Lo smart working ai tempi del Coronavirus rappresenta una grande opportunità per le aziende di difendere la continuità del loro business.

L’emergenza da Coronavirus ha portato con sé una vera e propria rivoluzione culturale, oltre che organizzativa e di processo, abilitata dal lavoro “intelligente”.

Con le misure di contenimento e gestione dell’emergenza decise dal Governo è stato fra l’altro approvato l’uso di strumenti e device personali per lavorare. Se si considerano tuttavia le funzionalità sempre nuove dei dispositivi da un lato e l’evoluzione continua delle minacce informatiche dall’altro, risulta chiaro come lo smart working richieda consapevolezza dei possibili rischi per la cyber security.

Ci sono aspetti importanti da considerare nel momento in cui si apre la propria azienda allo smart working, per valutare implicazioni di sicurezza e minacce, che coinvolgono la sicurezza dei dispositivi, delle reti e dei dati.
Ecco dieci consigli dei nostri esperti per lavorare in smart working in tutta sicurezza.

1. Assicurarsi che i pc ed i cellulari siano al sicuro
La prima linea di difesa che le aziende devono mettere in campo riguarda la protezione dei propri asset: è necessario fornire consapevolezza sui comportamenti da adottare nella custodia dei dispositivi (mai lasciarli in auto, sul sedile in treno mentre si va in bagno, nella cassaforte degli hotel, etc… ), oltre a predisporre meccanismi che consentano, nella malaugurata ipotesi di perdita di possesso dell’asset, di inibire la possibilità di accesso ai dati a chi dovesse entrarne in possesso (full disk encryption, remote wiping, etc…)

2. Uso accorto delle password
Un’adeguata consapevolezza dei dipendenti in merito alle politiche più opportune sull’uso (e riuso) della password è obbligatoria, unita a presidi tecnici messi a punto dall’azienda, ad esempio per imporre un secondo (o un terzo se necessario) fattore di autenticazione.

3. Sistemi di protezione attivi (e aggiornati)
Mentre nel caso di strumenti aziendali è relativamente semplice garantire che siano protetti con adeguati strumenti (antivirus, EDR, MDM, web filtering, etc…), nel caso di BYOD devono essere previste adeguate misure compensative per limitare il rischio. Queste possono essere viste dai dipendenti come una limitazione troppo spinta per i propri dispositivi personali, per cui spesso le aziende preferiscono fornire propri dispositivi per le attività di business critiche.

4. Best Practice nell’uso delle e-mail
Le vulnerabilità legate ad un uso non consapevole delle e-mail non sono meno gravi quando un dipendente lavora da remoto. È essenziale che il dipendente che lavori da remoti mantenga le stesse attenzioni a tentativi di phishing, spear phising, scam di quando usa il pc in ufficio. Con tale obiettivo è auspicabile che la consapevolezza distribuita dalle aziende in merito preveda ad esempio scenari in cui è maggiormente probabile che il dipendente abbia un’attenzione ridotta (e sia quindi più vulnerabile ad attacchi di questo tipo).
Nota: no, ordinare un bonifico chiesto con urgenza dal CFO mentre si cambia il pannolino al pupo non è una buona idea.

5. Reti pubbliche
L’uso delle reti WiFi pubbliche può essere un veicolo che consente ad un malintenzionato di condurre attacchi ai dispositivi; diventa quindi necessario, oltre alla distribuzione della consapevolezza su quali siano le reti fidate e come riconoscere eventuali tentativi di camuffamento, anche introdurre delle politiche che evidenzino in modo chiaro quali siano le attività critiche di business alle quali i dipendenti non devono poter accedere quando sono connessi a reti pubbliche. 

6. Computer pubblici
I dipendenti devono essere adeguatamente educati sui rischi nei quali incorrono nell’utilizzare computer di cui non sanno nulla. Qualora sia obbligatorio usarne uno, deve essere noto al dipendente di non utilizzarlo per scambiare nessuna informazione sensibile, utilizzare sempre il private browsing, non salvare informazioni di login e pulire la history della navigazione e dei download prima di chiudere il browser. 

7. Sicurezza fisica e spioni
Non tutto riguarda rischi di natura prettamente tecnica. I dipendenti che lavorano remotamente, soprattutto quando si trovano in spazi pubblici, devono prestare attenzione a chi potrebbe osservare le loro azioni. L’uso di password di accesso ad esempio dovrebbe prevedere le medesime precauzioni che il dipendente usa quando inserisce il PIN mentre usa il proprio bancomat personale. Il rischio di essere spiati ed avere i propri dati rubati, non si limita infatti solo a questioni tecniche, ma anche al fattore umano, basti pensare alla possibilità che qualcuno scatti foto del display del dipendente mentre visualizza informazioni sensibili.

8. Dispositivi rimovibili
I dispositivi USB esterni sono un eccellente metodo per veicolare malware. Non permettere a terzi di collegare dispositivi USB al proprio PC, ad esempio per condividere una presentazione, se prima non si sono avute indicazioni in merito dal proprio IT.

9. Policy e monitoraggio
Il perimetro di monitoraggio 24/7 di eventi malevoli, se già in essere in azienda, può essere esteso anche ai lavoratori remoti: parlane col tuo fornitore di servizi.

10. Rischi accidentali in casa
Dopo aver messo in sicurezza l’accesso dei dipendenti remoti ai tuoi dati, esserti assicurato che non esistano RDP esposti worldwide, aver fornito ad ogni dipendente pc e mobile con EDR e sistemi di wiping a bordo, garantito l’accesso alle VDI attraverso moderni protocolli sulle VPN, … hai pensato ai cuccioli, bambini o anche amici a quattro zampe, che potrebbero zampettare sulla tastiera quando l’utente, alle prese con il consueto bonifico, si allontana dalla postazione per spegnere il gas senza bloccare la sessione? Ricordiamoci sempre che la cyber security è prima di tutto una forma mentis, delle aziende e delle persone, e richiede una cultura diffusa.