Home Prodotti Sicurezza Smart working e sicurezza, la lunga lista delle cose da fare

Smart working e sicurezza, la lunga lista delle cose da fare

A seguito della pandemia da Covid-19 mai come in quest’ultimi due mesi tutte le imprese hanno dovuto attrezzarsi per consentire ai propri collaboratori di operare in smart working, posponendo, il più delle volte, le questioni relative alla sicurezza.

Per le moderne aziende del settore IT, l’infrastruttura e le policy di sicurezza per il lavoro a distanza sono senza dubbio già in atto e la grande maggioranza dei manager aziendali sono da tempo utilizzatori di computer portatili.

Ma per molte organizzazioni e imprese più piccole, invece, la situazione è molto diversa. Il lavoro a distanza è probabilmente limitato a pochi, soprattutto per l’uso della posta elettronica e di altre specifiche applicazioni.

Lavoro remoto e sicurezza, l’esempio della scuola

Il mondo scolastico ne è un buon esempio: le università offrono da tempo l’apprendimento a distanza, mentre gli istituti delle scuole superiori continuano a restare legati al fatto che personale e studenti possano recarsi in aula per le sessioni formative. Anche gli uffici amministrativi delle scuole devono essere considerati, in quanto è improbabile che siano lavoratori mobili e che utilizzino dispositivi laptop.

Distinguere le organizzazioni in pochi gruppi con esigenze diverse e affrontare le richieste di ciascuno per effettuare l’esodo di massa può sembrare un approccio semplicistico, ma è probabilmente essenziale data l’urgenza di queste settimane.

Mantenendo sempre il settore scolastico come esempio, ci sono gli studenti (i clienti), i docenti, l’amministrazione e gli uffici operativi. La scuola non può certo funzionare senza un significativo impegno da parte degli studenti, gli insegnanti hanno bisogno di strutture per le video conferenze e i team amministrativi hanno bisogno di un accesso alla rete: questi sono i requisiti minimi.

Strumenti e funzioni di base

Secondo Tony Anscombe, Global Security Evangelist & Industry Ambassador di Eset Security Community per essere produttivi ci sono strumenti e funzionalità basilari di cui tutti i lavoratori a distanza hanno bisogno.

Sono un computer, una buona connessione internet, applicazioni per chat e conferenze, uno spazio di lavoro dedicato, opzionalmente, un telefono, auto-motivazione e disciplina, una rigorosa routine.

Perché il telefono è opzionale? Nell’economia moderna potrebbe non essere più necessario, anche perché la maggior parte delle applicazioni di chat consente la chiamata diretta. La necessità di un telefono può essere un requisito aziendale piuttosto che un dispositivo essenziale.

Tony Anscombe, Eset evangelist

È importante sottolineare che le imprese devono preparare se stesse e i loro dipendenti a gestire nuovi rischi di sicurezza informatica associati al lavoro a distanza.

Chiediamo ad Anscombe, in qualità di evangelist delle tematiche della sicurezza, quali sono alcune delle sfide che potrebbero dover essere affrontate?

Sicurezza fisica dei dispositivi aziendali

I dipendenti esporranno i dispositivi dell’azienda a maggiori rischi, lasciando la sicurezza e la protezione del luogo di lavoro. Inoltre, i dispositivi devono essere protetti contro lo smarrimento e il furto con opzioni quali:

  • La crittografia completa del disco assicura che qualora il dispositivo dovesse cadere nelle mani sbagliate, i dati dell’azienda non sono accessibili.
  • Disconnettersi quando non viene utilizzato – sia a casa che in luoghi pubblici. Un bambino curioso che invia per sbaglio un’e-mail al capo o a un cliente è facilmente evitabile, così come limita la possibilità per qualcuno di accedere al sistema mentre si è distratti a parlare con qualcuno.
  • Servono policy rigorose in materia di password – far rispettare le password all’avvio, impostare i timeout di inattività e vietare i biglietti adesivi che riportano le password: le persono lo fanno ancora!
  • Non lasciare mai il dispositivo incustodito o esposto al pubblico. Se è in macchina, dovrebbe rimanere custodito nel bagagliaio.

Cosa c’è nell’ambiente domestico

Occorre chiedere ai dipendenti di verificare la vulnerabilità del proprio ambiente domestico prima di collegare i dispositivi aziendali. Ci sono varie comunicazioni sui dispositivi vulnerabili dell’IoT, e questo è un ottimo momento per i dipendenti di intervenire per proteggerli con password sicure, aggiornando il relativo firmware/software alle ultime versioni.

Considerare la possibilità di promuovere, o addirittura di imporre, l’uso di un’applicazione di monitoraggio domestica prima di consentire la connessione dei dispositivi aziendali alle reti domestiche. La scansione o il monitoraggio evidenzierà i dispositivi con vulnerabilità note, software o firmware obsoleti o password predefinite che devono essere modificate.

Accesso alla rete e ai sistemi aziendali

Stabilire se il dipendente ha bisogno di accedere alla rete interna dell’organizzazione o semplicemente di accedere ai servizi e alla posta elettronica in cloud. Prendere anche in considerazione se lo stesso livello di accesso ai dati sensibili assegnato quando si è in sede deve essere garantito quando il dipendente è fuori ufficio.

Per Anscombe, se è necessario l’accesso alla rete interna dell’organizzazione, bisogna allora:

  • Raccomandare l’utilizzo unicamente da un dispositivo di proprietà dell’impresa, in modo che il pieno controllo del dispositivo di connessione sia sotto la gestione del team di sicurezza e IT.
  • Utilizzare sempre una VPN per collegare i lavoratori remoti alla rete interna dell’organizzazione. In questo modo si evitano gli attacchi ‘man-in-the-middle’ da postazioni remote: ricordate che, dato che ora lavorate da casa, il traffico viaggia sulle reti pubbliche.
  • Controllare l’uso di dispositivi esterni come dispositivi di memorizzazione USB e periferiche.

Per consentire l’accesso ai servizi e-mail e ai servizi cloud dal dispositivo di un dipendente bisogna

  • Applicare la stessa policy di sicurezza degli endpoint per antimalware, firewall, ecc. come con un dispositivo gestito dall’organizzazione. Se necessario, fornire al dipendente una licenza per le stesse soluzioni utilizzate sui dispositivi di proprietà dell’organizzazione.
  • Limitare la possibilità di memorizzare, scaricare o copiare i dati. Una violazione dei dati può verificarsi da qualsiasi dispositivo che contenga dati aziendali sensibili.
  • Considerare l’uso di macchine virtuali per fornire l’accesso: questo mantiene il dipendente in un ambiente controllato e limita l’esposizione della rete aziendale all’ambiente domestico. Questo può essere più complesso da configurare, ma potrebbe essere una soluzione superiore a lungo termine.

L’autenticazione a più fattori (MFA) assicura che l’accesso, sia ai servizi basati su cloud che all’accesso completo alla rete, avvenga solo da parte degli utenti autorizzati. Ove possibile, dice Anscombe, bisogna utilizzare un sistema basato su app o un token hardware fisico per generare codici una tantum che garantiscano l’accesso autenticato. Poiché ci può essere poco tempo per le implementazioni, una soluzione basata su app elimina la necessità di procurarsi e distribuire l’hardware. I sistemi basati su app forniscono una maggiore sicurezza rispetto ai messaggi SMS, soprattutto se il dispositivo utilizzato per ricevere i codici non è un dispositivo gestito dall’organizzazione e potrebbe essere soggetto ad un attacco di swap della SIM.

Strumenti collaborativi e processi di autorizzazione

Può sembrare strano mettere questi due elementi sotto lo stesso capitolo, ma secondo Anscombe uno può aiutare a prevenire vari problemi.

Fornire l‘accesso a sistemi di chat, video e conferenze in modo che i dipendenti possano comunicare tra loro fornisce gli strumenti di produttività necessari e aiuta i dipendenti a rimanere in contatto con i colleghi.

Utilizzare gli strumenti collaborativi per proteggersi da transazioni non autorizzate: i criminali informatici coglieranno l’occasione di agganciare i nostri collaboratori che lavorano da remoto per lanciare attacchi con tecniche di tipo Business E-mail Compromise (BEC). È in questo caso che una richiesta urgente viene inviata da un falso mittente, chiedendo il trasferimento urgente di denaro, senza la possibilità di convalidare la richiesta di persona. Bisogna quindi assicurarsi sempre di utilizzare sistemi di videoconferenza/chat nella fase formale di approvazione, in modo che la validazione possa avvenire “di persona”, anche a distanza.

Cultura e formazione di sicurezza

Purtroppo, ci sono numerose truffe COVID-19 in circolazione e quando i dipendenti lavorano  fuori dall’ambiente lavorativo, possono prendere in considerazione l’idea di cliccare sui vari link che ricevono poiché non hanno colleghi intorno che potrebbero osservarli mentre guardano un video divertente o consultano una specifica pagina web.

La formazione e la sensibilizzazione in ambito sicurezza informatica rimangono elementi fondamentali per i dipendenti. Si consigliano opportuni aggiornamenti, prima che le persone si attivino con lo smart working, per evitare che i criminali informatici possano sfruttare la componente emozionale dei collaboratori.

Supporto e gestione delle crisi

Nella fretta di fornire l’accesso remoto, non bisogna mai sacrificare la sicurezza informatica o la capacità di gestire sistemi e dispositivi. La capacità di supportare gli utenti da remoto sarà essenziale per garantire un funzionamento senza ostacoli. I lavoratori a distanza devono disporre di protocolli di comunicazione chiari per il supporto IT e per la gestione delle crisi se incontrano problemi insoliti o sospetti che potrebbero essere il risultato di una violazione.

I dieci fattori chiave della sicurezza in smart working

Oltre alla tecnologia e ai processi funzionali, ci sono altri deci fattori chiave per un efficace lavoro da remoto. Ce li elenca Anscombe:

Comunicazione: considerare la possibilità di fare video chiamate di gruppo una volta al giorno, di informare le persone sulla situazione e di dare a tutti l’opportunità di condividere esperienze e problemi.

Reattività: lavorare a distanza non è la stessa cosa che lavorare in un ambiente di ufficio. Stabilire linee guida chiare sulla rapidità con cui un lavoratore a distanza deve rispondere a una richiesta, a seconda del tipo di comunicazione, dell’e-mail, degli inviti del calendario, ecc.

Reporting, i manager di riferimento devono implementare procedure che consentano loro di accertare se i collaboratori da remoto stanno svolgendo il lavoro: riunioni di gruppo obbligatorie, collaborazione di gruppo, rapporti giornalieri/settimanali/mensili.

Orario di lavoro: concordare un metodo di inizio e termine dei lavori, magari con un semplice buongiorno di gruppo quando si parte la mattina e concludere con una video chiamata di gruppo per augurarsi il proseguimento della serata.

Salute e sicurezza: le tastiere ergonomiche dell’ufficio devono essere portate a casa per fornire lo stesso comfort a cui sono abituati i dipendenti? Lavorare da casa non elimina la responsabilità di assicurare un buon ambiente di lavoro.

Responsabilità: assicurare la copertura dei beni aziendali mentre sono in possesso del dipendente.

Supporto tecnico: distribuire i dati di contatto: tutti i lavoratori a distanza devono sapere come ottenere supporto in caso di necessità.

Socializzazione: riunire i lavoratori a distanza, in particolare virtualmente. L’interazione sociale è una parte importante della motivazione e aumenta la produttività. Prendere in considerazione un programma di affiatamento o di mentoring in modo che ogni dipendente sia affiancato da un collega a cui rivolgeresi per risolvere i problemi, sfogarsi, condividere o socializzare virtualmente.

Accessibilità: stabilire una policy di gestione virtuale trasparente, proprio come in ufficio. Assicurarsi che le persone siano disponibili e possano essere facilmente coinvolte.

Non bisogna dare per scontato che tutti i dipendenti possano passare al lavoro a distanza in modo efficace e con poca assistenza o guida. La casa non è l’ufficio e potrebbero aver bisogno di un’assistenza significativa per adattarsi.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

css.php