Smart Working e IT Security: come difendersi dai rischi e dagli attacchi informatici Una serie di utili raccomandazioni (e un corso gratuito offerto da Kaspersky) per difendersi dai rischi connessi allo Shadow IT e agli attacchi informatici rivolti ai dipendenti che lavorano da remoto

Smart Working e IT Security: come difendersi dai rischi e dagli attacchi informatici

A inizio maggio 2020 Kaspersky ha pubblicato un interessante report intitolato How COVID-19 changed the way people work, all'interno del quale sono illustrate una serie di statistiche tutt'altro che rassicuranti sul livello di consapevolezza raggiunto dall'italia in tema di sicurezza informatica nello smart working.

In questo articolo cercheremo di riassumere i concetti fondamentali espressi all'interno del report e di integrarli con osservazioni, consigli e raccomandazioni specifiche per le aziende, i responsabili IT e gli amministratori di sistema interessati a fornire ai propri dipendenti gli adeguati strumenti di protezione  per difendersi dai rischi connessi a possibili attacchi IT ai propri sistemi di lavoro da remoto.

DISCLAIMER: Questo articolo non è stato in alcun modo sponsorizzato da Kaspersky o da altre aziende: i contenuti rispecchiano unicamente il pensiero dell'autore.

Tre italiani su quattro a rischio

Secondo i dati pubblicati nel report, quasi tre dipendenti italiani su quattro (73%) tra quelli che effettuano attività di smart working non hanno mai ricevuto una guida o una formazione specifica sulla sicurezza informatica per proteggersi dai rischi connessi a quella particolare tipologia di lavoro. Del resto, è indubbio che le good practices che consentono di lavorare in sicurezza da remoto differiscono in modo significativo dalle misure standard che vengono trasmesse e messe in pratica sul posto di lavoro, sia per quanto concerne la consapevolezza individuale sui rischi connessi alle proprie attività che a livello degli strumenti tecnologici da adottare; basti pensare al fatto che, mentre in azienda quasi sempre è possibile contare su un team ICT opportunamnte formato che si occupa di fornire agli operatori help-desk e supporto su base quotidiana, questo tipo di infrastruttura è molto spesso assente, non prevista ovvero impossibilitata a fornire il medesimo livello di servizio per le postazioni smart working.

Le conseguenze di questa "mancanza di attenzione" sono anch'esse evidenziate all'interno del report, che mostra come quasi un dipendente su quattro (24%) dichiari di aver ricevuto e-mail di phishing a tema COVID-19.

Attenti... al capo!

Come difendersi da questo tipo di rischi? Certamente il primo passo da compiere è quello di organizzarsi in modo da prevedere una formazione specifica per tutti i propri dipendenti, dirigenti e amministratori in tema di sicurezza informatica, con un focus specifico sui rischi connessi al remote working.

L'enfasi posta sul comparto executive non è casuale, in quanto è comprovato come il management tenda spesso ad essere colpevolmente "esentato" da questo tipo di formazione: un errore particolarmente grave, se si considera che molto spesso sono proprio quelle funzioni ad essere più "a rischio" di attacchi, stante la maggiore capacità decisionale e il livello di permessi e autorizzazioni non di rado molto più elevato rispetto ai dipendenti. Sfortunatamente, in molti casi si tratta proprio degli individui più vulnerabili alle tecniche di ingegneria sociale (spear phishing in primis) in quanto solitamente meno avvezzi a gestire la lettura sistematica di grandi volumi di e-mail provenienti dall'esterno.

IT Security e minacce "remote"

Garantire la protezione dei dipendenti dal punto di vista informatico all'interno delle loro postazioni remote - ovvero delle proprie abitazioni private - è un compito che può essere impegnativo per qualsiasi azienda: le contromisure adottate all'interno del perimetro aziendale, che sono spesso basate (e tendono a dare per scontato) su un presidio fisso di addetti alla sicurezza e su una infrastruttura fisicamente contenuta all'interno del perimetro aziendale, potrebbero infatti rivelarsi inefficaci o insufficienti a tale scopo.

È quindi fondamentale stabilire e implementare delle misure di sicurezza specifiche per il remote working che siano in grado di offrire sufficienti garanzie di mitigazione del rischio contro i moderni attacchi rivolti agli strumenti personali degli operatori, tra cui:

  • E-mail di spam e phishing ricevute da client di posta desktop, mobile e web potenzialmente al di fuori del perimetro aziendale.
  • Compromissione dei dispositivi di connessione come router domestici, switch, hot spot WiFi pubblici, etc.
  • Abuso di strumenti di connessione remota basati su protocolli noti (RDP, VNC, etc.) o attraverso software di terze parti (TeamViewer, AnyDesk, RAdmin, etc).
  • Furto dei dispositivi assegnati agli utenti in modalità BYOD (Bring Your Own Device) o COPE (Corporate Owned, Personal Enabled).

I rischi della "Shadow IT"

Il quadro in esame è ulteriormente complicato dal fatto che alcuni di questi strumenti possono essere implementati o utilizzati dagli operatori senza l'approvazione esplicita dell'azienda stessa: si tratta del fenomeno noto come Shadow IT, una bad practice in base alla quale il dipendente adotta in modo autonomo e incontrollato uno o più strumenti tecnologici (software o infrastrutture) al fine di ottimizzare ovvero rendere più agevole il proprio lavoro.

Una eventualità che tende ad essere particolarmente comune nel caso di piccole e medie imprese che ancora non hanno adottato una metodologia di lavoro basata sull'applicazione rigorosa di policy, processi e procedure, e che l'attuale emergenza COVID-19 ha inevitabilmente contribuito ad aumentare in modo vertiginoso:  in base ai numeri raccolti dal sondaggio di Kaspersky presente all'interno del report, somministrato a circa 6.000 lavoratori in tutto il mondo, di cui 550 in Italia, molti dipendenti hanno dichiarato di esseri dotati "autonomamente" di strumenti per le videoconferenze (35%), messaggistica istantanea (39%) e archiviazione dei file in cloud (35%).

Tecniche di mitigazione dei rischi

Questi numeri preoccupanti aiutano a comprendere l'importanza assoluta di comunicare ai dipendenti l'esistenza e la pericolosità dei numerosi rischi IT connessi al remote working e il necessario set di istruzioni, best practices e know-how su come poterli mitigare o evitare.

Nello specifico, Kaspersky consiglia di seguire le seguenti indicazioni, in modo da aiutare le aziende a rendere possibile e sicuro il lavoro da casa per i propri dipendenti:

  • Assicurarsi che i dipendenti sappiano chi contattare in caso di problemi informatici o di sicurezza.
  • Prestare particolare attenzione ai dipendenti che lavorarno da casa mediante dispositivi personali, fornendo loro le corrette indicazioni e raccomandazioni specifiche a livello di cybersecurity.
  • Investire in formazione sul tema della IT Security con focus specifico sul remote working. Si tratta di un tipo di formazione che può essere fatto anche online e che dovrebbe riguardare alcune tematiche essenziali, come la gestione di account e password, la sicurezza della posta elettronica, degli endpoint e della navigazione online. A tale scopo, suggeriamo di dare un'occhiata al progetto Stay Safe, Stay Secure, un corso gratuito di Cyber Security offerto da Kaspersky e Area9Lyceum per aiutare i dipendenti a lavorare in sicurezza anche da casa.
    Adottare misure fondamentali per la protezione dei dati, così da salvaguardarli insieme ai dispositivi aziendali, come l'attivazione di una protezione tramite password, la crittografia dei dispositivi di lavoro e la garanzia di un backup per i dati.
  • Assicurarsi che tutti i dispositivi, il sistema operativo, le applicazioni e i servizi in uso siano aggiornati con le ultime patch di sicurezza rilasciate dai rivenditori ufficiali.
  • Installare una soluzione di protezione affidabile a livello AntiVirus e AntiMalware su tutti gli endpoint, compresi i dispositivi mobili; alcuni di questi software, come ad esempio Kaspersky Endpoint Security ("inevitabilmente" consigliato da Kaspersky all'interno del report), consentono anche di limitare l’utilizzo dei soli applicativi e/o servizi online approvati dal team IT aziendale per scopi lavorativi, riducendo così i rischi correlati alle malpractice da shadow IT.
  • Impostare password lunghe e sicure per tutti i dispositivi: router, firewall, VPN, network Wi-Fi, oltre ovviamente a qualsiasi account personale. E' inoltre fondamentale prendere l'abitudine di cambiare sempre le password predefinite, così da impedirne l'utilizzo da parte di potenziali hacker al fine di prendere il controllo dei vostri sistemi.
  • Abilitare ovunque possibile sistemi di autenticazione a due fattori (Two-Factor Authentication o 2FA), in particolare sui dispositivi mobili e portatili in quanto tendono ad essere più a rischio furto o violazione: se il sistema lo consente, ricordate inoltre di aggiungere almeno una componente di autenticazione biometrica così da ridurre ulteriormente il rischio di effrazione. Per maggiori informazioni su questo punto, consigliamo di dare un'occhiata alla nostra guida all'Autenticazione a 2 Fattori (2FA), che spiega cos'è, come funziona e perché è importante utilizzarla.

Conclusioni

Per il momento è tutto: ci auguriamo che questa breve guida possa aiutare le aziende e i relativi responsabili IT e amministratori di sistema a fornire gli adeguati strumenti di protezione ai propri dipendenti, così da ridurre al minimo i rischi connessi a possibili attacchi IT ai sistemi di lavoro da remoto.

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


The reCAPTCHA verification period has expired. Please reload the page.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.