Nel contesto post-pandemico fatto di iperconnettività e nuove modalità di lavoro si fanno i conti con nuovi scenari di rischio cyber. A partire da una maggiore superfice di attacco e da malware in continua evoluzione. Integrazione e sicurezza le parole d’ordine del lavoro agile
I modelli di lavoro ibridi rappresentano un terreno di conquista e una sfida per le aziende italiane. Da settembre 2022, per lo smartworking servono accordi individuali tra datori di lavoro e dipendenti. Nelle numerose novità introdotte dalla legge di conversione del decreto Semplificazione c’è anche la comunicazione semplificata degli accordi al ministero del Lavoro, al fine di agevolarne l’iter e favorire il passaggio alla cosiddetta fase 2, quella del superamento del lavoro agile emergenziale. «Per la maggioranza dei dipendenti l’esperienza di lavorare insieme all’interno di uffici o stabilimenti è stata interrotta dalla pandemia» osserva Daniela Rao, senior research and consulting director di IDC Italia. «L’emergenza ha imposto a molti il lavoro da remoto e negli ultimi mesi abbiamo assistito alla progressiva emersione di nuove modalità, comprese alcune che lasciano ai lavoratori la facoltà di decidere se lavorare in ufficio o da casa. Sono situazioni destinate a coesistere in un modello certamente diverso rispetto al passato e che possiamo definire ibrido».
NUOVI MODELLI NUOVE SFIDE
La transizione è in corso e le aziende lo sanno. Anche le ricerche ne danno conferma evidenziando che la gran parte dei dipendenti prevede di doversi alternare di più tra casa e ufficio. Ecco allora presentarsi nuove sfide per le aziende: dalla necessità di un adeguamento tecnologico e organizzativo che agevoli la collaborazione, al benessere psicofisico dei lavoratori. Tenendo la barra su produttività e protezione dei dati. «Sono obiettivi in vista dei quali le aziende devono necessariamente adottare nuove strategie e nuove soluzioni per ambienti di lavoro ibridi, dinamici e digitali», sottolinea Rao.
Quello che inizia a delinearsi è un ecosistema in forte evoluzione, composto da imprese iperconnesse e distribuite nel quale le tecnologie digitali stanno plasmando una nuova cultura lavorativa e nuovi modelli di organizzazione aziendale; uno spazio dove nuove modalità comunicative e la condivisione delle competenze implicano il superamento delle tradizionali gerarchie aziendali. In ambienti popolati da persone in movimento e dispositivi sempre più eterogenei, le postazioni di lavoro fisiche da tempo hanno iniziato a essere sostituite da piattaforme digitali dove ogni lavoratore accede in maniera univoca alle proprie informazioni indipendentemente dal luogo, dal momento o dal device utilizzato. «Ora però siamo entrati in un’ulteriore fase della trasformazione digitale» – dice Rao di IDC. «Uno scenario nel quale è fondamentale che l’innovazione sia orientata alla dimensione umana – comunicazione, collaborazione, knowledge management, ottimizzazione dei processi – e sia supportata dalle tecnologie emergenti, in primis l’intelligenza artificiale, già oggi fondamentali nel workplace. In questa transizione – prosegue Rao – l’individuo sarà al centro della trasformazione dei processi di comunicazione e di gestione della conoscenza aziendale e dipenderà dalle persone la circolazione e l’utilizzo delle informazioni che servono al business».
PERSONE E STRUMENTI
La comunicazione e l’interazione tra impiegati, partner e clienti, in una parola collaborazione, sono indispensabili in un ambiente di lavoro sano e produttivo. «Ma la creatività e le capacità dei singoli necessitano di adeguati strumenti per potersi effettivamente trasformare in una collaborazione di valore» – afferma Daniela Rao. «Non si tratta soltanto di un problema tecnologico: la trasformazione digitale non può prendere forma all’interno di un dipartimento senza il coinvolgimento di più linee e figure aziendali con idee, prospettive e approcci diversi». Guardando alle imprese italiane, gli studi le descrivono sempre più attente agli strumenti di remote working e alla flessibilità oraria. «In futuro – sottolinea Rao – è prevedibile che le micro e le piccole imprese, da sempre più sensibili alla comunicazione personale attraverso i social media, guarderanno all’introduzione di piattaforme tecnologiche in grado di ridisegnare il workplace con l’obiettivo di creare e diffondere la conoscenza attraverso strumenti di collaborazione efficienti e flessibili, del tutto simili a quelli utilizzati per le comunicazioni personali. Piattaforme di collaborazione che da una parte rispecchiano il nuovo trend comunicativo social, dall’altra permettono di gestire meglio i processi, analizzare e storicizzare i flussi comunicativi, anche destrutturati, per creare una conoscenza aziendale condivisa e al contempo favorire l’impegno individuale delle persone». Nelle previsioni di IDC, questi strumenti costituiranno l’infrastruttura portante del nuovo digital workspace. Un portato di innovazione e tecnologia che necessita tuttavia di essere integrato ai meccanismi dell’organizzazione. In sicurezza.
COLLABORATION E CYBERSECURITY
Il boom digitale abilitato dal cloud e poi lo smartworking e la didattica a distanza hanno liquefatto il perimetro di sicurezza tradizionale che difende i sistemi IT dagli attacchi informatici. Lo abbiamo visto tutti: la necessità di convertire rapidamente il modello di lavoro tradizionale, di fatto polverizzando sul territorio quello che prima era l’ufficio centralizzato, ha trascinato molte organizzazioni in una preoccupante sottovalutazione della cybersecurity. Davanti alla necessità di salvaguardare la continuità operativa, spesso le aziende non si sono preoccupate di predisporre un ambiente sicuro, o lo hanno fatto solo parzialmente e con colpevole ritardo. In questo modo hanno esposto il proprio patrimonio di dati alle minacce più eterogenee.
Difficile non attribuire alla mancata pianificazione le conseguenze in termini di impatto e danni economici provocati dagli incidenti informatici della fase emergenziale. Secondo i dati contenuti nel dossier annuale del Viminale presentato dal Comitato per l’ordine e la sicurezza, nel periodo che va dal 1° agosto 2021 al 31 luglio 2022 gli attacchi informatici sono passati dai 4938 dei 12 mesi precedenti a 8814, con un incremento vicino all’80 per cento. Più di recente, le statistiche pubblicate dal Sole 24 Ore sulla criminalità del primo semestre 2022 estratte dalla banca dati interforze dal dipartimento di Pubblica Sicurezza del ministero dell’Interno hanno evidenziato una tendenza ancora più preoccupante: il raddoppio dei reati online e un aumento delle truffe informatiche, in crescita del 18% rispetto allo stesso periodo dell’anno precedente, e degli attacchi ransomware (+23% nel primo semestre). Il venir meno dei punti di riferimento tradizionali della sicurezza informatica ha lasciato il campo aperto a cybercriminali di ogni risma. Con costi per il sistema solo in parte quantificabili, ma duraturi sulla stragrande maggioranza delle organizzazioni. Pensando allo smartworking, un modo per incrementarne la sicurezza è una pianificazione dell’infrastruttura più aderente alle modalità lavorative, alle policy di accesso, al monitoraggio delle attività, alla sicurezza Zero Trust, supportato da un adeguamento delle tecnologie in uso sia all’interno sia all’esterno del perimetro aziendale.
IL DISASTER RECOVERY PENSI AL BUSINESS
In realtà sono ancora numerosi gli errori in cui incappano aziende e organizzazioni nella valutazione dei rischi legati allo smartworking. «La cultura che prevede l’adozione di contromisure di sicurezza come conseguenza dei risultati di un’analisi del rischio ICT è ancora poco diffusa» – afferma Roberto Obialero, advisory board di Clusit. «Spesso assistiamo all’implementazione di specifici progetti di sicurezza, a carattere perlopiù tecnologico, caratterizzati dall’assenza di una visione di insieme e di una valutazione oggettiva dei benefici associati e delle eventuali dipendenze rispetto ad altri interventi complementari». Anche nella redazione dei piani di business continuity permane una generale assenza di cultura improntata alla prevenzione: «Gli interventi messi in campo sono spesso di carattere sporadico e reattivo, come dimostra la diffusione degli attacchi ransomware, molti dei quali portati a compimento con successo. Una situazione – continua Obialero – che sottolinea la necessità di far comprendere prima di tutto al management l’enorme differenza di costo tra interventi pianificati in tempi di normale attività rispetto agli oneri derivanti dalla gestione di situazioni di emergenza in seguito ad attacchi informatici». Disaster recovery e business continuity si confermano temi ancora scarsamente indirizzati in modo univoco, soprattutto nei settori in cui le aziende non sono soggette a regolamenti specifici. «Molto spesso si assiste ad analisi effettuate in modo del tutto parziale, concentrate solo sugli aspetti di natura business oppure su quelli specifici alla gestione ICT, indirizzando esclusivamente la tematica disaster recovery. Senza neppure prendere in considerazione le significative interdipendenze tra i due ambiti», sottolinea Obialero.
DATI, INFRASTRUTTURA E CONNESSIONE
L’analisi del Clusit non fa sconti ed è confermata dall’evidenza che durante la prima fase dello smartworking obbligato le aziende hanno soprattutto aggiustato o semplicemente rappezzato l’infrastruttura esistente per far fronte all’emergenza. Ora si può e si deve necessariamente fare di più e meglio per integrare il lavoro da remoto come modello destinato a rimanere. Perciò resta urgente, se non lo si è fatto prima, adottare tutte quelle misure di sicurezza necessarie alla protezione dell’infrastruttura attraverso una strategia di difesa su tre direttrici principali: protezione del dato, dell’infrastruttura (VPN, patch, applicativi) e della connessione (router e wi-fi). Un buon punto di partenza a cui fare riferimento sono i controlli della ISO 27001 – di recente aggiornata – due dei quali dedicati ai dispositivi mobili e allo smartworking. In particolare, il controllo A 6.2.1 è incentrato sulla necessità di adottare policy e misure di sicurezza ad hoc per gestire i rischi legati all’uso di dispositivi mobili. Policy che dovrebbero includere la protezione sia fisica sia logica dei dispositivi registrati, l’assegnazione di limiti alle capacità degli utenti di installare software, la gestione da parte dell’organizzazione degli aggiornamenti e delle patch, così come dei controlli di accesso e dei backup. Nel controllo A 6.2.2 si trovano invece tutte le linee guida utili per la definizione di policy specifiche per lo smartworking in termini di protezione delle informazioni secondo le normative esistenti. Le organizzazioni sono altresì tenute a fornire dispositivi e tool di comunicazione adeguati, sicurezza fisica, hardware e supporto software ai lavoratori remoti. Inoltre, l’organizzazione dovrebbe stabilire una serie di regole per l’uso delle reti domestiche e wireless, la classificazione delle informazioni e le politiche di autorizzazione per accedere a sistemi e servizi. Sempre nell’ambito della ISO 27001, il controllo A.7.2.2 ribadisce infine la necessità per tutti i dipendenti dell’organizzazione di ricevere un’adeguata formazione sui possibili rischi di sicurezza che il lavoro da remoto comporta, finalizzata a garantire che politiche e procedure adottate dall’organizzazione trovino sempre una corretta esecuzione.
CONVERGENZA MA SENZA LOCK-IN
Tutto quanto detto finora potrebbe anche non bastare. Poiché il perimetro dell’infrastruttura IT si estende e cambia in base agli utenti, ai dati e alla loro localizzazione, sempre più organizzazioni guardano con interesse verso infrastrutture in grado di adattarsi dinamicamente ai cambiamenti in termini di accessi, carichi di lavoro e ambienti applicativi. Secondo i dati in possesso di IDC la spesa delle aziende europee per soluzioni di Zero Trust Network Access (ZTNA) crescerà con un incremento medio annuo superiore al 28%, sfiorando i 340 milioni di euro entro il 2026. «In un mondo guidato dal cloud e dal lavoro da remoto, la sicurezza deve essere integrata, non un componente aggiuntivo» – commenta Rao di IDC. «Anche per questo una strategia ZTNA implementata con un’architettura Secure Access Service Edge (SASE), che combini capacità VPN, SD-WAN e sicurezza in un’unica piattaforma cloud, può rappresentare un decisivo passo in avanti nella protezione applicazioni e dati, indipendentemente da dove e come gli utenti li utilizzano».
Se la convergenza di rete e sicurezza nel cloud, un modello che ha nella flessibilità e nella velocità di implementazione i suoi punti di forza, può dunque contribuire a superare le limitazioni tipiche delle architetture di rete tradizionali, Obialero del Clusit mette in guardia dalle criticità rispetto all’adozione di un’unica piattaforma di sicurezza: «L’approccio ZTNA può essere d’aiuto nel miglioramento della cosiddetta security posture. Ma così viene meno il principio fondamentale della “difesa in profondità” che sancisce la necessità di introdurre diverse misure di sicurezza a contrasto di un’azione di attacco. Inoltre, affidarsi a un unico fornitore di servizi cloud espone al rischio di lock-in. Il vendor, per quanto tecnologicamente avanzato, efficiente e competitivo, potrebbe un giorno rivedere le sue politiche commerciali; oppure si potrebbero registrare peggioramenti nella qualità dei servizi offerti con ripercussioni sul livello di fiducia». Infine, indipendentemente dall’approccio che si potrebbe decidere di abbracciare, bisogna sempre considerare il fattore competenze e maturità raggiunta dall’azienda. «La messa in pratica delle politiche restrittive, prerogativa dell’architettura Zero Trust, prevede una ottima conoscenza da parte dei team preposti alla sua gestione di una serie di aspetti che vanno dall’inventario degli asset hardware e software alla corretta assegnazione dei privilegi degli utenti; dalla classificazione delle informazioni sulla base della criticità per l’organizzazione all’Identificazione dei repository di quelle sensibili. «In base alla mia esperienza – osserva Obialero – è molto difficile incontrare organizzazioni che abbiano definito un buon livello di presidio di tutti questi aspetti. Per cui l’introduzione di tali tecnologie richiederà ancora dei percorsi di attuazione con un orizzonte temporale a medio termine».
DALL’OROLOGIO AI RISULTATI
Anche se secondo il Sole 24 Ore lo smartworking cresce solo nel settore privato ed è in diminuzione nel pubblico, in futuro sarà inevitabile affrontare il tema del lavoro in modalità ibrida in termini strategici. «Se il recente passato ci ha insegnato qualcosa – argomenta Obialero – è che le organizzazioni che hanno risposto in modo più efficace alla situazione di emergenza sono state quelle che si erano già preventivamente preparate con politiche e accordi contrattuali per il lavoro da remoto, e che si erano attrezzate da un punto di vista tecnologico, definendo ad esempio delle architetture con dei punti di accesso standardizzati e monitorati, e attrezzando le postazioni di lavoro in modo da garantirne l’utilizzo solo a fronte del rispetto di opportuni protocolli di sicurezza, come l’autenticazione a più fattori degli utenti».
Altri nodi però rimangono da sciogliere, alcuni da parte del management aziendale. «Uno è il cambio di mentalità e la riorganizzazione delle attività, passando da una misurazione del lavoro basata sul tempo dedicato a una che tenga conto del raggiungimento degli obiettivi prefissati. È importante, inoltre, che le organizzazioni – prosegue Obialero – analizzino con cura i rischi di sicurezza derivanti dalle attività lavorative svolte in modalità smartworking oppure ibride. Solo così saranno in grado di predisporre le necessarie policy e procedure a supporto dei processi legati al lavoro da remoto. Mettendo a disposizione le apparecchiature e le infrastrutture di elaborazione dei dati in grado di garantire un livello di sicurezza adeguato».
LA NUOVA ROTTA DEGLI INVESTIMENTI
Lo smartworking ha introdotto maggiore flessibilità e favorito l’adozione di soluzioni per sostenere i processi di trasformazione digitale, a cominciare dall’accesso ai servizi cloud. Una cesura che ha ridefinito le condizioni di sicurezza all’interno dello spazio fisico e digitale delle organizzazioni e sancito il progressivo abbandono delle misure tradizionali di sicurezza incentrate sui perimetri fisici, inadeguate a fronte delle nuove minacce. Cambiamenti che hanno impattato anche sulle strategie di cybersecurity, favorendo la diffusione di soluzioni automatizzate e scalabili per innalzare il livello di continuità e sicurezza del business. «La sicurezza informatica è stata un’area di investimento importantissima per il 60% delle aziende italiane nel corso degli ultimi 12 mesi» – sottolinea Rao di IDC. «Quando le aspettative di crescita delle imprese diventano negative, alcuni investimenti tecnologici assumono una chiara finalità anticongiunturale, per contrastare o contenere la diminuzione del fatturato. Oltre un terzo delle imprese che prevedono una contrazione dei risultati – prosegue Rao – investe in soluzioni di collaborazione e soluzioni più servizi di sicurezza. Sono tante le imprese che investono anche per dotare i dipendenti di computer e stampanti, servizi di connettività, smartphone e tablet in ottica smart working».
Ci stiamo dunque lasciando alle spalle quella fase in cui solo poche aziende avevano regolamentato le attività in smartworking? Certamente stiamo assistendo a una transizione che potremmo definire anch’essa ibrida e a diverse velocità, anche se la linea pare tracciata. Ci si aspetta che le aziende insistano nel percorso verso la consapevolezza dei vantaggi di una strategia orientata all’efficienza e alla sicurezza. La sfida sarà quella di garantire l’accesso e la produttività a tutti i dipendenti, anche al di fuori degli spazi fisici aziendali, innalzando al contempo la capacità di controllo sulle risorse e di monitoraggio sui comportamenti degli utenti. Si rende necessario un cambio di paradigma che passa attraverso la capacità di progettare un modello di governance più integrato ed efficiente, frutto di una pianificazione meno improvvisata e lacunosa rispetto ai tempi della pandemia. Consapevoli che mobile e smartworking stanno modellando prepotentemente il nostro futuro lavorativo.