Secondo le più recenti rilevazioni dell’Osservatorio Smart Working del Politecnico di Milano, in Italia dovrebbero esserci al momento più di 5 milioni di smart worker, dieci volte il numero rilevato nel periodo precedente la pandemia. È inoltre opinione diffusa che lo Smart Working, fenomeno che oggi sarebbe meglio definire “remote working”, sarà sempre più pervasivo in futuro a prescindere dagli eventi legati al Covid: le aziende si stanno preparando ad accogliere un modello di lavoro sempre più ibrido e diffuso, svincolato dalla postazione fissa, dall’orario fisso e dal controllo di presenza, ma sempre più focalizzato sull’employee, sugli obiettivi che deve raggiungere e sul suo empowerment, che gli consente di scegliere dove e come vivere l’esperienza lavorativa.
Smart working: attenzione alla sicurezza
Se implementato in modo opportuno, cioè con una giusta miscela di cultura, organizzazione, leadership e strumenti connessi, lo Smart Working non è (solo) un’assicurazione di continuità del business, ma una forte spinta verso produttività ed efficienza. Una cosa che le aziende, e in particolare l’IT, non devono dimenticare sono però le conseguenze, cioè i riflessi del paradigma smart rispetto al tema della sicurezza informatica e della protezione del dato, fattori che – com’è noto – vanno gestiti con priorità per non incorrere in breach costosissimi sia a livello di danno economico, sia di conformità normativa (GDPR in primis) e brand reputation. Non bisogna dimenticare, infatti, che l’essenza stessa dello Smart Working, con il suo supporto multi-device nativo e il disaccoppiamento dell’attività lavorativa dal perimetro tradizionale dell’azienda, apre numerose nuove sfide a livello di security.
Per comprendere il fenomeno nel migliore dei modi, si consideri che lo Smart Working non si esaurisce nell’accesso all’e-mail aziendale da casa, al proprio desktop da remoto o alle video-call di Microsoft Teams. Si tratta infatti di abilitare un workplace digitale integrato e sicuro che permetta ai dipendenti di replicare da remoto, e quindi senza vincoli di spazio e tempo, la stessa attività svolta in ufficio: vi rientrano tutti i flussi e i canali di comunicazione, che vengono concentrati e resi sinergici dalle soluzioni di Unified Communications; la gestione documentale, che deve diventare sempre più collaborativa; i processi e workflow aziendali a 360 gradi, per i quali la necessaria digitalizzazione deve fare un passo avanti e diventare – laddove possibile – automazione.
Ciò premesso, è ora più semplice comprendere le implicazioni in termini di sicurezza e compliance: in remote working, i dipendenti si collegano ai sistemi aziendali da reti non sicure (da cui la necessità di VPN), possono erroneamente condividere dati e documenti con soggetti non autorizzati e talvolta adottano strumenti consumer (il tradizionale gruppo WhatsApp) per sopperire all’assenza di applicativi aziendali (sicuri) dall’analoga user experience, alimentando lo Shadow IT. Inoltre, per lavorare da remoto si usano anche i dispositivi personali, che non necessariamente sono aggiornati e privi di codice malevolo, oltre a poter essere smarriti o rubati. Nella prima fase della pandemia, molte aziende hanno infatti “improvvisato” un modello BYOD (Bring Your Own Device) che le ha sottoposte a una vera e propria escalation di rischi. In poche parole, la superficie d’attacco cresce esponenzialmente e bisogna farsi trovare pronti.
Un nuovo paradigma per la sicurezza dello Smart Working
Abilitare il paradigma del lavoro agile e sicuro richiede una miscela di fattori: innanzitutto, bisogna prendere atto che i modelli di sicurezza tradizionali, fortemente incentrati sulla protezione perimetrale, vanno aggiornati in funzione di un modello lavorativo estremamente fluido e dinamico, che prevede device diversi e sconosciuti ai modelli di lavoro tradizionali e in cui le risorse aziendali, dati e applicazioni, rientrano in una sinergia di ambienti on-premise, cloud privati e pubblici di diversi provider. È palese il fatto che il concetto stesso di sicurezza vada rivisto in termini olistici, cioè di protezione degli accessi, di gestione puntuale delle identità e di protezione delle reti, delle applicazioni e dei device stessi, così da permettere a ognuno di lavorare dove vuole, quando vuole e nel rispetto delle policy aziendali. Non è un caso che la pandemia abbia determinato un’impennata di popolarità delle infrastrutture desktop virtuali (VDI): esse miscelano, infatti, i benefici della gestione centralizzata degli ambienti desktop con la garanzia dell’aggiornamento costante e la sicurezza che deriva dall’assenza di dati e applicazioni all’interno dei device fisici.
WIIT e lo Smart Working as-a-service
A livello pratico, un’opzione interessante per tutte quelle aziende che intendono implementare uno Smart Working sicuro e produttivo è lo Smart Working as-a-service, cioè l’abilitazione del paradigma agile sotto forma di servizio gestito da un provider.
Lo Smart Working as-a-service è uno dei pilastri con cui WIIT, azienda italiana leader nell’erogazione di servizi di Hosted Private e Hybrid Cloud per applicazioni critiche e business continuity, accompagna i suoi clienti verso il paradigma di lavoro smart. L’efficacia e la solidità della soluzione derivano da una giusta miscela di organizzazione, competenze, esperienza, processi e asset, tra i quali trova spazio il data center proprietario certificato Tier IV da Uptime Institute. WIIT mette a disposizione dei suoi clienti una Smart Working platform comprensiva di tutte le soluzioni che abilitano un digital workplace sicuro e produttivo: la virtualizzazione, tra cui gli ambienti VDI; la comunicazione unificata, comprensiva di strumenti moderni come le video-call e di migrazione verso centralini telefonici (PBX) virtuali e tecnologie VoIP; strumenti di collaboration integrati nella piattaforma UCC e tool di condivisione documentale; servizi di accesso alle applicazioni aziendali critiche e dipartimentali; security avanzata che va dalle soluzioni di protezione degli endpoint e dei dati alla sicurezza proattiva gestita tramite SOC. La sicurezza integrata nel modello di servizio è quindi uno degli elementi che rendono la soluzione as-a-service particolarmente attraente agli occhi delle imprese, le cui responsabilità si limitano (a livello di asset) ai device e alla connettività: tutto il resto viene gestito dal provider.
La formazione e la cultura della sicurezza
La sicurezza dello Smart Working è il combinato disposto di strumenti, processi e buone pratiche. Ormai, è risaputo che l’anello debole della catena della sicurezza sia quello umano e che allontanarsi dal perimetro aziendale possa favorire errori e leggerezze che possono avere ripercussioni sulla protezione dei dati. A titolo d’esempio, il più recente Rapporto Clusit (2020) segnala un’impennata di attacchi di phishing e social engineering (+26,1%) nel primo semestre 2020, fattore su cui pesano sia il remote working sia la pandemia: molte campagne di phishing hanno, infatti, insistito sul senso di incertezza e inquietudine generato dalla pandemia per acquisire credenziali e informazioni riservate.
Tutto questo per dire che uno Smart Working efficace e di successo non si esaurisce nella disponibilità di strumenti dedicati, ma deve proseguire con un percorso di trasformazione digitale che includa processi di adozione e change management rivolti non soltanto alla produttività e all’efficienza, ma anche a sviluppare e tener viva la cultura della sicurezza. La security awareness, altro pilastro dei servizi che WIIT mette a disposizione delle imprese, è un elemento cardine dello Smart Working, poiché è il primo filtro di sicurezza nei confronti dell’esterno e di minacce con le quali tutti vengono inevitabilmente in contatto.
Il percorso di awareness può essere gestito internamente o demandato a partner competenti, che mettono a disposizione dei clienti non solo la loro esperienza e l’aggiornamento costante sul tema, ma anche strumenti finalizzati a rendere la formazione efficace e migliore la ‘security posture’ aziendale. Il concetto stesso di “formazione” ha assunto negli ultimi anni una connotazione nuova, poiché la lezione in aula non ha la stessa efficacia di un percorso personalizzato, basato su assessment individuali e percorsi ad hoc comprensivi di contenuti on-demand, verifiche e anche simulazioni, utili per verificare il livello di apprendimento. Molte piattaforme di security awareness simulano attacchi di phishing verso le e-mail dei dipendenti e valutano la distanza tra la reazione iniziale e quella successiva al training, nella speranza di registrare un progresso. Inoltre, non vanno sottovalutati gli effetti della gamification sull’efficacia della formazione: le dinamiche dei giochi, il progresso e la sfida, uniti a un tema tanto critico quanto affascinante come la sicurezza informatica, garantiscono engagement, pratica costante e un vero sviluppo di consapevolezza, da cui scaturiscono pratiche corrette a tutela del patrimonio informativo aziendale.
