Sicurezza e smart working, come cambiano i rischi

Schema di certificazione europeo. Rischi e opportunità

L’uso massivo del lavoro agile a causa dell’emergenza Covid, se da una parte ha cambiato le modalità operative delle aziende, dall’altra ha modificato in maniera rilevante la “cartografia” dei rischi ICT e di sicurezza. Risulta quindi necessario rivedere tali rischi per adeguarli al nuovo scenario operativo

L’emergenza Covid ha fatto nascere la necessità di limitare gli spostamenti e questo ha spinto quasi tutte le aziende a utilizzare in maniera massiva lo smart working, anche alla luce delle nuove normative emesse per tutelare la salute dei lavoratori. Il ricorso al lavoro agile se da una parte ha cambiato le modalità operative delle aziende, dall’altra ha modificato in maniera rilevante la “cartografia” dei rischi ICT e di sicurezza.

La velocità con cui è stato effettuato il passaggio al lavoro “smart” non ha permesso però alle aziende di rivedere le analisi dei rischi di sicurezza connessi all’ICT e questo, alla lunga, potrebbe avere degli impatti negativi sulla sicurezza dell’azienda. La prima osservazione è legata all’utilizzo delle informazioni aziendali.

Con lo smart working le informazioni escono dagli ambienti canonici (gli uffici) e vengono utilizzate in ambienti “poco sicuri” e controllabili (le abitazioni private dei dipendenti). Questo incrementa in maniera quasi esponenziale i rischi connessi alla riservatezza delle informazioni, con un incremento significativo di potenziali data breach sia di dati di business che di dati personali.

Altro aspetto rilevante è l’uso massiccio delle piattaforme di collaboration che ha aumentato di fatto il loro livello di criticità rispetto a tutti gli ambiti della sicurezza informatica (riservatezza, integrità e disponibilità). Queste piattaforme diventano dei sistemi “chiave” per assicurare l’operatività di un’azienda e quindi vanno protette in maniera sicura. Lo hanno capito bene gli hacker che durante questi mesi hanno sferrato con successo diversi attacchi verso queste piattaforme.

Altro ambito in cui i rischi si sono modificati in maniera importante sono i pericoli connessi all’accesso alla rete e ai sistemi aziendali. Se in passato l’accesso da remoto era concesso a un gruppo ristretto di utenti (generalmente tecnici IT e management), l’estensione a tutto il personale dell’azienda di tale tipologia di accesso introduce numerose vulnerabilità, soprattutto quando l’accesso non è in strong authentication e quando viene effettuato da PC poco sicuri. Anche i rischi connessi alle terze parti cambiano. L’uso esteso dell’esternalizzazione dei processi da parte delle aziende le ha rese molto fragili in tale situazione di completo smart working poiché molti dei propri outsourcer non erano preparati, inducendo così impatti significativi su molti processi operativi esternalizzati dall’azienda.

Leggi anche:  Chuck Robbins, CEO di Cisco: "La sicurezza deve essere semplice, intelligente e ovunque"

Ultimo aspetto, non per questo meno importante, è legato all’awareness sulla sicurezza informatica. La maggior parte del personale delle aziende non era “consapevole” dei rischi di sicurezza collegati alle modalità di lavoro agile sia perché la security awareness attualmente non è molto elevata nelle aziende sia perché la velocità con cui si è dovuto attivare lo smart working non ha consentito alle aziende di sviluppare dei programmi di sensibilizzazione ad hoc. Cosa fare quindi per mettere in sicurezza lo smart working? Ovviamente, il primo step sarà quello di rivedere le analisi dei rischi effettuate e identificare le nuove minacce e misure di sicurezza da applicare. Le soluzioni tecniche esistono e probabilmente sarà necessario effettuare anche degli investimenti importanti.

Va comunque considerato che tutte le aziende hanno perfettamente compreso che lo smart working non sarà una soluzione “transitoria” e che il suo utilizzo potrebbe indurre in azienda notevoli benefici, per esempio, riduzione dei costi logistici e di trasferta, aumento della produttività del personale, possibilità di accedere a nuovi mercati e così via. Per tale ragione, la messa in sicurezza di tale modalità operativa, oltre a giustificare gli investimenti previsti, diventa di fatto un elemento abilitante per il successo dello smart working consentendo di non perdere i benefici attesi.

Garibaldi Conte comitato scientifico di CLUSIT