Smart Working: decalogo per la CyberSecurity

​I 10 consigli della nostra Divisione Digital Security​​

​Lo smart working ai tempi del Coronavirus rappresenta una grande opportunità per le aziende di difendere la continuità del loro business. Ci sono aspetti importanti da considerare nel momento in cui si apre la propria azienda allo smart working, per valutare implicazioni di sicurezza e minacce, che coinvolgono la sicurezza dei dispositivi, delle reti e dei dati.

Ecco dieci consigli dei nostri esperti per lavorare in smart working in tutta sicurezza:
  1. Assicurarsi che i pc ed i cellulari siano al sicuro
    La prima linea di difesa che le aziende devono mettere in campo riguarda la protezione dei propri asset: è necessario fornire consapevolezza sui comportamenti da adottare nella custodia dei dispositivi (mai lasciarli in auto, sul sedile in treno mentre si va in bagno, nella cassaforte degli hotel, etc…), oltre a meccanismi che consentano, nella malaugurata ipotesi di perdita di possesso dell’asset, di inibire la possibilità di accesso ai dati a chi dovesse entrarne in possesso (full disk encryption, remote wiping, etc…)

  2. Uso accorto delle password
    Una adeguata consapevolezza dei dipendenti in merito alle politiche più opportune sull’uso (e riuso) della password è obbligatoria, unita a presidi tecnici messe a punto dall’azienda per imporre un secondo (o un terzo se necessario) fattore di autenticazione

  3. Sistemi di protezione attivi (e aggiornati)
    Mentre nel caso di strumenti aziendali è (relativamente) semplice garantire che siano protetti con adeguati strumenti (antivirus, EDR, MDM, web filtering, etc…), nel caso di BYOD devono essere previste adeguate misure compensative per limitare il rischio. Queste possono essere viste dai dipendenti come una limitazione troppo spinta per i propri dispositivi personali, per cui spesso le aziende preferiscono fornire propri dispositivi per le attività di business critiche

  4. Best Practice nell’uso delle e-mail
    Le vulnerabilità legate ad un uso non consapevole delle e-mail non sono meno gravi quando un dipendente lavora da remoto. È essenziale che il dipendente che lavori da remoti mantenga le stesse attenzioni a tentativi di phishing / spear phising / scam di quando usa il pc in ufficio. Con tale obiettivo è auspicabile che la consapevolezza distribuita dalle aziende in merito preveda ad esempio scenari in cui è maggiormente probabile che il dipendente abbia un’attenzione ridotta (e sia quindi più vulnerabile ad attacchi di questo tipo). Nota: no, ordinare un bonifico chiesto con urgenza dal CFO mentre si cambia il pannolino al pupo non è una buona idea.

  5. Reti pubbliche
    L’uso delle reti wifi pubbliche può essere un veicolo che consente ad un malintenzionato di condurre attacchi ai dispositivi; diventa quindi necessario, oltre alla distribuzione della consapevolezza su quali siano le reti fidate e come riconoscere eventuali tentativi di camuffamento, anche introdurre delle politiche che evidenzino in modo chiaro quali siano le attività critiche di business alle quali i dipendenti non devono poter accedere quando sono connessi a reti pubbliche
  6. Computer pubblici
    I dipendenti devono essere adeguatamente educati sui rischi nei quali incorrono nell’utilizzare computer di cui non sanno nulla. Qualora sia obbligatorio usarne uno, deve essere noto al dipendente di non utilizzarlo per scambiare nessuna informazione sensibile, utilizzare sempre il private browsing, non salvare informazioni di login e pulire la history della navigazione e dei download prima di chiudere il browser

  7. Sicurezza fisica e spioni
    Non tutto riguarda rischi di natura prettamente tecnica. I dipendenti che lavorano remotamente, soprattutto quando si trovano in spazi pubblici, devono prestare attenzione a chi potrebbe osservare le loro azioni. L’uso di password di accesso ad esempio dovrebbe prevedere le medesime precauzioni che il dipendente usa quando inserisce il PIN mentre usa il proprio bancomat personale. Il rischio di essere spiati ed avere i propri dati rubati, non si limita infatti solo a questioni tecniche, ma anche al fattore umano, basti pensare alla possibiliotà che qualcuno scatti foto del display del dipendente mentre visualizza informazioni sensibili.

  8. Dispositivi rimovibili
    I dispositivi USB esterni sono un eccellente metodo per veicolare malware. Non permettere a terzi di collegare dispositivi USB al proprio PC, ad esempio per condividere una presentazione, se prima non si sono avute indicazioni in merito dal proprio IT

  9. Policy e monitoraggio
    Il perimetro di monitoraggio 24/7 di eventi malevoli se già in essere in azienda, può essere esteso anche ai lavoratori remoti: parlane col tuo fornitore di servizi

  10. Rischi accidentali in casa
    Come azienda hai messo in atto azioni per mettere in sicurezza l’accesso dei dipendenti remoti ai tuoi dati, ti sei assicurato che non esistano RDP esposti worlwide, hai fornito ad ogni dipendente pc e mobile con EDR e sistimi di wiping a bordo, garantito l’accesso alle VDI attraverso moderni protocolli sulle VPN, ma… hai pensato ai cuccioli (di uomo o di animale che siano) che zompettano sulla tastiera mentre il dipendente è andato a spegnere il gas e non ha bloccato la sessione (mentre stava inserendo il solito bonifico?)