La sicurezza nell'era del lavoro ibrido:
la tua organizzazione è pronta ad affrontare nuove sfide?

Fino al 2020, l'interazione diretta tra i dipendenti facilitava la risoluzione dei problemi da parte dei team IT e, in effetti, in genere, questo processo si basava su di essa. Se i dipendenti lavoravano fuori sede, l'infrastruttura consentiva ai dipendenti di accedere ai sistemi interni tramite VPN, e in genere, questo era rapido e sicuro. Quando è scoppiata la pandemia, le abitudini lavorative si sono completamente trasformate e con esse il panorama informatico. I dipartimenti hanno dovuto adattarsi all'improvviso a una serie di nuove sfide inaspettate in termini di sicurezza.

Da un punto di vista pratico, l'accesso alle risorse è diventato di colpo una sfida estremamente rilevante. Sebbene il lavoro ibrido e a distanza non sia un fenomeno nuovo, l'accesso VPN era destinato a un numero limitato di persone che lavoravano da casa e non era stato progettato per far fronte a tutti coloro che lavoravano fuori dall'ufficio. L'aumento improvviso e prolungato di utenti che avevano necessità di connettersi ha causato un eccesso di sottoscrizioni e ha messo a dura prova l'headend VPN.

Nel frattempo, la risoluzione dei problemi non poteva più essere effettuata di persona e questo ha generato difficoltà nel convalidare l'identità della persona con cui si comunicava. Ciò ha determinato un'impennata degli attacchi di social engineering, in cui i cybercriminali assumevano l'identità di fonti legittime. In effetti, nel report 2021 di Verizon, attacchi di questo tipo sono stati indicati come il più comune tipo di violazione dolosa.

Un altro problema riguardava la maggiore probabilità di shadow IT tra i lavoratori da remoto. Se metà dei dipendenti lavora da casa, diventa più difficile impedire loro di utilizzare i dispositivi e le applicazioni domestiche invece di quelli approvati dall'azienda, semplicemente per familiarità. I programmi BYOD (bring your own device) ufficiali in ufficio sono formalizzati e richiedono ai dipendenti di attenersi a specifiche condizioni di utilizzo. Tuttavia, è più difficile rispettare queste pratiche con i lavoratori da casa, che spesso percepiscono le politiche dell'ufficio come non applicabili all'ambiente domestico.

Queste preoccupazioni non sono destinate a scomparire. L'adozione improvvisa del lavoro da remoto si è evoluta in un quadro di lavoro ibrido permanente. Pertanto, è essenziale che anche i team IT si adattino, affrontando ogni nuovo ambiente di lavoro, sia separatamente sia nel complesso, per garantire una risposta flessibile e agile alla sicurezza.

Secondo una nostra recente ricerca, il 77% dei responsabili IT afferma che i dipendenti smettono di seguire le procedure di sicurezza quando sono fuori sede, anche se le organizzazioni applicano già una politica ufficiale di lavoro ibrido. Affinché i team IT abbiano il pieno controllo sulla sicurezza, è fondamentale definire politiche molto specifiche sul comportamento lavorativo al di fuori dell'ufficio, dalla sicurezza dei dispositivi al download di applicazioni, dalla connessione alle reti al modo in cui smaltire in sicurezza i documenti stampati con i distruggidocumenti: tutto questo non dovrebbe essere lasciato al giudizio dei dipendenti.

Poiché le ricerche dimostrano che i dipendenti possono non capire quali siano le regole da applicare e perché siano importanti, il modo migliore per farle rispettare è quello di organizzare webinar obbligatori che sottolineino la responsabilità che i dipendenti hanno quando lavorano da remoto. Indipendentemente dal fatto che abbiano o meno una formazione, i lavoratori sono comunque vulnerabili agli attacchi deliberati di tipo doloso. Per questo motivo, la tua azienda potrebbe considerare di investire in un'adeguata formazione sulla sicurezza per evitare che i dipendenti siano vittime di truffe come il phishing.

Gli spazi di co-working e di condivisione sono in aumento come alternativa flessibile e a basso costo agli spazi privati di proprietà. Tuttavia, è fondamentale prestare molta attenzione alle politiche di sicurezza e ai termini e condizioni quando si individua uno spazio di co-working, al di là dei costi e delle strutture. Molte organizzazioni possono ritenere che gli spazi di co-working siano responsabili della sicurezza all'interno dei loro locali, ma la realtà è che la sede potrebbe aver imposto nelle clausole scritte in caratteri piccoli di non essere responsabili.

Fai domande per assicurarti che gli spazi di co-working rispettino gli stessi livelli di sicurezza e le stesse aspettative delle politiche aziendali: com'è la loro sicurezza informatica? Chiunque può accedere in modo semplice? Quali sono i termini relativi alla perdita o alla violazione dei dati? Chi è considerato responsabile in quei casi? Inoltre, quali sono le policy di sicurezza relative alla stampa? Chiunque può avere accesso ai documenti?

È importante che i dipendenti comprendano le minacce alla sicurezza associate al lavoro da remoto. Il Wi-Fi condiviso nelle caffetterie, ad esempio, è accessibile da chiunque, quindi è essenziale che i dipendenti accedano ai documenti aziendali solo tramite VPN per mantenere la sicurezza. Inoltre, può essere facile per i lavoratori esporre fisicamente le informazioni ad altri, allontanandosi dal computer portatile per prendere un caffè o semplicemente stando seduti davanti a qualcuno su un treno. Se i tuoi dipendenti viaggiano per lavoro, i decision maker IT dovrebbero considerare almeno semplici correzioni, come le schermate per la privacy dei dispositivi.

Le organizzazioni devono, inoltre, comprendere che le persone non sono perfette: perdere un telefono aziendale o lasciare un laptop sul treno non è certamente raro. Tenendo presente questo, prendere precauzioni è una buona idea. Considera l'introduzione di BitLocker, prima che un utente possa accedere al sistema operativo, ai dischi rigidi crittografati e alla capacità di inviare un segnale al dispositivo mobile e di cancellarlo, per impedire a chiunque di accedere alle informazioni dell'azienda.

Le organizzazioni di tutto il mondo hanno dovuto introdurre il lavoro remoto e ibrido più rapidamente di quanto previsto. Di conseguenza, i team IT hanno dovuto lavorare duramente semplicemente per garantire che l'azienda potesse continuare a operare da remoto. Ora che le acque si stanno calmando, la sicurezza dovrebbe essere un obiettivo primario. Con così tante nuove potenziali fonti di minacce alla sicurezza in un ambiente di lavoro dislocato, tutte le organizzazioni trarrebbero vantaggio dalla revisione dei protocolli e delle politiche di sicurezza. In particolare, con tanti cambiamenti che influenzano la vita lavorativa dei dipendenti, è importante capire che questi ultimi potrebbero non essere pienamente consapevoli di come ciò potrebbe avere un impatto sulle pratiche di sicurezza o capire come il loro stesso comportamento debba cambiare. Grazie a queste conoscenze e a una formazione rigorosa dei dipendenti, la tua azienda può sfruttare al meglio il lavoro ibrido senza mettere a rischio la sicurezza.