La pandemia ha imposto il lavoro da remoto come strumento principale di interazione tra i dipendenti. Si è trattato di una situazione “tampone” che molte aziende hanno stabilito in brevissimo tempo per dover fronteggiare al meglio lockdown e restrizioni. Spesso, le soluzioni trovate non soddisfacevano i requisiti di sicurezza informatica minimi necessari per proteggere i dati di aziende e clienti. Con la piena acquisizione dello smart working tra gli strumenti aziendali utilizzati, si comprende la necessità di rendere “impermeabile” questo sistema, soprattutto alla luce del fatto che potrebbe diventare uno standard lavorativo acquisito.

Connessioni non sicure e dispositivi personali mal gestiti mettono a rischio la sicurezza delle aziende

Come ormai evidente, la pandemia ha dato una spinta a diversi fenomeni e processi che già da alcuni anni si stavano affacciando sul panorama mondiale. Uno su tutti, lo smart working: in Italia, prima del Covid-19, i lavoratori da remoto erano poco più di 500mila, mentre nel corso del 2020 sono decuplicati, diventando oltre 5 milioni. Il fenomeno ha interessato trasversalmente il 97% delle grandi aziende, il 94% delle pubbliche amministrazioni e il 58% delle piccole e medie imprese. Seppure impressionanti, i numeri da soli non sono in grado di esplicitare la portata di un fenomeno epocale, che ha rivoluzionato il modo tradizionale di intendere il lavoro.

Molte aziende e organizzazioni, però, non erano del tutto pronte ad accogliere il lavoro da remoto e, nella fretta di mantenere l’operatività, si sono esposte a una serie di rischi molto seri. Fra questi, il più significativo di tutti riguarda la cyber-security, intesa come protezione dei dati ma anche come sicurezza informatica in senso lato.

Al di fuori delle protettive e rassicuranti mura aziendali

Lavorare da remoto implica ovviamente di svolgere una serie di attività al di fuori dell’ambiente lavorativo protetto delle mura aziendali. Rispondere alle email, partecipare alle videochiamate e telefonare ai colleghi sono solo alcuni esempi, a cui si aggiunge l’accesso a dati riservati e la condivisione di materiale sensibile tra differenti dispositivi. In questo modo il perimetro aziendale si allarga, aumentando esponenzialmente la superficie d’attacco disponibile per i cosiddetti pirati informatici.

Tra i problemi principali evidenziati dagli esperti di sicurezza digitale c’è il collegarsi – da parte dei dipendenti – a network aziendali attraverso reti non protette e non abbastanza sicure, con tutti i rischi che ne derivano. Inoltre, può capitare di lavorare con dispositivi strettamente personali in ambienti non convenzionali, spaziando dal salotto di casa a uno spazio di coworking, fino potenzialmente a un bar o un parco pubblico: tutto questo implica in molti casi una maggiore disattenzione e, di conseguenza, la possibilità di incappare in errori anche banali. Può capitare per esempio di utilizzare applicazioni non ufficiali o di navigare sul web per finalità private, utilizzando il pc aziendale, spesso violando le policy interne di sicurezza e, in ogni caso, esponendo il database a rischi d’infiltrazione non necessari.

La cyber-security all’epoca dello smart working

All’inizio dell’emergenza sanitaria, quando la priorità assoluta era continuare a lavorare e salvare il core business nonostante l’impossibilità di recarsi in ufficio, da parte di molte aziende sono stati commesse tutta una serie di leggerezze, imputabili in larga parte all’impreparazione generale di fronte a un cambiamento così repentino. Oggi, a oltre un anno e mezzo da quel momento, molte di queste organizzazioni si sono adattate implementando sistemi di cyber-security, ma la strada da fare è ancora parecchio lunga.

Anzitutto, è urgente la presa di coscienza che i sistemi di sicurezza tradizionali non possono risolvere i problemi relativi allo smart working, perché quest’ultimo implica maggiore fluidità e dinamicità dell’atto lavorativo. Tra gli elementi su cui è fondamentale agire – ricordano gli esperti – ci sono la protezione delle reti e la gestione delle identità, sia per la condivisione delle informazioni sia per la protezione degli accessi. Una soluzione spesso utilizzata dalle aziende è l’attivazione di linee VPN, reti private che garantiscono la sicurezza dei dati e dei canali di comunicazione tra dispositivi, anche quando questi sono collegati attraverso punti d’accesso diversi.

L’altro aspetto rilevante riguarda i dispositivi a uso personale: affinché i sistemi di cyber-security siano efficaci, è indispensabile non solo che non siano utilizzati i dispositivi lavorativi per scopi personali, ma pure i dispositivi personali per scopi lavorati. I device personali sono infatti difficili da gestire e da monitorare e, soprattutto, non permettono di stabilire con certezza se rispettino o meno le caratteristiche previste dalla policy aziendale.

Lo smart working as a service

Un’opzione che sempre più imprese stanno prendendo in considerazione riguarda l’utilizzo di servizi che tutelino la cyber-security attraverso l’affidamento della gestione a un provider. In questo caso viene messa a disposizione dell’azienda una smart working platform, con tutti gli strumenti per abilitare uno spazio di lavoro digitale che sia sicuro e protetto dagli attacchi esterni. Viene garantita una comunicazione unificata, oltre a sistemi di condivisione dei documenti certificati e funzionali: una soluzione apparentemente molto apprezzata dalle imprese, proprio perché delega al provider l’intera gestione e la relativa responsabilità, e di solito garantisce un aggiornamento costante dei sistemi di cyber-security.

Una cultura della cyber security per prevenire gli attacchi informatici

Gli strumenti per la tutela della sicurezza sono essenziali per rendere il lavoro da remoto efficace e protetto, come quello in ambiente di lavoro, ma non sono sufficienti. La cyber-sicurezza passa infatti anche attraverso la formazione dei lavoratori e la conoscenza dei pericoli che si corrono ogni volta che si accede a un portale aziendale o a un sistema in cloud. D’altra parte, lo confermano i dati: la lontananza dall’ufficio e lo svolgimento di pratiche lavorative mentre si è impegnati in altre attività, o si è in un contesto non professionale, o si incrementano le possibilità di commettere errori. Da diversi studi è emerso che in pochi hanno la piena consapevolezza dei rischi che derivano da comportamenti non virtuosi, quando si maneggiano informazioni riservate. Tra le cause dei data breach, al primo posto c’è l’invio di materiale sensibile a persone sbagliate, ma anche la condivisione di dati privati con modalità non appropriate.

In sintesi, per perseguire con successo il processo di trasformazione digitale è essenziale che siano predisposti percorsi di apprendimento sulla cultura della sicurezza. Una soluzione valida potrebbe essere la realizzazione di percorsi individuali personalizzati con contenuti on demand, verifiche e simulazioni per assicurarsi il corretto apprendimento delle informazioni basilari. Inoltre, esistono piattaforme di security awareness in grado di simulare attacchi hacker verso le email o i dispositivi dei dipendenti: in questo modo, prima viene valutata la capacità di ciascuno nel gestire la situazione, poi viene fatta formazione sui comportamenti più sicuri da attuare. Attraverso la ripetizione di questi attacchi simulati è possibile verificare il livello di apprendimento, ma soprattutto prevenire (o limitare) i danni nel caso di un hackeraggio vero e proprio.