Qualcuno l’ha chiamata “la nuova normalità” nel mondo del lavoro. La formula della prestazione di attività in modalità flessibile, in cui si alterna la presenza nella sede aziendale al remote working, è ormai destinata a diventare un sistema diffuso che consente a imprese e lavoratori di godere di tutti i vantaggi dello Smart Working. Un percorso che ha subito una brusca accelerazione a causa dell’emergenza pandemica e che, nella transizione verso una sua “normalizzazione”, richiede la predisposizione di strumenti dedicati che garantiscano, in primo luogo, un adeguato livello di sicurezza e protezione delle informazioni. “Nel corso del lockdown, la corsa alla predisposizione di strumenti di remote working ha portato la maggior parte delle aziende ad adottare soluzioni emergenziali, senza pensare alla sicurezza” conferma Luigi Gimmi Brugnano, Mobile & Workspace Solutions Services Director di Project Informatica. “Nell’ottica di una messa a regime del remote working, è necessario superare questa dimensione e implementare una solida piattaforma che abbia la cyber security come priorità”.
Un ambiente vulnerabile
Il primo problema legato allo Smart Working riguarda l’ecosistema informatico in cui si inserisce il lavoratore. Rispetto a un network aziendale, infatti, le reti domestiche hanno un livello decisamente inferiore di protezione ed espongono il dispositivo collegato al rischio di attacchi che normalmente verrebbero bloccati dagli strumenti di protezione dell’azienda. Le insidie sono molte: dalle potenziali vulnerabilità dei dispositivi di rete (come il modem) alla convivenza forzata con altri dispositivi di uso domestico. “La connessione domestica è esattamente il primo punto che è necessario mettere in sicurezza il collegamento” spiega Brugnano. “La declinazione pratica dipende dalle caratteristiche delle risorse aziendali a cui il lavoratore si collega”. Nel caso di servizi e risorse gestite all’interno dell’azienda, il primo strumento necessario è quello di utilizzare una VPN (Virtual Private Network) che consente di proteggere il traffico attraverso algoritmi di crittografia. La messa in sicurezza della semplice connessione, però, non è sufficiente. Sia nel caso citato, sia nell’ipotesi in cui i servizi aziendali siano ospitati su Web, diventa fondamentale implementare un sistema di gestione e verifica dell’identità digitale, attraverso strumenti di autenticazione multi-fattore (come l’uso di One Time Password o token) per impedire la violazione dell’account aziendale.
Tenere sotto controllo i dispositivi nel remote working per garantire la sicurezza
Se nel periodo di emergenza alcune imprese hanno addirittura permesso di utilizzare i dispositivi personali pur di consentire ai lavoratori di accedere al remote working, quando si pensa alla sicurezza, uno dei pilastri della cyber security nel lavoro a distanza è quello di consentire l’accesso a dati e servizi solo attraverso device che abbiano tutte le caratteristiche e le protezioni previste dalle policy aziendali. Tra queste, per esempio, i software di crittazione dei dati, che garantiscono la protezione delle informazioni memorizzate sul dispositivo anche nel caso in cui questo venga compromesso o rubato.
Un ragionamento che, declinato sugli smartphone, prevede l’utilizzo di sistemi MDM (Mobile Device Management) che consentono sia di creare una netta separazione tra i dati relativi alla sfera personale e quelli relativi alla sfera lavorativa, sia di implementare strumenti (come la cancellazione in remoto dei dati o il tracciamento della posizione del dispositivo in caso di furto o smarrimento) che consentono di garantirne la sicurezza. “La sicurezza è un concetto che si basa sull’integrazione” sottolinea Brugnano. “Mettere in sicurezza solo una parte degli strumenti o dei dispositivi non è sufficiente. Occorre ragionare a 360 gradi”. Con una nota particolare: nel caso del remote working, infatti, per garantire la sicurezza è indispensabile adottare tutte le precauzioni che garantiscano la compatibilità degli strumenti di controllo e protezione con le normative sindacali e sulla privacy.
Focus sul traffico dati nel mobile
Proprio la protezione dei dispositivi mobile è tra i temi che ha estrema rilevanza a livello di security. Questi device, per le loro caratteristiche, sono più vulnerabili a eventuali attacchi in grado di sfuggire ai tradizionali controlli. L’uso della rete mobile o il collegamento alle reti Wi-Fi colloca tablet e smartphone in un’area in cui il monitoraggio da parte dei sistemi aziendali non ha la stessa efficacia che ha per altri tipi di dispositivi. “L’approccio più evoluto alla security prevede sistemi di controllo del traffico per individuare attività sospette o la presenza di applicazioni potenzialmente pericolose” spiega Brugnano. “Nel caso dei dispositivi mobili, questa forma di monitoraggio richiede l’uso di strumenti specifici”.
Si tratta, in pratica, di servizi che prevedono una forma di tunneling del traffico Internet generato dai device mobile, che viene “filtrato” per individuare eventuali anomalie o indizi di un’attività malevola. Una strategia che consente, inoltre, di superare il problema legato alla protezione degli iPhone, le cui caratteristiche a livello di architettura di sistema impedisce l’utilizzo dei tradizionali antivirus. Il sistema di sicurezza basato su sandbox di iOS, infatti, offre una serie di vantaggi ma ha l’effetto collaterale di impedire la scansione delle applicazioni da parte dei software di sicurezza. Questa forma di controllo “a valle” permette di aggiungere un layer di sicurezza anche in questa situazione.
Dalla protezione all’assistenza
Non solo strumenti di cyber security e di prevenzione: in un panorama di remote working è necessario anche prevedere sistemi che consentano di colmare quella “distanza” che si crea tra il singolo utente e i servizi di assistenza. In altre parole, bisogna evitare che il lavoratore si trovi “solo” di fronte a un problema di sicurezza informatica. “Sia per i PC, ma ancora di più per quanto riguarda gli smartphone, è indispensabile predisporre strumenti che permettano di mettere in collegamento diretto l’assistenza con gli utenti” conferma Brugnano. “Project Informatica ha realizzato numerose soluzioni per rispondere a questa esigenza, adattandone le caratteristiche a quelle dell’impresa”. Gli strumenti, in quest’ottica, spaziano da semplici software di collaborazione a distanza per arrivare alla creazione di veri portali che consentono di aprire un ticket di assistenza e avere anche un supporto “fisico” al domicilio dell’utente.
L’ipotesi del “worst case”
Se molti problemi possono essere risolti attraverso una semplice consulenza, esistono ipotesi in cui l’unica soluzione è rappresentata da una reinstallazione completa del sistema. In un quadro tradizionale, questo avverrebbe attraverso la consegna “fisica” del dispositivo ai responsabili IT o al servizio di assistenza. La dimensione del remote working, però, complica le cose sotto diversi profili. “Chi fornisce assistenza, oggi, si trova anche a doversi adeguare a ritmi diversi” spiega l’esperto di Project Informatica. “Nel caso dei lavoratori della distribuzione, per esempio, non si può più pensare che il weekend non sia coperto”. La soluzione ottimale, però, è quella di utilizzare strumenti software che consentono di ripristinare, anche a distanza, il dispositivo stesso, utilizzando un’immagine del sistema che ha tutti gli strumenti e le funzionalità preimpostate.
