Le 5 cose di cui preoccuparti per lo smart working aziendale in sicurezza


04/05/2020

Le 5 cose di cui preoccuparti per lo smart working aziendale in sicurezza

Che in Italia lo smart working desti ancora preoccupazione non è un mistero. Con la stragrande maggioranza delle aziende italiane pocpreparate ad affrontare il mondo del telelavoro, dalle falle tecnologiche alle policy di sicurezza aziendali spesso insufficienti, gli hacker hanno trovato terreno fertile per agire indisturbati e i problemi non hanno tardato ad arrivare. 

In questo clima di incertezza, una cosa appare chiara: la strutturazione del lavoro da casa è una necessità, ma richiede competenze e strumenti adeguati. 

Ce li presenta Francesco Monducci, Cloud Engineer di Seven IT, specializzato in soluzioni di sicurezza e infrastrutture digitali.

1- La protezione dei device 

Che si utilizzino dispositivi aziendali o si debba ricorrere al BYOD (Bring Your Own Device), non si può mancare di porre particolare attenzione alla sicurezza periferica. 
Per evitare un databreachproblematico anche dal punto di vista del GDPR, la soluzione Endpoint Central Intercept X Advanced di Sophos e Central Device Encryption rappresentano una risposta concreta. I programmi racchiudono varie funzionalità, tra cui antivirus, web filtering e Device Encription contro ransomware – indispensabile in caso di perdita o compromissione dei dispositivi. 
Sul lungo periodo, l’investimento è ripagato dalla minore quantità di interventi riparatori e dalla diminuzione dei danni inflitti dai cyber-attacchi. 

2- L’accessibilità è un problema, se manca la sicurezza 

Spear Phishing e attacchi di tipo Spray, sono eventualità tutt’altro che remote e, soprattutto, potenzialmente molto dannose. Vittime dei tentativi di account take-over sono principalmente figure amministrative e CFOsovvero tutti coloro che hanno accesso a dati sensibili e finanziari. 
In questa versione digitale di Social Engineering, i cyber-criminali tendono a raccogliere quante più informazioni possibili, per poi colpire al momento giusto. 
Ecco perché identificarli non è semplice, ma un’ottima arma di difesa è l’Autenticazione a più fattori (MFA - Multiple Factors Autentication), come anche dichiarato dalla National Security Agency statunitense. Impostare diverse chiavi e modalità di accesso è cruciale: ogni client può essere il veicolo di una nuova minaccia per i dati aziendali. 

3- Il controllo del lavoro: si può fare, con un occhio alla privacy 

Sapere come e quanto lavorano i dipendenti è possibile. Ad esempio, con gli strumenti business di Microsoft 365, come Analytics a Delve, permettono di visionare le ore lavorate e tenere traccia di accessi a documenti e file, un fattore importante anche per la tutela della proprietà intellettuale. A tal proposito, occorre curarsi anche dei dispositivi di archiviazione esterna, che possono essere soggetti a blocchi e tracciamenti, grazie a Sophos. 

Attenzione, però: “spiare” i dipendenti non è consentito. La privacy è un sempre garantita, un confine non valicabile neanche dal datore di lavoro. Per misurare la produttività, si può ricorrere a strumenti di time-tracking. 

4- Servono strumenti avanzati per riconoscere e contrastare le minacce 

Una volta i prodotti di protezione seguivano regole impostate manualmente dagli amministratori, ora ci pensa l’intelligenza artificiale. 

E’ il caso di Barracuda Sentinel, che contrasta lo Spear Phishing con criteri che si auto-perfezionano nel tempo, e di Microsoft 365, in grado di identificare comportamenti sospetti negli account (come il collegamento da indirizzi IP da luoghi diversi e molto distanti in poche ore) notificandoli al gestore di sistema, o di garantire la DLP (Data Loss Prevention), bloccando le e-mail contenenti specifici dati sensibili, che non saranno recapitate fino ad approvazione del responsabile di riferimento. 

5- Le persone fanno la differenza 

Pur dotandoci dei software più all’avanguardia, occorre prendere atto che qualcosa potrà sempre andare storta, perché l’anello più debole della catena è l’utente. 

Informare e formare correttamente il personale sui rischi che si corrono e predisporre una chiara policy per lo smartworking è cruciale, ma a volte non basta. 
Anche in questo caso, le tecnologie possono aiutarci, come il servizio Phish Threat di SophosAttraverso campagne di e-mail spam etico, sviluppate sulla base del core business del cliente, è possibile tendere finte trappole ai propri dipendenti; chi dovesse sbagliarsi, sarebbe rimandato automaticamente al tutorial di riferimento per non compiere più lo stesso errore. 

Questo sistema permette quindi di vedere quali sono gli utenti più deboli e cosa fare per diminuire i rischi in futuro: una bella mano, no? 
 

Per conoscere di più sulle soluzioni per lo smart working e implementare le migliori tecnologie per la tua realtà aziendale, contattaci.