Il telelavoro è improvvisamente diventato una necessità e molte aziende hanno provveduto a organizzarsi per far lavorare i propri dipendenti da casa. Nella gran maggioranza dei casi bastano un computer portatile e una connessione internet per essere operativi, ma non dobbiamo dimenticare che si maneggiano a distanza dati sensibili, proprietà intellettuali, documenti riservati.
Il problema non è da sottovalutare sia per le grandi aziende sia per quelle medio/piccole. «I tradizionali sistemi di enterprise identity management – fa presente Rich Turner, Emea Vp di CyberArk – e le soluzioni di controllo degli accessi sono progettati per autenticare i dipendenti e i dispositivi di proprietà dell’azienda e non sono adatti a garantire la sicurezza del personale di terze parti e dei dispositivi esterni».
Questo significa che una cosa è fare telelavoro se la dotazione informatica viene fornita e magari anche gestita dall’azienda, un’altra è se si è costretti a usare macchine proprie che non sono state preparate per questo compito.
Utilizzo di dispositivi personali per scopi aziendali
«Il lavoro da casa – dice Gastone Nencini di Trend Micro – apre delle nuove problematiche non contemplate dal lavoro svolto in ufficio, come ad esempio l’utilizzo di VPN, il controllo della navigazione web, l’utilizzo di pc e device personali per scopi aziendali. Tutto questo, se non protetto in maniera corretta può compromettere la protezione dei dati dell’azienda».
Cosa bisogna fare, allora, per evitare rischi? Innanzitutto, preparare il pc per connessioni sicure e poi usare nella maniera corretta una serie di programmi perché non mancano i criminali che sperano di trarre grande vantaggio da questa situazione.
David Emm, principal security researcher di Kaspersky, infatti dichiara: «Abbiamo rilevato anche diversi casi di criminali informatici che cercano di sfruttare il virus (per i loro scopi). Considerato l’aumento di accessi da remoto da parte dei dipendenti, le aziende dovrebbero prestare molta più attenzione alla sicurezza della propria rete».
Cinque consigli
In concreto questo si può tradurre in cinque macro-azioni da intraprendere:
1. Mettere in sicurezza i computer che si collegheranno alla rete aziendale.
Molti dei computer casalinghi dei dipendenti non hanno una suite di sicurezza informatica e usano la protezione di base di Windows 10 e sicuramente alcuni avranno ancora delle macchine basate su Windows 7. L’azienda deve fornire un prodotto di sicurezza adeguato e assicurarsi che il sistema operativo sia aggiornato. Gli antivirus gratuiti non sono sufficienti per garantire la sicurezza.
2. Mettere in sicurezza i collegamenti tra il computer remoto e l’azienda.
Le aziende devono prevedere un modo sicuro per far accedere i dipendenti dall’esterno. Il minimo da fare è configurare una VPN interna all’azienda in modo che i dati che transitano siano non intercettabili anche se il computer remoto viene usato su reti Wi-Fi poco sicure. Anche il router di casa dovrebbe essere aggiornato, una operazione non alla portata di tutti, ma per la quale le aziende dovrebbero prevedere un supporto tecnico al dipendente.
3. Limitare il numero di persone che può accedere alla rete dall’esterno.
La cosa migliore da fare sarebbe quella di predisporre tutta una serie di accessi dedicati per chi non usa abitualmente la rete da remoto. In questo modo si possono identificare eventuali compromissioni e intrusioni informatiche se si dovessero verificare due accessi contemporanei con le stesse credenziali o se chi accede cambia l’ip di riferimento o la sua posizione geografica o il dispositivo usato.
4. Fare almeno un breve corso ai dipendenti in cui si spiegano le basi della sicurezza nel lavoro da remoto.
Gianluca Varisco, Chief Information Security Officer presso Arduino, ha postato su Internet un appello che rende perfettamente l’idea di quali siano i problemi: «Vi prego – rimuovete ogni tipo di dato sensibile quando condividete screenshot e selfie della vostra attrezzatura per il telelavoro. Finora ho visto schermate di Trello configurate male, senza password e a libero accesso tramite il solo url, ovviamente visibile; post-it con credenziali di accesso e indirizzi di server attaccati allo schermo del portatile o segnati nei widget a schermo; block notes con appunti (a volte dati finanziari, altri chi promuovere o licenziare); conference call con i dettagli per entrare (senza password). Per favore, smettetela».
5. Scegliete con attenzione il software da usare in remoto.
Non affidatevi ad App sconosciute che scaricate al momento per far fronte all’emergenza. Nei mesi passati sono emersi molti casi di software VPN che spiavano gli utilizzatori o di programmi per videoconferenza con scarsa attenzione alla sicurezza. Fate una ricerca attenta prima di scegliere gli strumenti da usare.
