Home Working: attenzione alla sicurezza

Una delle tematiche più attuali è l'home working ossia il lavoro da remoto che,  per forza di cose, tante aziende hanno dovuto implementare per fare fronte alla necessità assoluta di limitare gli spostamenti dei collaboratori durante la pandemia COVID-19.

Prima di quest'emergenza, i numeri dei lavoratori agili (gli smart workers) nel nostro Paese erano in aumento: 570.000 unità nel 2019, in crescita rispetto ai 418.000 del 2018 (dati dell'Osservatorio Smart Working Politecnico di Milano).
L’Osservatorio ha anche riconfermato  i benefici ormai assodati dello smart working: maggior produttività (+ 15%),  riduzione dell’assenteismo e dei costi per gli spazi fisici.

In questo momento, sono comunque emerse tutte le criticità che potranno rallentare l'ulteriore  diffusione di questa modalità di lavoro nel nostro Paese, finita l'emergenza.

Soprattutto tra le PMI, ben il 51% dei manager  ancora non aveva preso in considerazione l'opzione smart working; solo il 12% aveva già attuato progetti di smart working strutturati e solo l’11% aveva dato il via ad iniziative di lavoro agile informali.

Uno dei  fattori considerati più limitanti da parte delle aziende è la  tecnologia.

Per il  32% dei manager la gestione degli aspetti IT rappresenta un freno all'attuazione dello smart working,  ed il 21% dei lavoratori la cita come una barriera per il passaggio al lavoro agile. Le aziende devono anche essere in grado di estendere la strategia di cybersecurity interna, senza influenzare negativamente il lavoro da remoto.

Le primarie attività da pianificare sono quindi una verifica delle soluzioni di protezione integrate e un aggiornamento degli standard di cybersecurity interni all’azienda partendo dall'analisi dello stato dei dispositivi in uso,  delle modalità di aggiornamento dei programmi e delle app.

Quali sono i principali ostacoli della cybersecurity in remote working?
1. I device

E' consigliabile che vengano utilizzati PC e smartphone forniti dal datore di lavoro e configurati in base alle policy di sicurezza aziendale. L'investimento iniziale dell'acquisto dell'hardware sarà velocemente ammortizzato dalla semplicità di gestione e dal veloce supporto e monitoraggio da parte dei responsabili IT dei diversi device.
Nel caso di utilizzo di device personali dei dipendenti/collaboratori, consigliamo un controllo da parte dell'IT manager dei vari tool informatici: l'aggiornamento o l'installazione dell' antivirus, la corretta impostazione delle password, la scelta della tipologia di connessione da utilizzare ecc...
E' inoltre opportuno impostare rigide limitazioni di utilizzo della rete aziendale, restringendo gli accessi solo ad aree indispensabili per lo svolgimento dell’attività e non all’intero network.
Rendere consapevoli i dipendenti e collaboratori dei rischi che un’inadeguata gestione e protezione dei propri device potrà causare a sé e all’azienda, è un altro elemento fondamentale.

2. Il comportamento

Utilizzare correttamente e consapevolmente gli  strumenti disponibili è indispensabile. Diventa quindi fondamentale la costante formazione del personale sulle tecnologie in uso e sulle prassi necessarie per non cadere vittima degli attacchi informatici.

Per aumentare la sensibilità e la consapevolezza degli utenti sul tema cyber security, abbiamo implementato Phishing attack, un  servizio completo, erogato sulla piattaforma Sophos Central, che mette alla prova le aziende sugli attacchi phishing. Le simulazioni effettuate evidenziano la percezione del rischio di dipendenti e collaboratori ed individuano i comportamenti, spesso inconsapevoli, che possono mettere a rischio la sicurezza dei dati. Il servizio prevede l'erogazione di tutorial personalizzati per gli utenti che non hanno mantenuto dei comportamenti "adeguati" per acquisire le giuste modalità di  reazione in caso di attacco informatico e/o di rilevamento di un’attività sospetta.

3. Autenticazione a doppio fattore

Un' altra condizione di sicurezza necessaria è  l’autenticazione a doppio fattore che dovrebbe essere impostata per tutti gli strumenti che si utilizzano per collegarsi alle risorse aziendali.
Il sistema prevede un'autenticazione e relative autorizzazioni più complesse e strutturate  di un semplice nome utente e password.  A questi viene aggiunto un secondo livello di autenticazione fornito dall’invio di un codice univoco su un device (quasi sempre un cellulare) del collaboratore . Si tutelano così gli accessi che potrebbero essere eseguiti con password deboli o utilizzate più volte, magari anche per servizi personali, che potrebbero essere già stati attaccati.

Vuoi approfondire?

Gli audit sulle procedure di sicurezza implementate in azienda sono un importante elemento che ti aiuta nell'adeguamento al Regolamento Europeo Privacy 2016/679.
Potrai inserire nella documentazione di attuazione GDPR, le soluzioni infrastrutturali predisposte e le attività di formazione dei dipendenti e collaboratori sulle misure di cybersecurity .

Fonte dei dati:  news.sophos.com