Rientro in ufficio dopo lo smart working: come garantire la sicurezza di dati e reti aziendali

Con l’avvio della Fase 2 dell’emergenza coronavirus, per circa 2,7 milioni di italiani è arrivato il momento del rientro in ufficio e presso i luoghi di lavoro dopo un lungo periodo di smart working e altrettanti si apprestano a farlo nelle prossime settimane.

Il lockdown ha costretto le aziende ad una delle sfide più impegnative mai affrontate, dovuta alla necessità di riorganizzare metodi e modalità di lavoro, attraverso una repentina applicazione di varie forme di telelavoro.

Sebbene nel nostro paese la pratica dello smart working fosse in costante aumento già in periodo pre-emergenziale, non tutte le aziende risultavano essere adeguatamente attrezzate. Mentre alcune disponevano già di una rete virtuale privata (VPN), altre sono state costrette, per necessità, a far utilizzare ai propri dipendenti i propri device (BYOD).

La pratica del BYOD, acronimo di “Bring Your Own Device”, non è nuova né vietata dal nostro ordinamento, ma necessita dell’adozione di pratiche per la corretta gestione della sicurezza IT e per la protezione dei dati.

La situazione emergenziale ha reso però necessarie delle soluzioni di adattamento. Nel caso in cui alcuni dipendenti, lavorando sui propri device o in quelli forniti dall’ azienda, abbiano archiviato dati su chiavette USB o altri tipi di periferiche, risulterà opportuno adottare alcuni accorgimenti. Infatti, tali supporti, sebbene estremamente comodi per maneggevolezza e capacità di archiviazione, presentano dei rischi rilevanti. Con il passaggio da un dispositivo ad un altro diventano il mezzo ideale per la diffusione di malware, spyware e rootkit. Un report di TechAdvisory.org, stima che il 25 per cento dei malware presenti in circolazione si trasmette proprio attraverso tali dispositivi.

L’adozione di alcune buone pratiche, in assenza di servizi di cloud aziendali, può diminuire il rischio di una compromissione dei dati aziendali. Ad esempio, sarebbe opportuno dotare i dipendenti di chiavette USB con crittografia hardware AES 128/256 bit, di antivirus aggiornati e di suggerire la cancellazione di tutti i dati aziendali dal proprio PC, una volta traferiti sul supporto USB.

Al rientro in azienda sarà inoltre opportuno utilizzare antivirus che consentano di disabilitare l’accesso alle periferiche di archiviazione prima di una verifica da parte dei responsabili IT.

Si consiglia, dunque, di verificare lo stato di salute di tali computer prima di collegarli nuovamente alla rete. Sarebbe inoltre opportuno valutare l’eventuale sostituzione della sicurezza utilizzata con una che possegga una console in cloud capace di gestire gli aggiornamenti, le configurazioni e gli alert anche quando l’utente non si trova in ufficio.

Al fine di arginare il fenomeno dello Shadow IT i datori dovrebbero consigliare ai dipendenti di segnalare, al rientro in azienda, gli eventuali problemi riscontrati durante il periodo in cui si è lavorato da remoto al responsabile del reparto IT.

Infine, si consiglia sempre di effettuare una pulizia delle caselle di posta elettronica, in quanto le pratiche di attacco phishing continuano ad essere le preferite dai criminal hacker. Piccoli accorgimenti come l’utilizzo Suspicious Site Reporter, un’estensione del browser Google Chrome capace di smascherare gli indirizzi sosia (ad esempio indirizzi come paypall.com invece di paypal.com), potrebbe risultare molto utile.

Un capitolo a parte merita il tema delle VPN. Queste infrastrutture di rete sono particolarmente vantaggiose in quanto offrono alle aziende, ad un costo minore, le stesse possibilità delle linee private a noleggio, sfruttando delle reti condivise pubbliche.

Una VPN ben strutturata può offrire grandi vantaggi ad un’azienda in quanto ne estende la connettività geografica, migliora la sicurezza dove le linee di dati non sono state criptate, riduce il tempo di transito e i costi di trasporto per i clienti remoti, fornisce la possibilità di reti globali, fornisce supporto di rete e fornisce compatibilità con le reti a banda larga.

Esistono diverse tipologie di VPN, ognuna delle quali presenta differenti caratteristiche. È opportuno affidarsi a dei professionisti per la scelta della tipologia che sia più adatta alla propria realtà aziendale.

Tutti questi accorgimenti risultano quanto mai essenziali se si pensa che dall’ ultimo rapporto Clusit è emerso che gli attacchi informatici nel nostro paese sono quasi raddoppiati nel giro degli ultimi 5 anni e che tali attacchi hanno riguardando in particolar modo le PMI.