La rivoluzione smart nel mondo del lavoro, impariamo la cultura della sicurezza.
La rivoluzione nel mondo del lavoro
L’adozione di forme autonome di lavoro, che consentono in autonomia di scegliere luoghi ed orari, rappresenta una formula vincente per lavoratore e datore. Infatti se consente al lavoratore di gestire al meglio il proprio tempo, liberandoli dal vincolo di orari e spostamenti, per il datore di lavoro si traduce in risparmio dei costi nella gestione degli spazi ed un aumento della produttività delle risorse impegnate nella formula “smart”.
Ovviamente tutto questo si è reso possibile grazie alla disponibilità di strumenti digitali che aiutano nel passaggio verso forme di lavoro flessibile e mobile, la presenza di smartphone e dispositivi mobili, così come la tecnologia cloud per la condivisione degli informazioni.
La rivoluzione dello smart working però deve portare ad una maggiore responsabilizzazione nella cyber security.
Con il cloud addio al “perimetro aziendale”
Uno dei punti di riferimento per la messa in atto di strumenti elettronici di protezione dagli attacchi informatici, era l’azienda, il “perimetro” aziendale. Adesso con i servizi cloud, i confini non sono più certi dato che i servizi sono distribuiti in luoghi diversi. I dati aziendali non transitano più su reti che consentono “una protezione” sicura ed evidente (firewall dedicati per esempio), ma in molti casi passano attraverso infrastrutture a cui hanno accesso anche altri utenti ( la rete domestica per esempio) e che come sicurezza non richiamano assolutamente la rete aziendale.
Ecco che i cyber criminali possono “attaccare” in maniera massiccia, con molte possibilità di successo.
Utilizzo del proprio dispositivo mobile: un’arma non sempre vincente
Smartphone e tablet sempre più evoluti, hanno dato una spinta concreta allo smart working, unitamente alla connettività mobile. L’utilizzo del proprio dispositivo mobile, sia per l’attività lavorativa, sia per quanto concerne l’utilizzo privato, è una scelta quasi obbligata.
L’utilizzo di un device ad uso “promiscuo” porta ad una sovrapposizione tra la parte lavorativa e la parte privata, che per sua natura comporta un aumento esponenziale di pirati informatici, che in uno spazio aziendale sarebbero eliminati.
La cultura della sicurezza
Ecco perché oltre ai vari aspetti positivi dello smart working, dovrebbe viaggiare in parallelo, una nuova responsabilizzazione della sicurezza, una nuova cultura.
Oltre al pericolo degli attacchi informatici, non sono da trascurare gli incidenti provocati da semplici errori nell’utilizzo degli strumenti informatici. Infatti condividere con le persone sbagliati dati aziendali, comporta danni inimmaginabili, che potrebbero benissimo essere prevenuti attraverso una formazione specifica del lavoratore.
La privacy e la cyber sicurezza partono da corsi di formazione, dalla cultura del sapere, che dovrebbero responsabilizzare il lavoratore, in qualsiasi luogo svolga il proprio lavoro.
Quanto costa il cybercrime
Gli incidenti di sicurezza hanno costi che a volte non sono considerati. Oltre al danno reputazionale, che può ripercuotersi oltre sul valore dell’azienda stessa, anche sulla percezione esterna quindi clienti e fornitori, devono essere aggiunte le sanzioni collegate alle norme del nuovo Regolamento Generale per la Protezione dei Dati (GDPR), che possono arrivare fino al 4% del fatturato annuo dell’azienda.
Data Protection
L’utilizzo di sistemi cloud per la condivisone del lavoro, apre la strada alla possibilità di accessi non autorizzati. La mitigazione del rischio passa attraverso l’adozione di specifici strumenti che possono garantire la gestione di ciascun dato, in base alle sue caratteristiche.
Ecco alcuni esempi:
- Monitoraggio degli accessi e delle operazioni sul cloud;
- Verifica delle applicazioni utilizzate e valutazione del rischio;
- Classificazione dei dati in base al livello di rilevanza e assegnazione di policy adeguate per l’accesso, la modifica, la condivisione;
- Crittografia dei dati sensibili.
Il fattore tempo
Oltre gli attacchi informatici, la protezione passa anche dalla capacità di individuare con tempestività eventuali attività anomale, da parte di un utente o di un dispositivo.
Lo smart working pone la problematica di non considerare il fattore tempo come un elemento determinante, infatti un’attività fuori dall’orario di ufficio viene considerata un indizio di compromissione. La soluzione passa attraverso l’utilizzo di un sistema di analisi comportamentale, dove le attività sono analizzate in modo da rilevare eventuali anomalie, sia per il tipo di attività svolta, sia per la tempistica e la posizione geografica.
Protezione della propria identità
L’accesso agli strumenti e ai dati aziendali attraverso piattaforme cloud, mette in evidenza l’importanza della protezione dell’identità (credenziali di accesso) e sul monitoraggio degli accessi da remoto.
Inoltre attraverso la segmentazione della rete si può mitigare il rischio di incidenti di sicurezza, attraverso l’assegnazione di ruoli precisi ad ogni utente.
Quindi:
- Implementazione di sistemi di autenticazione a due fattori attraverso l’uso di device fisici o sistemi biometrici (riconoscimento facciale o vocale, impronta digitale);
- Assegnazione di ruoli ai singoli utenti, circoscrivendo i privilegi assegnati;
- Analisi degli accessi su base geografica e verifica del dispositivo utilizzato
Gestione dispositivi mobile e applicazioni
Per garantire un utilizzo appropriato del dispositivo e la protezione dei dati aziendali, è indispensabile utilizzare strumenti che proteggano le informazioni aziendali e il dispositivo stesso, attraverso funzioni di Mobile Device Management.
- Separazione tra dati personali e di dati aziendali, anche una volta memorizzati sul dispositivo;
- Configurazioni di sicurezza a livello di password, PIN e blocco delle funzioni di rooting e jailbreaking;
- Restrizioni delle App installabili sul dispositivo secondo policies di sicurezza predefinite;
- Utilizzo delle App di produttività con modalità separata a secondo dell’uso aziendale o personale;
- Controllo della navigazione attraverso la verifica delle URL verificate.
Protezione dalle minacce esterne
Come abbiamo già molte volte detto, il lavoro in mobilità comporta un maggior rischio di attacchi informatici da parte di hacker e cyber-criminali, dovuto non solo da una minore consapevolezza da parte degli utenti (che spesso sottovalutano i rischi collegati all’utilizzo dello smartphone), ma anche da alcuni aspetti specifici.
Il primo fattore di rischio riguarda la presenza di applicazioni di messaggistica o degli stessi SMS, di per sé sufficiente ad aprire la strada a messaggi di phishing e all’invio di URL malevole.
Un aspetto rilevante è anche quello degli aggiornamenti di sicurezza, la cui applicazione normalmente non è gestita attraversi strumenti di pach management e che lascia la strada libera all’utilizzo di exploit basati su vulnerabilità note. Ultimo fattore è quello ambientale, per esempio nel caso di navigazioni attraverso WI-FI pubbliche e non protette, che possono consentire l’intercettazione dei dati.
- Implementazione di collegamenti via VPN (Virtual Private Network), per proteggere i dati ricevuti e inviati attraverso sistemi di crittografia;
- Utilizzo di un antivirus sui dispositivi mobile;
- Uso di un sistema di patch management sia a livello di sistema che delle applicazioni.
Documentazione allegata
-
Sicurezza mobile nell'era dello smart working
Dimensione del file: 330 KB
Comments are closed for this article!