Il lavoro a distanza si sta consolidando sempre di più. Con i confini tra casa e lavoro che si fanno sempre più labili, molte persone hanno la necessità di accedere alle risorse lavorative non solo da qualsiasi luogo e a qualsiasi ora, ma anche da qualsiasi dispositivo, introducendo l’uso di apparecchiature personali per assolvere alle attività lavorative e accedere ai dati aziendali. D’altro canto, l’uso di dispositivi personali, sia in modo esclusivo che congiuntamente a quelli forniti dal datore di lavoro, comporta un aumento dei rischi per la sicurezza informatica, a maggior ragione se non è supportato da solide practice di sicurezza. Sebbene le preoccupazioni legate agli accordi BYOD (bring-your-own-device) non siano affatto nuove, l’utilizzo più consistente dei dispositivi personali per finalità lavorative ha dato nuova vita a difficili sfide che riguardano la protezione dei dati aziendali e ha reso necessaria una rivalutazione e un adeguamento delle policy esistenti per adattarle all’ambiente di lavoro in evoluzione.
Come possono quindi i dipendenti e le organizzazioni mitigare i rischi informatici associati all’utilizzo di dispositivi di proprietà ed evitare di mettere a rischio i dati aziendali? Sebbene non esista una soluzione unica per tutti, alcune misure possono contribuire a proteggere le aziende dai rischi.
Ridurre la superficie di attacco aziendale
L’utilizzo da parte dei dipendenti di dispositivi al di fuori della sfera di competenza dell’IT, soprattutto se non controllato, rappresenta una grave minaccia per i dati aziendali. In un’epoca in cui i malintenzionati sono alla costante ricerca di falle nelle barriere di protezione delle aziende, è necessario limitare il numero di questi potenziali punti di accesso. È quindi importante che le aziende facciano l’inventario di tutti i dispositivi che accedono alle loro reti e che stabiliscano standard di sicurezza e configurazioni che i dispositivi dei dipendenti devono rispettare per garantire un livello di protezione di base.
Le applicazioni o i software non autorizzati presenti sui dispositivi personali sono una fonte di rischio per l’integrità, la disponibilità e la riservatezza dei dati e dei sistemi aziendali. Per impedire l’accesso non regolamentato di terzi ai dati sensibili, le organizzazioni possono trarre vantaggio dalla creazione di una “barriera” tra le informazioni personali e quelle relative al lavoro presenti sui dispositivi e dall’utilizzo di applicazioni di controllo di blacklist (o whitelist) delle app. Esistono anche altri metodi per tenere sotto controllo i dispositivi di proprietà dei dipendenti attraverso l’aiuto di un software dedicato alla gestione dei dispositivi mobili.
Aggiornare il software e i sistemi operativi
L’importanza di installare gli aggiornamenti di sicurezza per correggere le vulnerabilità note non va sottovalutata, poiché non passa giorno senza che vengano scoperte nuove vulnerabilità. Assicurarsi che i dipendenti lavorino su dispositivi aggiornati è più facile quando questi utilizzano computer portatili e smartphone forniti dall’azienda e possono contare sul supporto del reparto IT per tenere sotto controllo e installare gli aggiornamenti software sulle macchine subito dopo il rilascio. Molte aziende si avvalgono di software di device management che aiutano non solo a installare gli aggiornamenti ma anche a rafforzarne la sicurezza. Se il compito di mantenere aggiornato il software sui dispositivi personali spetta ai dipendenti stessi, le aziende però possono supportarli, ricordando loro quali patch sono disponibili e fornendo loro guide su come applicare gli aggiornamenti e monitorare i progressi.
Stabilire una connessione sicura
Se un dipendente deve accedere alla rete dell’organizzazione dall’esterno, quest’ultima deve esserne consapevole. I lavoratori remoti possono utilizzare non solo le reti Wi-Fi di casa, ma anche le reti Wi-Fi pubbliche. In questi casi, una rete privata virtuale (VPN) correttamente configurata che consenta ai lavoratori di accedere alle risorse aziendali dall’esterno è un modo semplice per ridurre l’esposizione dell’organizzazione a punti deboli che potrebbero altrimenti essere sfruttati dai criminali informatici.
Un altro modo per consentire la connettività remota all’ambiente IT di un’organizzazione è il Remote Desktop Protocol (RDP). Quando gran parte della popolazione mondiale è passata allo smart working, il numero di connessioni RDP è aumentato notevolmente, così come gli attacchi contro gli endpoint RDP. In molti casi gli aggressori hanno trovato il modo di sfruttare impostazioni RDP mal configurate o password deboli per accedere alle reti aziendali. Un criminale informatico di successo può utilizzare questi varchi per sottrarre proprietà intellettuale, criptare e tenere in ostaggio tutti i file aziendali, ingannare un reparto contabile per fargli trasferire denaro o distruggere i backup dei dati dell’azienda.
Esistono però molti sistemi per proteggersi dagli attacchi RDP. L’accesso deve essere configurato correttamente, anche disabilitando l’RDP con accesso a Internet e richiedendo password forti e complesse per tutti gli account a cui si può accedere tramite RDP.
Proteggere i “gioielli della corona”
La memorizzazione di dati aziendali riservati su un dispositivo personale rappresenta chiaramente un rischio, soprattutto se il dispositivo viene smarrito o rubato, se non è protetto da password e se il suo disco rigido non è crittografato. Lo stesso vale se si lascia che qualcun altro usi il dispositivo. Anche se si tratta “solo” di un familiare, questa pratica può comunque portare alla compromissione dei dati dell’azienda, indipendentemente dal fatto che questi siano archiviati in locale o nel cloud.
Alcune semplici misure, come l’imposizione di una password forte, il blocco automatico e la sensibilizzazione dei dipendenti sulla necessità di impedire ad altri di utilizzare il dispositivo, contribuiranno a proteggere i dati dell’azienda da eventuali danni. Per limitare il rischio di accesso alle informazioni riservate di persone non autorizzate, le organizzazioni dovrebbero criptare i dati sensibili sia in transito che a riposo, implementare l’autenticazione a più fattori e proteggere le connessioni di rete.
Videoconferenze sicure
I servizi di videoconferenza hanno conosciuto un boom grazie alla pandemia, poiché tutte le riunioni di persona sono passate al virtuale. Le organizzazioni dovrebbero creare delle linee guida per l’utilizzo dei servizi di videoconferenza, come ad esempio il software da utilizzare e come proteggere la connessione. In particolare, è consigliabile utilizzare un software dotato di solide funzioni di sicurezza, tra cui la crittografia end-to-end e la protezione con password delle chiamate, per proteggere i dati riservati da occhi indiscreti. Ovviamente, il software di videoconferenza deve essere costantemente aggiornato, per garantire che qualsiasi falla del software venga colmata al più presto.
Software e persone
Non possiamo fare a meno di ricordare che la rinuncia a un software di sicurezza multilivello affidabile sui dispositivi che hanno accesso ai sistemi aziendali è una ricetta per il disastro. Un software di questo tipo, soprattutto se gestito dal team di sicurezza o IT dell’azienda, può far risparmiare a tutti molti grattacapi e, in ultima analisi, tempo e denaro. Può, inoltre, fornire protezione contro le minacce malware più recenti, proteggere i dati aziendali anche se il dispositivo viene smarrito e, infine, aiutare gli amministratori di sistema a mantenere i dispositivi conformi alle policy di sicurezza aziendali.
Assicurarsi che i dispositivi e i dati siano sottoposti a backup regolari e testati e fornire formazione sulla sicurezza al personale sono altri elementi da non sottovalutare: i controlli tecnici non sarebbero completi se i dipendenti non comprendessero i rischi derivanti dall’uso di dispositivi personali per lavoro.
Di Samuele Zaniboni, Senior Manager of Presales and Tech Engineer di ESET Italia
