Un numero sempre maggiore di persone svolge un lavoro da remoto e questo crea problematiche per i team IT e di sicurezza informatica. Secondo Gabriele Zanoni, EMEA Solutions Architect di FireEye, alcune di queste problematiche possono essere affrontate semplicemente apportando modifiche alle tecnologie e alle applicazioni utilizzate, ma richiederanno una maggior consapevolezza e un comportamento più attento alla sicurezza da parte dei lavoratori da remoto, che le organizzazioni dovranno quindi promuovere.
Questa è anche un’opportunità per avere migliori relazioni con i propri dipendenti. Coloro che non hanno familiarità con il lavoro da casa possono essere incerti sulle migliori pratiche da adottare per proteggere se stessi e le informazioni aziendali. In aggiunta, i professionisti IT e della sicurezza informatica potrebbero avere qualche preoccupazione in relazione all’improvvisa espansione del perimetro della rete aziendale.
È importante che il management e il team di gestione della sicurezza facciano il possibile per aiutare tutte le persone che non sono abituate a lavorare da casa a incrementare la loro protezione e, per estensione, a proteggere l’azienda.
Poche regole affinché il personale IT e di sicurezza informatica sia di aiuto
Comunicazione
La comunicazione è un primo e importante passo da compiere. Coinvolgerli nella conversazione e fornire loro la piena consapevolezza sui diversi argomenti. Il primo fattore che rende loro maggiormente consapevoli è sapere quale risorsa aziendale sia la più importante o la più preziosa e questo include ogni informazione sensibile, compresa la proprietà intellettuale, i documenti finanziari e le informazioni sui clienti. A seconda dell’azienda, questo elenco potrebbe anche essere più lungo. Più che le semplici informazioni, però, qualsiasi computer è una risorsa potenzialmente preziosa. Se un aggressore entra in un sistema senza trovare nulla, difficilmente ne uscirà. Se non altro, pc portatili e fissi diventeranno risorse informatiche per cryptomining e botnet.
Credenziali
Le credenziali sono un modo comune per gli attaccanti per avere accesso ai sistemi aziendali. Esistono diversi modi per ottenerle, tra cui il credential stuffing, ovvero il riutilizzo delle credenziali di altri servizi precedentemente compromessi per tentare di effettuare il login. Se un’organizzazione ha servizi aziendali critici come la posta elettronica o sistemi di gestione di risorse condivise in cui l’accesso multi fattore è attualmente facoltativo, è necessario considerare la possibilità di renderlo obbligatorio e spiegare al personale perché l’autenticazione multi fattore può aumentare significativamente la difficoltà per gli attaccanti di accedere ai sistemi. Fintanto che i token sono consentiti come fattore aggiuntivo e non come messaggio SMS, la tecnologia multi fattore è un importante controllo di sicurezza, soprattutto per qualsiasi accesso da remoto ai dati e alle risorse aziendali. I messaggi SMS sono stati in passato dirottati dagli aggressori per bypassare i sistemi multi fattore, motivo per cui FireEye non lo raccomanda.
VPN (Virtual Private Networks)
Le risorse VPN sono state messe a dura prova in quanto la maggior parte delle aziende non è abituata ad avere così tante persone che lavorano da casa. Tuttavia molti lavoratori potrebbero non avere la necessità reale di utilizzare una VPN. Ad esempio, se utilizzano principalmente applicazioni e posta elettronica locali e native o basate sul web, potrebbero non aver bisogno di una VPN. È a questo punto che è utile avere una comprensione delle minacce. Finché i lavoratori svolgono esclusivamente funzioni aziendali e non navigano in siti web arbitrari, la maggior parte delle risorse aziendali basate sul web garantiscono di base la riservatezza, così come farà la posta elettronica ospitata sul cloud come Google Business Suite o Microsoft Office 365.
Anti malware
Possedere un anti malware è essenziale. Molte aziende stanno realizzando una forma di antivirus attraverso il proprio Mail Transfer Agent (MTA) e la posta elettronica è un vettore comune di attacco, ma questo non dovrebbe essere un motivo per rinunciare ad avere un anti malware sui sistemi desktop. Questo è particolarmente vero se i dipendenti utilizzano i propri dispositivi per accedere alle risorse aziendali che possono essere ospitate su un provider basato sul cloud. Tuttavia, l’anti malware non è perfetto: gli utenti devono proteggere se stessi e i loro sistemi utilizzando le comuni pratiche di igiene informatica. Le organizzazioni dovrebbero aiutare i dipendenti a comprendere che, anche se dispongono di software anti malware, non sono protetti totalmente. Essi hanno ancora bisogno di effettuare pratiche di safe computing, come ad esempio convalidare sempre gli allegati, i link ai siti web e le richieste di trasferimento di denaro facendo una telefonata. In caso di dubbio, i dipendenti dovrebbero sentirsi incoraggiati sempre a contattare l’help desk.
IT Shadow
L’IT Shadow è un problema per molte organizzazioni. Le risorse approvate dall’IT devono essere disponibili per i dipendenti che a loro volta devono sapere come usarle da casa. Questo metterà in difficoltà le persone che utilizzano risorse IT non autorizzate, come ad esempio i siti di file sharing. Le persone utilizzano sistemi di IT shadow spesso non sanno che esiste una risorsa approvata aziendalmente per soddisfare le loro esigenze o la evitano perché è troppo difficile accedervi. Le organizzazioni dovrebbero assicurarsi che tutte queste problematiche vengano affrontate e che lo IT shadow possa essere ridotto al minimo o eliminato.
Lavorare da casa può essere molto produttivo. Alcuni studi hanno dimostrato che i lavoratori da remoto sono più efficienti e, anche per questo motivo, non deve essere difficoltoso eseguire il proprio lavoro né deve generare un incremento del rischio per la sicurezza delle informazioni. Vi sono alcune questioni che il personale IT e di sicurezza informatica dovrebbe fare per aiutare i dipendenti a superare questo momento: in primo luogo assicurarsi sempre che il personale utilizzi la VPN fornita dall’azienda, ma anche che abbia una guida su quando è necessaria e quando può essere by-passata per ridurre la pressione sulle risorse aziendali.
Se le organizzazioni utilizzano un servizio come Office 365 o Google Business Suite, la posta elettronica è criptata senza la VPN e dovrebbe richiedere l’autenticazione multi fattore. Se tutto quello che viene utilizzato è la posta elettronica o altri servizi web criptati, una VPN potrebbe non essere necessaria. I dipendenti, inoltre, dovrebbero essere messi al corrente del perché è in atto un controllo di sicurezza, ad esempio anti malware, e quale minaccia questo strumento stia cercando di contrastare. Se viene utilizzato un repository controllato dall’azienda per aggiornare le firme, è necessario assicurarsi che i dipendenti capiscano come mantenere l’anti malware aggiornato, visto che gli attacchi di phishing sono in continuo aumento in questo momento.
È necessario che si eviti l’utilizzo di risorse IT shadow e assicurarsi che i dipendenti comprendano come utilizzare le risorse interne, controllate dalle aziende, e che l’utilizzo di tali risorse sia il più possibile semplice.
In conclusione, per Gabriele Zanoni: «Finché gli scenari sono perfettamente compresi da tutti, il personale IT e di sicurezza informatica può ridurre la pressione sull’infrastruttura VPN e continuare proteggere l’azienda. La sicurezza deve essere vista come uno strumento abilitante invece che un qualcosa che pone restrizioni».