La diffusione del cosiddetto Coronavirus, tra psicosi e provvedimenti delle autorità, ha portato alla ribalta lo smart working, ossia il lavoro fatto da casa (o, più propriamente, dal di fuori delle strutture aziendali). Ribalta, in realtà, dovuta al fatto che finora in Italia il suo utilizzo è stato piuttosto limitato, non certo per questioni tecnologiche, ma piuttosto per questioni riguardanti la gestione del personale: congenita sfiducia nei propri dipendenti unita ad una atavica resistenza ai cambiamenti, soprattutto se tecnologici. Ora le priorità cambiano, lo smart working (ove applicabile, ovviamente) diventa indispensabile, ma inevitabilmente le aziende che non l’hanno mai adottato si trovano totalmente impreparate, ed in questo caso l’emergenza è pessima consigliera: con le cose fatte di fretta, i rischi per la sicurezza aumentano esponenzialmente.

I dispositivi: personali o aziendali

Perché un dispositivo (computer, forse smartphone, difficilmente tablet) possa essere utilizzato per lo smart working, deve essere adeguato, secondo certi criteri, come:

  • Sistema operativo ed applicativi necessari correttamente aggiornati (sia a livello di release che di patch);
  • Antivirus/antimalware attivi ed aggiornati;
  • Impostazioni di sicurezza e privacy sufficientemente restrittive;
  • Risorse hardware sufficienti
  • Utilizzo da parte del minor numero possibile di persone (idealmente, una), ben identificate.

Il motivo è semplice: un livello di sicurezza insufficiente anche di un solo dispositivo è in grado di compromettere tutti gli altri. È ovvio che è molto più facile che i criteri siano rispettati da un dispositivo aziendale (di proprietà, e quindi anche gestito dall’IT, aziendale) che non da un dispositivo personale, magari non più nuovo ed utilizzato da tutta la famiglia.

Per i dispositivi personali, la soluzione sta nell’individuare una serie di requisiti minimi che devono essere rispettati per permettere il collegamento ai sistemi aziendali. Qualora essi comprendano applicativi o sistemi di sicurezza specifici (per esempio, un particolare antivirus), l’azienda dovrebbe farsi carico di fornire le licenze necessarie, nonché tutto il supporto tecnico per la loro corretta installazione e configurazione.

Il collegamento internet

Il dispositivo, sia esso aziendale o personale, deve essere necessariamente connesso ad internet: la rete di accesso, nel caso sia quella di casa, sarà quella di un normale router. Tutti i router moderni sono dotati di un firewall, che deve essere assolutamente attivo. Ma il problema è che se anche il dispositivo per lo smart working usato è correttamente configurato, esso facilmente conviverà sulla stessa rete con altri dispositivi (smatphone come minimo) che potenzialmente possono fare “da ponte” per gli attacchi esterni (questo perché normalmente i dispositivi sulla stessa rete sono considerati affidabili e le limitazioni per essi sono meno restrittive).

Due sono le possibili soluzioni: adottare una VPN (vedi sotto), che escluda tutte le altre le connessioni, oppure abilitare (ormai è molto diffusa nei router) la rete per gli ospiti, per isolare il dispositivo in questione rispetto agli altri.

L’accesso ai sistemi aziendali

L’accesso sicuro ai sistemi aziendali dall’esterno è la parte sicuramente più critica relativamente allo smart working, ed anche la più difficile da affrontare per la variabilità delle modalità di implementazione dei servizi aziendali e quindi di come permettere l’accesso.

Per sistemi completamente interni ad una rete aziendale, è impensabile “aprire” il firewall per permettere l’accesso diretto; piuttosto è necessario disporre di una VPN privata aziendale (non si tratta di quelle commerciali, utili per altri scopi) che “termini” sul firewall e che di fatto rende il dispositivo remoto come fosse parte della rete interna, meglio se isolandolo da tutto il resto. Un ulteriore livello di sicurezza è quello di abilitare sulla VPN il solo servizio di dekstop remoto verso computer interni (per esempio quello rimasto sulla scrivania in azienda, ma anche computer dedicati allo scopo) da cui poi è possibile accedere ai servizi. L’autenticazione per l’instaurazione della VPN dovrebbe essere multifattore (quindi comprendere username, password, ed uno tra certificati digitali, token fisici, one time password, etc). La sicurezza della VPN deve essere assoluta, poiché tramite essa si concede l’accesso ad una rete che deve rimanere protetta da intrusioni di estranei.

La situazione è più semplice se i servizi sono in cloud o già accessibili dall’esterno dell’azienda per altri motivi; tuttavia, è possibile (se non auspicabile) che l’accesso da reti o dispositivi che non siano quelli aziendali richiedano misure di sicurezza ulteriori (per esempio, l’autenticazione a 2 fattori). Altrimenti, se già si utilizza la VPN, basta permettere l’accesso solo attraverso la rete interna, come se si trattasse di servizi on premise.

Le politiche aziendali

Oltre al fattore tecnologico, è importantissimo anche quello organizzativo: politiche già adeguate alle situazioni di emergenza sono sempre una best practice, indipendentemente che siano previste o meno dalla conformità a normative (es. GDPR, NIS) oppure a certificazioni (es. ISO9001, 27001).

Le politiche rigardanti lo smart working dovrebbero quindi trattare i seguenti aspetti:

  • Elenco dei lavoratori che possano svolgere la propria mansione da fuori l’azienda, ed in quali circostanze (se non c’è l’epidemia, aggiungerla…);
  • Procedura di abilitazione allo smart working (che includa le autorizzazioni necessarie, incluso il caso che esse possano essere concesse da manager e amministratori di sistema in smart working);
  • Regole di lavoro in smart working (non solo gli orari e la retribuzione delle ore lavorate; invece: operazioni permesse e vietate, modalità di comunicazione con colleghi ed esterni, servizi e modalità di utilizzo corretti, identificazione e gestione degli incidenti di sicurezza, cosa fare in caso di problemi, eventuali backup manuali, etc.);
  • Organizzazione dei servizi e dei dati in modo da facilitare l’accesso condiviso ma protetto (allo scopo, tra gli altri, di fare in modo di minimizzare la necessità di scaricare file sui dispositivi non aziendali).

Alcuni suggerimenti

Gli antivirus gratuiti spesso non sono sufficientemente sicuri: una licenza aziendale per un sistema completo ed affidabile è più che opportuna (oltretutto il suo stato può anche essere controllato direttamente dall’azienda, che può intervenire in caso di problemi seri).

Abilitare la crittografia per le aree del dispositivo che, anche solo temporaneamente, memorizzano i file aziendali (si può citare l’ottimo VeraCrypt, affidabile e sufficientemente semplice).

Strumenti di lavoro collaborativo (telefoni VoIP, chat, videoconferenza, aree di memorizzazione condivisa, sistema documentale, web applications), che possono sembrare inutili e dispendiose in condizioni normali, si rivelano invece utilissimi in caso di lavoro da remoto.

Formare il personale allo smart working, anche attraverso simulazioni.

Conclusioni

Appare evidente che molte delle soluzioni o dei suggerimenti presentati devono essere già implementati e testati nel momento in cui se ne ha bisogno, il che implica che siano state pensati con largo anticipo; soluzioni adottate di fretta, anche solo temporaneamente, sicuramente espongono ad attacchi (ricordiamo che moltissimi attacchi sono generalizzati ed automatizzati, quindi avvengono entro pochissimo tempo, certamente molto inferiore al tempo necessario ad alzare adeguatamente i livelli di sicurezza in seguito), che possono avere come conseguenze molto gravi, come il blocco dei sistemi e/o dell’operatività, perdita o furto dei dati, ritardi di esecuzione del lavoro, stress, danni economici e reputazionale, sanzioni, etc.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.