Lo smart working rende le imprese vulnerabili sotto il profilo di un accesso ai dati che rischia di essere non controllato? La risposta è affermativa, ma vale anche nel caso un’azienda decida di non attuare lo smart working, ossia di rimanere al palo analogico.
In modo semplice, ma non banale, va detto che il passaggio al lavoro in digitale, specie per quelle realtà che partono da una situazione di assenza totale di metodi di condivisione di informazioni al di fuori del perimetro aziendale, va gestito su differenti livelli di protezione e conservazione dei dati, al fine di assicurare la continuità di business.
Ne abbiamo voluto parlare in termini, appunto semplici, con Candid Wüest, che in qualità di vicepresidente della divisione Cyber Protection Research di Acronis, è un esperto di protezione dei dati intesa come protezione del valore di impresa.
Quali sono i rischi che un’azienda corre quando apre, da zero, allo smart working?
Quando un’azienda decide di iniziare a utilizzare lo smart working, ci sono alcune cose da considerare. Naturalmente tale decisione influisce su molteplici aspetti del lavoro: orari, revisione delle prestazioni, fattori psicologici, dovendosi assicurare, per esempio, che il dipendente non perda contatti sociali con i colleghi, fornitura delle attrezzature aziendali come laptop o webcam. Inoltre, vi è anche un aumento del rischio di attacchi informatici.
Quando si lavora da remoto, laptop e smartphone sono spesso esposti direttamente a Internet o a reti non sicure. Ciò significa che i dispositivi devono disporre di soluzioni di protezione degli endpoint per proteggere i servizi locali dagli attacchi esterni. Se nel segno della politica del BYOD (Bring your own device) le società consentono l’utilizzo di apparecchiature private, il dipartimento IT deve seguire e applicare politiche di sicurezza basilari, come gli aggiornamenti di sistema frequenti, la protezione da malware e l’abilitazione di password. Tale controllo di conformità può essere eseguito prima di qualsiasi connessione VPN o su base regolare attraverso il cloud.
Avere un carico di lavoro compromesso a causa di componenti software mancanti, configurazione non sicura o semplicemente tramite e-mail o siti Web infetti accade più spesso di quanto si pensi. Una volta che un account è compromesso, gli aggressori possono cercare qualsiasi cosa che sia di interesse. Potrebbero utilizzare le credenziali rubate per accedere ad altri servizi. Se questi servizi sono nel cloud e non è abilitato alcun monitoraggio speciale, è probabile che la società non noti gli accessi dannosi fino a quando non è troppo tardi. L’autenticazione a più fattori può aiutare a limitare questo rischio. Inoltre, un carico di lavoro compromesso può essere utilizzato come trampolino di lancio per attaccare la rete aziendale nel momento in cui viene stabilita una nuova connessione VPN.
Le imprese devono assicurarsi che i propri dipendenti dispongano di strumenti di collaborazione approvati che consentano loro di lavorare in modo efficiente. Se non vengono forniti gli strumenti, i dipendenti utilizzeranno le proprie soluzioni che potrebbero comportare violazioni dei dati. Ad esempio, se non è implementato alcun servizio di condivisione sicura dei file, il dipendente potrebbe caricare dati sensibili non crittografati e non protetti su server cloud di propria scelta, esponendo i dati agli aggressori. Lo stesso vale per i file di backup non crittografati che potrebbero essere memorizzati su unità esterne.
Esiste anche un aspetto normativo, ad esempio per i dati rilevanti sulla privacy ai sensi del GDPR, che richiede di garantire che i dati siano sempre sicuri. Fino al processo di eliminazione dei dati di un carico di lavoro dei dipendenti se questi un giorno dovessero lasciare l’azienda. Inoltre, tutti i dispositivi dovrebbero utilizzare la crittografia del disco, per garantire che nessuno possa accedere ai dati in caso di smarrimento o furto di un dispositivo.
Come si può vedere, i rischi sono a vari livelli. È fondamentale assicurarsi che i propri dati siano sempre disponibili e accessibili ovunque uno si trovi. È importante controllare chi ha accesso ai dati, verificarne l’autenticità e proteggerlo da malware e hacker. Questo è esattamente ciò che Acronis offre con il suo approccio SAPAS che incorpora i cinque pilastri del tema: Salvaguardia, Accessibilità, Privacy, Autenticità e Sicurezza.
Il cloud è la piattaforma deputata ad assorbire tutto quanto si fa in smart working o c’è una soluzione ibrida?
Il cloud con le sue numerose offerte SaaS è l’ambito ideale per lo smart working e per i dipendenti che desiderano poter accedere ai propri dati ovunque si trovino. Per alcune applicazioni come quelle per ufficio, un approccio ibrido ha senso, in modo che il dipendente possa lavorare offline, se necessario.
Avere un solido processo di autenticazione è la chiave per ciò che concerne i servizi cloud. Questo include password univoche complesse, nonché autenticazione a più fattori o persino token hardware. A seconda del tipo di attività e del numero di servizi cloud utilizzati, potrebbe avere senso disporre di una soluzione SSO (Single Sign On) per centralizzare tutte le richieste di accesso. Ciò semplifica il processo di autenticazione e quello di uscita quando un dipendente lascia l’azienda e tutti i token di accesso concessi devono essere revocati dall’amministratore.
In un vero ambiente di smart working spesso non è necessaria una rete tradizionale per ufficio e tutto è connesso attraverso il cloud. Ciò significa che i dati devono essere protetti sia mentre sono in transito sia quando sono inattivi nel cloud.
Come deve essere gestito il backup, la persistenza dei dati, in uno scenario di smart working?
I dati sono il bene più importante nell’odierno mondo connesso e devono essere spesso sottoposti a backup. Un recente sondaggio globale di Acronis ha mostrato che quest’anno il 43% delle imprese ha avuto periodi di inattività a seguito della perdita di dati. Un altro 41% ha dichiarato di aver perso entrate e produttività a causa dell’inaccessibilità dei dati. È pertanto fondamentale disporre di un piano di backup e ripristino. A causa della natura dinamica dello smart working, potrebbe non essere sempre disponibile una larghezza di banda sufficiente per creare un backup completo nel cloud. Si consiglia pertanto di creare backup in due diverse soluzioni, ad esempio in un disco rigido locale e nel cloud. Lavorare con backup incrementali e ritardare il caricamento fino a quando non è disponibile un segnale WiFi forte può aiutare a migliorare le prestazioni. Quando si archiviano i backup fuori sede, si consiglia di crittografarli.
Come si deve coordinare la sicurezza delle comunicazioni aziendali, con quali strumenti e procedure?
È consigliabile disporre di un ambiente informativo centrale con alcuni documenti e linee guida che i dipendenti possono seguire in caso di dubbi specifici. Questo include la descrizione degli strumenti di collaborazione consentiti come i software di videoconferenza, telefoni VOIP e piattaforme di condivisione file, e un processo per richiedere la valutazione e l’accettazione di nuovi servizi. Le politiche di sicurezza dovrebbero essere applicate su tutti i carichi di lavoro che accedono ai dati dell’azienda. A seconda dell’installazione, ciò può essere fatto tramite criteri di gruppo in ambienti Windows AD o tramite agenti aggiuntivi. Tale controllo di conformità può garantire che i criteri vengano applicati. Il sistema viene frequentemente aggiornato e di conseguenza creati i backup. Inoltre, è utile tenere sessioni di sensibilizzazione per avvisare i dipendenti dei diversi rischi e informarli su come essi devono segnalare attività sospette o altre problematiche relative ai dati. È fondamentale disporre di un piano di comunicazione mirato e breve. Soprattutto durante questi periodi di crisi, in cui le persone tendono a essere molto stressate e poco propense a recepire troppe indicazioni. Pertanto, assillare i dipendenti con proposte di attività non coordinate sarebbe controproducente. Tutto ciò sottolinea inoltre l’importanza di garantire la salute mentale e le motivazioni dei dipendenti, altrimenti aumenterà il rischio di errori accidentali come fare clic su allegati di e-mail sospette, o quello dei furti di dati da parte di lavoratori scontenti.
In sintesi quali sono le soluzioni e le competenze IT che non devono assolutamente mancare perchè un’azienda in smart working possa avere continuità di business?
Per supportare lo smart working le procedure dovrebbero essere efficienti e automatizzate ove possibile. Per consentire ai dipendenti di essere produttivi quando e dove ne hanno bisogno. Ciò richiede indicazioni rapide per la risoluzione dei problemi se alcuni servizi non sono disponibili. Poiché la maggior parte dei servizi è passata al cloud, e oggi è possibile accedervi da qualsiasi browser Web, tutto ciò che serve ai dipendenti è una connessione Internet veloce e affidabile. Un elemento cruciale per mantenere sicura questa configurazione è un’autenticazione a più fattori efficace e sicura. Poiché la disponibilità dei dati è essenziale, i carichi di lavoro e i servizi devono essere completamente protetti, indipendentemente da dove si trovino. Questo va oltre i backup isolati o le soluzioni antivirus, ma incorpora piuttosto una strategia di protezione completa.
