Mettere in sicurezza il lavoro da remoto è una priorità

Da argomento dibattuto ma poco praticato il lavoro agile è ora un obbligo. Va però attuato assicurando la protezione dei dati. I suggerimenti di Stormshield

 

Il lavoro agile, o telelavoro o smart working si sta imponendo  per le implicazioni sanitarie che stanno sconvolgendo  il modo di vivere e di condurre  le attività lavorative.

Il processo di accelerazione che sta avendo la sua accettazione e diffusione è peraltro tipico di momenti di crisi, quando  le resistenze di varia natura che per anni hanno impedito l’attuazione e l’adozione di nuovi strumenti di lavoro sono travolte dalla realtà dei fatti.

Ciononostante, e in linea di principio, il telelavoro funziona egregiamente se l’impiegato può accedere alle risorse e alle informazioni che gli necessitano per la propria attività professionale, avvalendosi di terminali forniti dal datore di lavoro in tutta sicurezza.

Tuttavia, l’improvviso passaggio da una possibilità teorica alla sua attuazione pratica non ha consentito un passaggio graduale a questa modalità operativa che permettesse di  prendere coscienza delle connesse problematiche e mettere in campo misure preventive.

Al momento rileviamo un estremo sovraccarico di reparti e fornitori IT, chiamati ad adeguare in fretta e furia l’infrastruttura alle nuove esigenze da un lato e dall’altro una generalizzata isteria da emergenza tra gli utenti, che li porta a cercare nel minor tempo possibile soluzioni per fare da casa quello che facevano in ufficio, per lo più in barba alle policy di sicurezza aziendale”, ha osservato non senza esprimere una profonda preoccupazione per le possibili conseguenze Davide Pala, Presales Engineer di Stormshield, azienda del Gruppo Airbus specializzata in cybersecurity.

Davide Pala - Stormshield Italia

Davide Pala – Stormshield Italia

Il rischio è insito laddove, pur di garantire ai dipendenti accesso alle risorse aziendali,  venga a mancare sia sul fronte aziende che utente  una sperimentazione condotta in maniera accurata, con dati spesso non protetti o malconfigurazioni anche gravi.

Il pericolo insito dello Shadow IT

Problema a cui si aggiunge quello del rischio insito nello “Shadow IT”,  ovverosia il ricorso da parte dei singoli ad applicazioni software o dispositivi ignoti  ai gestori stessi delle infrastrutture ICT , con tutte le conseguenze del caso sull’integrità dei dati e dei sistemi informativi.

Non va scordato, osserva in proposito Pala, e di certo è un punto critico su cui è difficile non concordare, che rispetto alla forza lavoro totale attualmente in home office o working che dir si voglia solo una minima parte di essa dispone di laptop aziendali, su cui si auspica che siano implementate policy di sicurezza particolarmente restrittive.

È tuttavia evidente che la maggior parte dei lavoratori si sta al momento avvalendo di dispositivi domestici non facilmente allineabili ai tipici standard aziendali di cyber-security.

Ma cosa fare allora in merito per evitare o mitigare il rischio? Quello che suggerisce Stormshield è di adottare buone prassi di igiene digitale quali ad esempio:

  • Aggiornare antivirus, sistemi operativi e applicazioni installati sui PC domestici.
  • Usare password complesse per l’accesso ai vari servizi e, ancor meglio, far ricorso ad una autenticazione a due fattori.
  • Disinstallare software scaricati da repository di dubbia provenienza o piattaforme peer-to-peer.
  • Ove possibile, per limitare l’esposizione di un dispositivo abilitato all’accesso delle risorse aziendali, usare una rete diversa da quella domestica, magari collegandosi ad una rete wireless dedicata.
  • Non consultare siti personali o e-mail private, né tantomeno aprire allegati ricevuti su caselle di posta private attraverso i tunnel VPN con cui si è connessi alla rete aziendale. L’uso di una VPN, infatti, non blocca la trasmissione di file infetti.

 Il modello zero trust per uno smart working sicuro

Un modo  per  ridurre i rischi insiti nel telelavoro consiste nell’adottare quello che viene riferito in letteratura come modello “Zero Trust”.

Il modello zero trust prevede sia la cifratura trasparente e costante dei dati su base “end-to-end”, indipendente dalla piattaforma di archiviazione utilizzata e dall’uso di VPN, sia un accesso ristretto alle risorse di rete autorizzate per un dato utente anche in base a orari prestabiliti e un controllo approfondito con blocco immediato in caso di anomalie di tutto quanto passa attraverso il perimetro aziendale, anche esteso, in termini di conformità ai protocolli di comunicazione.

E’ un approccio  molto restrittivo ma efficace che permette di mantenere l’uso delle risorse  aziendali e dei dati sotto stretto, e verrebbe da aggiungere ferreo, controllo dell’azienda.

Proprio ora, a fronte di questa situazione, sarebbe quanto mai opportuno adottare un modello zero trust, ovvero la totale chiusura dei privilegi di accesso alle risorse di rete aziendali con deleghe puntuali ai singoli dipendenti ed una strategia di protezione orientata ai dati”, è quanto suggerisce Pala.

Un eventuale keylogger (e cioè uno strumento hardware o software in grado di effettuare lo sniffing della tastiera di un computer ed intercettare le chiavi senza essere rilevato dall’antivirus sul computer personale) o una campagna di phishing riuscita sono ad esempio in grado di carpire le credenziali di accesso alla rete aziendale a cui lo “smart worker” si collega con il suo PC domestico e di conseguenza mettere in crisi l’intero sistema informativo aziendale.

Lo smart working, concesso in situazioni di normalità, può davvero garantire un maggior equilibrio tra vita privata e professionale. Questa è però l’occasione per valutare modelli e strumenti adeguati per modificare a lungo termine il modo in cui gestire l’operatività aziendale, e stavolta, speriamo, secondo i migliori principi della security by design”, osserva Pala.