SECURITY – lato B del “working remotely”

sec 
Informazioni che escono fuori dal perimetro dell’organizzazione, utenti che entrano a dispetto della loro localizzazione territoriale, tanti i vantaggi per il lavoro, ma sono necessari provvedimenti a tutela dell’azienda

Nel 1988, quando ero all’Ufficio Informatica del Comando Generale, andavo orgoglioso di potermi collegare alla mia scrivania ovunque mi trovassi. Consultavo il mio disco, stampavo sulla laser della segreteria, utilizzavo le applicazioni più diverse: tutto trovandomi chissà dove. Siccome ho sempre fatto cose appassionanti, non ho mai parlato di telelavoro, ma – al più – di “teledivertimento”.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Col passare del tempo, lavorare da remoto (casa o spiaggia poco importa) è diventato un sistema consueto: c’è chi ne ha scoperto la comodità, chi invece non ha tardato a riconoscerne l’economicità. In pratica una sorta di fiaba, dove tutti vivono felici e contenti.

Lontani dall’atmosfera da Mulino Bianco, se si guarda bene l’orizzonte ci si accorge che è opportuno mettere a fuoco, perché altrimenti si corre il rischio di perdere qualche dettaglio.

Ai miei tempi (guarda cosa mi tocca scrivere) si trattava di uno dei non eccezionali casi isolati, le cui attività erano ragionevolmente monitorabili. Oggi, invece, certe dinamiche costituiscono la normalità del comportamento di un’ampia platea di utenti “mobili”. Nella generazione degli “ultraportable” o dei “wearable” computer, chiunque può fare cose che qualche anno fa avevano il sapore del fantascientifico. Nel frattempo – mentre si è plaudito all’inarrestabile progresso – poche sono state le riflessioni sulle possibili controindicazioni di questo scenario avvolto nello zucchero filato.

La connettività esasperata non è stata accompagnata – fatte le debite rarissime eccezioni – da un rigoroso approccio gestionale al cosiddetto “providing access”, ovvero alle complesse questioni di erogazione di servizi di accesso alle risorse informative.

Leggi anche:  CACTUS: attacco ransomware multi-fase coordinato

Se un dipendente pubblico si portasse il lavoro a casa, forse il ministro Brunetta sarebbe tentato di indicarlo, “albo signanda lapillo”, come un esempio di encomiabile stacanovismo. Il cittadino, probabilmente, plaudirebbe. Mi permetto di dissentire o al limite di commentare con un ritrito “adelante con juicio”.

La prassi odierna vuole che non ci sia nulla di strano nella condotta del dipendente che copia sul proprio laptop documentazione da utilizzare proficuamente quando è fuori ufficio, magari per rispettare una scadenza troppo importante per essere valicata. Altrettanto si può dire delle opportunità di accesso dall’esterno – magari via Internet – al sistema informatico aziendale.

Informazioni che escono fuori dal perimetro dell’organizzazione, utenti che entrano a dispetto della loro localizzazione territoriale: i limiti fisici sono abbattuti, con risparmio di tempo, spazio e denaro. Ma siamo sicuri che non ci sia un rovescio della medaglia? O, quanto meno, il lato B di questa straordinaria ouverture è stato preso in considerazione portando all’adozione dei necessari provvedimenti a tutela dell’azienda o dell’ente?

I problemi sono sostanzialmente due: la duplicabilità spontanea del patrimonio informativo e l’indebito accesso remoto da parte di misteriosi malintenzionati.

Nel primo caso – a fronte della copia individuale o della distribuzione sistematica – l’incubo fondamentale è quello della memorizzazione di documenti o altro materiale su supporti esterni: una semplice pendrive Usb può contenere quanto basta, in caso di smarrimento, per affondare business secolari. La sbadataggine può dar luogo alle situazioni più imprevedibili, ma l’infedeltà del personale può trovare in questo ambito una serie di spunti davvero inimmaginabili. Non c’è bisogno di “rubare” un dossier se questo, per accelerare il ciclo biologico della struttura di appartenenza, è condiviso. Non c’è alcuna necessità di farlo uscire di soppiatto dalle mura del castello imprenditoriale se è previsto il suo utilizzo presso la propria abitazione o in vacanza.

Leggi anche:  NIS 2, un’opportunità per le PMI italiane

Il secondo neo è l’apertura “geografica” dei sistemi. I rimedi ci sono, ma spesso sono i loro costi a spaventare il management e a far rinviare le discussioni in merito. Virtual private network, Network admission control, Unified access control: cominciamo a prenderci confidenza. Domani potrebbe essere troppo tardi.