L’emergenza pandemica legata alla diffusione del Covid-19 ha senza dubbio accelerato lo sviluppo e l’adozione dello smart working all’interno delle aziende e della pubblica amministrazione. In questo modo, le organizzazioni hanno potuto salvaguardare la propria continuità operativa consentendo ai propri professionisti di lavorare a distanza.
Agli evidenti benefici di una soluzione di questo tipo però, si sono affiancati da subito anche i rischi di sicurezza informatica o di cybersecurity correlati ad una adozione così rapida e massiva dello smart working: in particolare, in alcuni casi si è osservata una carente gestione della sicurezza dei dati personali e aziendali, una maggiore esposizione agli attacchi informatici e l’inefficacia delle misure di sicurezza tradizionali messe in campo per fronteggiare tali rischi.
Inoltre la stessa tutela della privacy e il rispetto del nuovo GDPR rappresentano degli aspetti cruciali che nessuna organizzazione può permettersi di sottovalutare, per motivi sia etici che economici.
In un contesto come quello attuale in cui la digitalizzazione è un processo sempre più diffuso e richiesto, una organizzazione è chiamata con maggior insistenza rispetto al passato ad aggiornare in modo continuativo le proprie competenze di sicurezza informatica, sia per salvaguardare i propri asset che per rassicurare gli stakeholder.
I rischi per la sicurezza informatica al tempo dello smart working diffuso
Per comprendere appieno la natura del cambiamento che abbiamo vissuto nel mondo del lavoro sia pubblico che privato in seguito alla diffusione del Covid-19, è sufficiente citare un dato.
6.580.000
Gli smart workers nel nostro paese nel 2020, dopo una crescita esponenziale superiore al 1.000%.
Questo significa che numerose imprese prima del Covid-19 non erano smart working oriented e che hanno dovuto mettere in campo in tempi rapidissimi un sistema organizzativo e tecnologico in alcuni casi inedito.
Ricorrere allo smart working ha permesso e sta consentendo alle organizzazioni di salvaguardare la propria continuità operativa, incrementando i livelli di produttività. Restano però i rischi connessi ad una struttura di sicurezza informatica aziendale istituita o completata in poco tempo e in un contesto stressante di tipo emergenziale.
Secondo il MIT Sloan Management Review, in questa nuova dimensione lavorativa emergono diversi fattori chiave a cui porre attenzione in termini di cybersecurity:
Aumento degli attacchi informatici
Dall’inizio dell’emergenza pandemica, nel mondo sono cresciuti sensibilmente il numero e la qualità degli attacchi alla sicurezza informatica delle aziende e delle organizzazioni pubbliche, come testimoniato in diversi ambiti produttivi: da quello sanitario a quello finanziario e bancario. Un esempio su tutti è rappresentato da quanto accaduto all’Organizzazione Mondiale della Sanità.
Attacchi informatici di natura diversa
Rispetto al periodo che ha preceduto l’inizio dell’emergenza pandemica, gli attacchi alla sicurezza informatica si stanno evolvendo, adattandosi alle mutate condizioni lavorative. In particolare si è registrato un aumento dei cyberattacks diretti alle persone e alle organizzazioni sotto forma di malware.
Una forza lavoro “distratta”, sottoposta a maggiore stress
Nella maggior parte dei casi, gli attacchi informatici che hanno successo sono causati da un errore umano. Le preoccupazioni personali e sociali, che hanno interessato e continuano ad interessare quanti sono stati direttamente o indirettamente colpiti dall’emergenza pandemica, causano un innalzamento nei livelli di stress e burnout, favorendo la sottovalutazione di un rischio (il cyberattack) considerato erroneamente improbabile. Invece, è proprio in questi casi che i nostri dati personali e aziendali sono più a rischio.
Non bisogna però pensare che la sicurezza informatica sia un problema esclusivamente imputabile al singolo dipendente. Al contrario, è attraverso la realizzazione di una cultura organizzativa della sicurezza che è possibile creare le condizioni per una sicurezza aziendale più robusta e condivisa.
Una delle falle maggiori in ambito cybersecurity emersa in modo significativo nel periodo emergenziale, ha riguardato ad esempio l’utilizzo da parte dei dipendenti, stimolato dalle stesse imprese a cui appartengono, di dispositivi personali per connettersi alle attività aziendali da remoto. Questo fenomeno, che prende il nome di Bring Your Own Device, contribuisce ad acuire il rischio nel momento in cui i dispositivi personali non vengono dotati delle misure di sicurezza necessarie per fronteggiare un attacco informatico. Inoltre, proprio perché personali, tali tecnologie possono indirettamente legittimare l’adozione pratiche non compatibili con la policy aziendale.
In questo caso, però, è la stessa organizzazione che è chiamata a:
- garantire in tempi rapidi ai propri dipendenti dispositivi aziendali;
- sensibilizzare e formare i propri professionisti sul tema della sicurezza informatica, favorendo in questo modo un uso più responsabile della tecnologia.
Ma quali sono, in concreto, le maggiori minacce alla sicurezza informatica? Sulla base dei dati riguardanti gli attacchi informatici più pericolosi portati alle imprese nel 2020, è possibile stilare una classifica di riferimento:
Tecniche di ingegneria sociale
Hanno rappresentato un terzo delle violazioni che hanno avuto luogo nel 2020. Di queste, il 90% sono riconducili al phishing.
Ransomware
Hanno rappresentato il 22% di tutte le violazioni. Il Ransomware è un programma che richiede un pagamento per la restituzione dei dati infettati.
DDoS (Distributed Denial of Service)
Questo tipo di attacco ha avuto luogo solo nella prima metà del 2020 in quasi 5 milioni di casi, causando seri problemi al funzionamento di siti web e app, con costi esorbitanti per le imprese. E’ stato calcolato, in media, per ciascuna ora di malfunzionamento, un costo di 100 mila dollari ad organizzazione.
Software di terze parti
I più importanti retailer a livello globale sono connessi a risorse di terze parti. Solo negli Stati Uniti, il 23% di questi hanno registrato almeno una vulnerabilità critica.
Essendo un sistema interconnesso, una singola falla è in grado di causare conseguenze drammatiche a tutti i componenti del network direttamente o indirettamente collegati a quella vulnerabilità.
Cloud Computing
Il mercato del cloud computing è in crescita negli ultimi anni, in particolare nel 2020 con un incremento del 50% in tutti i settori produttivi a livello internazionale.
In questo scenario non sorprende, dunque, che rispetto al 2019 il numero delle violazioni informatiche sia cresciuto del 250%.
Smart Working e sicurezza informatica: le buone pratiche da seguire
I rischi per la sicurezza dei dati personali e aziendali sono, dunque, in aumento e richiedono alle aziende e alle organizzazioni pubbliche un’attenzione ancora maggiore rispetto al passato. Come abbiamo sottolineato, all’interno di una impresa le problematiche tecnologiche sono molto spesso correlate a limiti presenti nella specifica cultura organizzativa orientata alla cybersecurity.
Quanto più la seconda è deficitaria, quanto più elevate sono le possibilità di subire attacchi informatici capaci di violare il sistema di sicurezza interno. Invece, la predisposizione e l’orientamento all’utilizzo consapevole di tecnologie sempre più recenti ed aggiornate creano le condizioni per l’attuazione di misure efficaci per la gestione e la prevenzione dei rischi.
Partendo da questa premessa, è possibile individuare alcune buone pratiche che possono essere adottate per incrementare la sicurezza informatica in azienda. La cybersecurity non è nata con l’emergenza pandemica ma ora che lo smart working è una pratica così diffusa e la digitalizzazione dei processi significativamente aumentata, può raggiungere una fase di sviluppo più evoluta all’interno delle organizzazioni.
L’elenco di buone pratiche che abbiamo predisposto si basa sulle raccomandazioni fornite da vari soggetti istituzionali esperti sul tema come, ad esempio, l’Agenzia Europea per la Sicurezza delle Reti e dell’Informazione.
1. Implementare un approccio risk-based
Se è vero che i rischi per la sicurezza informatica presentano delle caratteristiche comuni e coinvolgono, in modo similare, aziende appartenenti a contesti produttivi anche molto diversi tra loro, è altrettanto importante ricordare che ogni organizzazione è peculiare.
Questo significa che è importante sviluppare un approccio specifico al rischio, identificando i propri asset più rilevanti, valutando e analizzando il proprio livello di sicurezza informatica, e adottando su queste basi le misure più idonee per la risoluzione dei problemi individuati e la prevenzione di quelli potenziali.
2. Accrescere la consapevolezza dei dipendenti
Come già sottolineato, i propri professionisti rappresentano le figure chiave per la sicurezza informatica aziendale. Per riuscire a limitare sottovalutazioni, negligenze ed errori individuali, un’organizzazione può sensibilizzare i dipendenti in merito ai rischi informatici più rilevanti (come ad esempio il phishing), mostrando loro le possibili conseguenze che una violazione sarebbe in grado di produrre.
Inoltre l’azienda può ricordare ai propri professionisti quanto ciascun dispositivo sia fondamentale nell’attuazione di misure di sicurezza efficaci e chiedere loro un feedback continuo sul sistema di cybersecurity messo in campo.
3. Policy di cybersecurity e verifica delle procedure
L’adozione e implementazione di una policy di sicurezza informatica si rivela cruciale nell’assicurare una efficace gestione e prevenzione dei rischi, in quanto fornisce una guida organizzata e condivisa per l’attuazione di misure di cybersecurity all’interno dell’organizzazione.
In questo modo, non solo è possibile favorire una migliore convergenza tra gli specialisti esperti nella protezione dei dati individuali e aziendali e gli altri dipendenti, ma si possono verificare il grado di aggiornamento di questi ultimi e l’idoneità delle procedure messe in campo.
La policy aziendale va implementata anche per definire, monitorare e valutare l’accesso da remoto ai contenuti aziendali da parte di stakeholder esterni (come, ad esempio, fornitori o partner).
4. Adozione e verifica della rete VPN
Una delle modalità più utili per salvaguardare la sicurezza dell’accesso ai dati aziendali è rappresentato dall’utilizzo della VPN (Virtual Private Network), la rete di telecomunicazioni privata che consente, attraverso un protocollo di trasmissione condiviso, di comunicare in modo sicuro grazie ad una connessione cifrata.
5. Utilizzo di dispositivi aziendali
Per quanto possibile va limitato il ricorso ad applicativi personali per accedere a dati e contenuti aziendali. E’ importante, invece, garantire la disponibilità di dispositivi aziendali che garantiscono maggiore protezione contro i data leaks e l’utilizzo di canali di comunicazione cifrati.
6. Autenticazione a più fattori
Uno dei sistemi più avanzati per la gestione dell’accesso a dispositivi e dati rilevanti per l’azienda è rappresentato dall’autenticazione a più fattori. La sua efficacia consiste nel creare diverse fasi di accesso prima di riuscire ad entrare nel sistema. In questo modo, anche se una password fosse rubata non sarebbe sufficiente per portare a termine la violazione informatica.
La biometrica costituisce una tecnica centrale nell’autenticazione a più fattori, più sicura anche del sistema integrato basato su password e sms, in quanto si basa sulla verifica dell’identità dell’utente tramite riconoscimento vocale e facciale, impronte digitali, e molto altro. In questo modo, a maggior ragione in un’attività di remote working, si può procedere ad una autenticazione sicura prima che l’utente abbia accesso ad informazioni o dati aziendali rilevanti.
7. Backup dei dati
Alla luce della crescita di attacchi di tipo ransomware che bloccano l’accesso ai dati aziendali infettati, il regolare backup si rivela una strategia efficace e vincente dal punto di vista strettamente tecnologico (disponibilità dei dati salvati) ed economico (l’azienda non è costretta a sottostare alle richieste economiche per poter di nuovo visualizzare i propri contenuti).
8. Gestire la sicurezza dell’Internet of Things (IoT)
In un sistema sempre più tecnologico e digitalizzato, ogni dispositivo (ad es. telecamere di sicurezza, sistemi di riscaldamento e così via) può essere un generatore e ricevitore di dati all’interno di un network, trasformandosi dunque in un nodo a rischio attacco.
Questo significa che anche una stampante può essere un ponte di accesso per violazioni esterne, consentendo – qualora fosse attaccata – di visualizzare i contenuti dei documenti stampati o scannerizzati.
9. Adottare il principio del privilegio minimo
Il principio del privilegio minimo chiama in causa l’adozione di misure di sicurezza che concedono ad un utente solo i permessi minimi di accesso necessari per poter svolgere il suo lavoro.
E’ una soluzione semplice ma efficace in quanto consente di mitigare uno dei rischi maggiori per la sicurezza informatica aziendale, vale a dire quelli interni causati da un accesso generalizzato, ma ingiustificato, a dati aziendali sensibili.
I rischi per la sicurezza informatica in azienda sono aumentati con l’inizio dell’emergenza pandemica, diventando in alcuni casi anche più sofisticati rispetto al passato. In questo senso, lo smart working, da risorsa cruciale per la continuità operativa, il benessere del professionista e la riorganizzazione più sostenibile dei luoghi di lavoro, rischia di trasformarsi in un ambiente e un processo lavorativo “debole” di fronte alle minacce informatiche.
Per evitare tale rischio, è senza dubbio auspicabile che le organizzazioni siano in grado di aggiornare le proprie competenze interne, sviluppando attraverso i propri processi e team aziendali una filosofia di cybersecurity davvero integrata e avanzata. In questo senso, è cruciale che la sicurezza informatica diventi un asset aziendale pregiato, le cui proprietà e finalità siano condivise, attraverso il Dipartimento IT, tra tutti i professionisti che operano nell’organizzazione.
Valutazione e gestione della sicurezza informatica in azienda
Contenuti correlati
CONTATTACI
Hai bisogno di assistenza nella gestione della
sicurezza informatica per la tua azienda?
CHIAMACI
Una nostra professionista è a disposizione per conoscere le tue necessità.