)”, aggiunge Pala.
Un eventuale keylogger non rilevato dall’antivirus sul computer personale dell’utente o una campagna di phishing riuscita sono sufficienti per carpire le credenziali di accesso alla rete aziendale a cui lo “smart worker” si collega con il suo PC domestico e mettere in ginocchio l’intero sistema informativo aziendale, con tutta una serie di conseguenze a cui pochi pensano, pur di poter lavorare in qualche modo “come prima”. Il modello zero trust prevede sia la cifratura trasparente e costante dei dati “end-to-end”, indipendente dalla piattaforma di archiviazione utilizzata e dall’uso di VPN, sia un accesso ristretto alle risorse di rete autorizzate per un dato utente anche in base a orari prestabiliti e un controllo approfondito con blocco immediato in caso di anomalie di tutto quanto passa attraverso il perimetro aziendale, anche esteso, in termini di conformità ai protocolli di comunicazione.
Pala ribadisce: “lo smart working, concesso in situazioni di normalità, può davvero garantire un maggior equilibrio tra vita privata e professionale. Questa è l’occasione per valutare modelli e strumenti adeguati per modificare a lungo termine in modo in cui gestire l’operatività aziendale, e stavolta, speriamo, secondo i migliori principi della security by design”.