L’evoluzione del lavoro verso la modalità “agile” ci obbliga a interessarci del connesso problema della sua sicurezza: come introdurre lo smart working in modo sicuro in un’azienda?
Perché adottare lo smart working
La proroga al 30 giugno 2022 della possibilità di adottare lo smart working senza accordi individuali per il settore privato, conferma ciò che già era stato anticipato dai dati degli anni passati: lo smart working (anche detto lavoro agile o lavoro da remoto) è destinato a rimanere; non solo, diventerà parte della “nuova normalità”.
In particolare nell’ultimo periodo, a seguito degli aumenti sui costi di luce e gas, lavorare da remoto è diventata una realtà sempre più invitante: sia per i datori di lavoro, che possono risparmiare sulla luce degli uffici, sia per il lavoratore, che può risparmiare sul carburante (e allo stesso tempo, aiutare l’ambiente).
A ciò si sommano tutti i benefici già approfonditi in precedenza riguardo alla work-life balance: numerosi studi condotti negli ultimi anni hanno dimostrato la positività degli effetti sulla gestione della vita privata e, in relazione al lavoro, sulla produttività.
No allo smart working “improvvisato”
Tuttavia, per quanto sia allettante l’idea dello smart working, è indispensabile non cadere nell’errore di introdurlo in modo frettoloso e senza una corretta analisi e pianificazione; in particolare per quanto riguarda l’aspetto della sicurezza.
Non smetteremo mai di ripetere che smart working non significa comunicare ai dipendenti che “da domani e per 3 giorni alla settimana si lavorerà da casa”.
Durante la pandemia, siamo stati costretti in poco tempo a lavorare da casa, senza nessuna precedente programmazione. Uno smart working d’emergenza è diventato così uno smart working improvvisato. Da questa situazione è derivata una diffusa disattenzione nei confronti del problema della sicurezza informatica.
Il problema principale è che spesso questo smart working mal pianificato è rimasto tale anche dopo 2 anni trascorsi a correggere il tiro: così il tasto dolente è restato sempre quello della sicurezza informatica. Nonostante la lunga formazione, la prospettiva di uno smart working veramente sicuro è ancora lontana.
Le 5 buone pratiche da adottare
Il numero dei tentativi di violazione e le ondate di minacce informatiche, che colpiscono chi lavora a distanza, è in costante aumento. In un panorama come questo, le aziende devono valutare attentamente le tecnologie e gli approcci necessari per garantire ai propri dipendenti la possibilità di lavorare da remoto in modo sicuro.
Con pochi ma fondamentali accorgimenti, sarà possibile proporre ai propri collaboratori uno smart working responsabile, ma soprattutto capace di far lavorare senza ostacoli o interruzioni nel lungo termine.
- Investire in un firewall ad alte prestazioni con licenze UTM.
L’adozione di un firewall come prima difesa del perimetro aziendale è ormai considerata la condizione minima necessaria per poter garantire la sicurezza delle reti informatiche. Investire, perciò, in un buon dispositivo (quindi parliamo di firewall hardware, non software), in grado di filtrare i dati scambiati dalle connessioni in ingresso e in uscita, può senza dubbio contribuire a proteggere la rete. Al firewall, però, andrebbe sempre abbinato il servizio di UTM (Unified Threat Management – gestione unificata delle minacce): solo in questo modo si avrà una protezione totale. Un servizio UTM non fa altro che aggiungere alle caratteristiche del firewall:- Protezione dei dispositivi tramite endpoint
- Sicurezza della rete Wi-Fi
- Una protezione dalle minacce (Intrusion Prevention System)
- Protezione e filtraggio della navigazione web
- Protezione del servizio di posta elettronica (email protection)
- Gestione e configurazione delle VPN
- Configurare una VPN.
La configurazione di una VPN è forse il passaggio più importante, se si vuole affrontare lo smart working in totale sicurezza. Abbiamo visto come avere un firewall con licenze UTM permetta di gestire e configurare le VPN. Ma che cosa sono e a che cosa servono? Le VPN sono reti private virtuali che garantiscono privacy, anonimato e sicurezza dei dati, attraverso un canale di comunicazione riservato (tunnel VPN). Il termine virtuale significa che tutti i dispositivi appartenenti alla rete non devono essere collegati ad una stessa rete locale, ma possono essere dislocati in qualsiasi punto del mondo. Le VPN utilizzano come strumento di protezione dati la crittografia, ed è proprio questa caratteristica a renderle così tanto adatte alle connessioni da remoto. Grazie a una rete virtuale dedicata, l’azienda può aprire un canale di comunicazione sicuro tra il dispositivo dell’utente, che si trova a casa, e le risorse dell’azienda. Così facendo, il dipendente è libero di continuare a lavorare senza interruzioni.
- Mantenere aggiornati i sistemi operativi e tutti i software.
Si tratta della pratica più semplice da applicare ma che spesso passa in secondo piano. Non è solo il sistema operativo del PC (o del server) che va aggiornato, ma anche tutti i software presenti in azienda. Un software vecchio è molto più esposto alle vulnerabilità di uno aggiornato all’ultima versione disponibile.
- Adottare un approccio zero trust
Ricorrere a un approccio zero trust (letteralmente “zero fiducia”) significa adottare un modello in cui la fiducia non viene mai concessa implicitamente. Non si tratta di sfiducia personale, ma della necessità di ridurre al massimo il fronte di esposizione dell’azienda, al fine di ottenere l’aumento del livello di sicurezza. Lo zero trust si realizza intervenendo sulle risorse aziendali e sulla sicurezza dei dati, mediante controlli sulle identità, sulle credenziali, sulla gestione degli accessi e sulle operazioni. Alcuni dei suoi obiettivi principali riguardano: la limitazione delle risorse a coloro che hanno la necessità di accedere concedendo solo privilegi minimi; l’abilitazione dell’autenticazione a doppio fattore per prevenire il furto di credenziali; la tenuta sotto controllo di tutti gli asset e delle policy di sicurezza; il controllo di tutti gli accessi, dagli endpoint alle applicazioni aziendali.
- Aumentare la consapevolezza in materia di sicurezza informatica
L’elemento critico della catena resta comunque il fattore umano. Non per cattiveria, ma per la natura stessa dell’essere umano: non siamo macchine e non possiamo essere programmati. Perciò, ecco che una password troppo semplice, un click di troppo su un link, che solo in apparenza sembra affidabile, o un collegamento da remoto fatto con troppa leggerezza, si trasformano in rischi per i dati aziendali. Le prime linee di difesa, quindi, sono la consapevolezza del rischio e la corretta formazione. Non è sufficiente, infatti, imporre soluzioni di sicurezza informatica se ad esse non accompagniamo un diverso approccio da parte di tutti: è importante formare, informare e permettere all’intera azienda di comprendere quanto sia essenziale la sicurezza informatica. Non vi è protezione senza cultura di sicurezza informatica.
Conclusioni
Lavorare da remoto è una grande opportunità, che può aiutarci ad affrontare le sfide del presente. Come per qualsiasi altra cosa, però, esiste un’altra faccia della medaglia: nel caso dello smart working, sono i rischi che si corrono quando questo viene introdotto in modo frettoloso e mal pianificato. Non esitate a mettere in sicurezza la vostra rete aziendale, per poter proporre ai vostri collaboratori uno smart working sicuro e privo di preoccupazioni.
Scopri di più con l’infografica informativa
[button link=”https://mailchi.mp/222d138e50a2/aeg-scarica-contenuto”]Scarica infografica[/button]