Dalle trasferte al workation: quanto conta la sicurezza informatica?
Se modalità di lavoro “da remoto” come smart working, home working fino agli ultimi trend del workation assicurano più libertà, a farne le spese potrebbe essere la sicurezza informatica dei dati aziendali. Come difendersi dai cyber attack e perché la cybersecurity non può più essere ignorata, in un momento in cui a ripartire sono anche le trasferte di lavoro?
Smart working, ripresa dei viaggi di lavoro e nuovi trend come il workation portano l’attenzione su uno dei temi più importanti per il lavoro da remoto: la cybersecurity, ovvero tutte quelle azioni, strumenti e processi che permettono di proteggere le aziende dagli attacchi digitali, ma non solo. Anche i comportamenti delle persone, una semplice connessione wi-fi e altre situazioni apparentemente innocue potrebbero infatti mettere in pericolo i dati aziendali e in quest’ottica le imprese dovrebbero sempre più puntare, oltre che su adeguate strategie misure organizzative, anche su formazione e informazione delle proprie persone che si trovano a lavorare lontano dall’ufficio. Come?
La lezione della pandemia tra vecchi e nuovi rischi
“Paradossalmente, la fine del periodo più buio della pandemia e dell’epoca dello smart working diffuso potrebbe farci dimenticare in fretta che i rischi a cui eravamo esposti tutti in quel periodo sono ancora molto validi e ben presenti per chi, naturalmente, si vede costretto a lavorare spesso da remoto o comunque al di fuori dei confini aziendali” spiega Pierguido Iezzi, Co-founder and CEO di Swascan, innovativa azienda specializzata in cybersecurity.
Secondo Iezzi, non vanno dimenticate le best practice “d’oro” imparate proprio nel periodo in cui l’emergenza sanitaria ha costretto la maggior parte delle persone a lavorare da remoto, le stesse da adottare per chi si trova “on the road”.
Se strumenti come VPN e double authentication rimangono imprescindibili, Iezzi ricorda come vada sempre prestata massima attenzione all’utilizzo di reti non sicure come wi-fi pubblici o hot-spot. “Un’area di particolare interesse è sicuramente quella delle varie piattaforme di comunicazione e collaborazione, ora di norma in tutte le aziende. Anche prima dell’arrivo dell’ondata di COVID-19, l’organizzazione media utilizzava almeno 6 applicazioni di comunicazione e collaborazione. La prevalenza di queste applicazioni è ulteriormente esplosa e l’uso si è allargato dalla collaborazione interna per includere i clienti, partner e subappaltatori” continua Iezzi.
Si tratta di comportamenti potenzialmente pericolosi, per Iezzi: “un sogno che si avvera dalla prospettiva dei criminal hacker” per tre motivi:
• vengono utilizzate per condividere contenuti (ad es. messaggi testuali, file e indirizzi URL).
• sono percepiti come sicuri dagli utenti (a differenza delle email);
• solitamente non hanno sistemi di sicurezza interni o terzi (o se li hanno sono poco sviluppati);
• Per chi lavora da remoto è spesso possibile accedere tramite mobile o tablet (aumento del rischio smishing).
“Il risultato è che queste piattaforme si sono trasformate nei canali distributivi perfetti per file dannosi o URL, dato che i contenuti caricati si propagano direttamente a tutti i membri di un file condiviso. Questa situazione richiede un rinnovato e continuo impegno da parte delle organizzazioni nell’investire in formazione e awareness, in particolare per chi opera al di fuori dello “scudo” di sicurezza aziendale” precisa Iezzi.
I rischi per il singolo utente rimangono quindi principalmente quelli derivanti dal social engineering, sempre più sofisticato e in continua evoluzione: “non sono più solo le email di phishing a mettere a rischio l’integrità dei dati aziendali, ma oggi i Criminal Hacker utilizzano anche sms e piattaforme di instant messaging per prendere di mira le proprie vittime. A livello più macro, il 2022 ha visto l’esplosione del furto delle identità tramite le credenziali compromesse e degli zero-day, vulnerabilità per cui non si dispone di patch correttive al momento della scoperta” commenta Iezzi.
Cybercrime e scenari futuri: anticipare le minacce
In questo contesto, quali sono dunque gli scenari futuri della sicurezza informatica? “La velocità con cui si sta muovendo il cybercrime è sempre più vertiginosa. Questo impone un cambiamento dei postulati della sicurezza informatica. Fino a ora questa è stata intesa come security by default (ossia l’insieme di strategie necessarie per sviluppare e configurare di default un software al suo massimo livello di sicurezza, ndr) e security by design (ovvero, la progettazione di prodotti informatici con l’obiettivo di limitare le possibili vulnerabilità del sistema, ndr). La partita adesso però si gioca in maniera più predittiva e proattiva, le minacce vanno intercettate in anticipo attraverso sistemi di Threat Intelligence e combattute sul nascere. Si rende quindi indispensabile l’adozione di paradigmi di security di detection e security by reaction attraverso l’adozione di servizi di Security Operation Center e Incident Response Team” conclude Iezzi.
Data protection, centrale per le aziende
Se la tutela dei dati aziendali “fuori ufficio” è un aspetto sempre più centrale, quali sono le iniziative di data protection che le aziende devono prendere? Lavorare in rete da remoto con proprie postazioni informatiche, ossia con un device personale, ma anche nell’ipotesi di postazioni informatiche messe a disposizione dall’azienda, aumenta il livello di attenzione da dedicare a questi aspetti. “Accanto agli innumerevoli benefici, l’uso incontrollato di Internet può comportare una quantità notevole di insidie e problematiche che rientrano nell’ambito dei rischi informatici. Secondo le linee guida internazionali vi sono 5 principali tipologie di rischi informatici: rischi operativi, finanziari, organizzativi, strategici, di pianificazione aziendale e di reporting, spiega Federico Capello, responsabile della protezione dei dati di molte agenzie di viaggi e professionista della privacy accreditato con ANORC e FEDERPRIVACY al MISE, oltre che fondatore del portale Tutelaprivacy.com e manager nel campo del turismo d’affari per oltre 15 anni, che ha svolto anche il ruolo di direttore commerciale corporate di Airberlin. Ecco perché, spiega Capello, in questo contesto si rendono necessari, per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano dati personali, l’adozione di sistemi di gestione della sicurezza delle informazioni in linea sia dal GDPR (General Data protection Regulation 2016/679) che con gli standard internazionali ISO/IEC 27001 e 27701.
A mostrare questi fenomeni di “rischio crescente” sono anche i dati forniti dal ministero degli interni “dossier viminale” riferiti al periodo agosto 20 luglio 21, passando da 460 a 4.938. “Gli attacchi hacker sono quasi decuplicati nel periodo di pandemia. La vulnerabilità della rete desta preoccupazione perché coinvolge la tenuta e la capacità di resilienza di fronte ad attori ostili da parte di sistemi informatici pubblici e privati. In questo clima di incertezza e timori diffusi, ingegneria sociale e malware funzionano alla grande” conferma Capello. A trattare specificatamente gli ambiti della sicurezza del trattamento di dati personali è l’art. 32 del GDPR (General Data Protection Regulation), che dice: “Tenendo dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Le misure alle quali l’art.32 del GDPR fa riferimento sono, come specifica Capello: “la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico e una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
L’importanza della formazione
In tema di protezione dei dati personali, un’adeguata formazione e preparazione del personale rappresenta una misura di sicurezza essenziale. “Il GDPR, a tal proposito, ricorda che è compito del titolare di trattamento predisporre una serie di misure organizzative e iniziative formative per garantire un livello maggiore di protezione. Il datore di lavoro deve formare il proprio personale, con un occhio di riguardo nei confronti dei nuovi assunti, attraverso dei percorsi formativi fatti ad hoc” ricorda Capello.
Il dipendente in smart working è tenuto innanzitutto a:
• Rispettare sempre diligentemente le policy in materia di sicurezza dei trattamenti di dati fornite dalla propria azienda; a tal proposito l’azienda dovrà prevedere adeguati percorsi formativi per rendere adeguatamente edotto il proprio personale in smart working sulle misure di sicurezza da adottare per le connessioni attraverso reti non protette fuori ufficio.
• Prima di utilizzare strumentazioni personali (ad es. smartphone, pad o pc privati) per il trattamento dei dati aziendali, verificare sempre prima se vi sia un regolamento interno e specifiche misure di sicurezza da adottare prima di procedere all’uso di detti dispositivi (BYOD).
• Custodire sempre con massima diligenza e riservatezza la documentazione, i dati e le informazioni aziendali trattati, ricordando che il Titolare del trattamento è l’azienda/ente.
• Rispettare ogni previsione del Regolamento UE 679/2016 e del Dlgs. 196/2003 modificato dal Dlgs. n. 101/2018 in materia di privacy e protezione dei dati personali trattati.
È importante sensibilizzare i propri dipendenti che in ottemperanza alle disposizioni comunitarie e nazionali in materia di privacy e protezione dei dati, lo stesso è tenuto al rispetto dei principi di riservatezza sui dati e sulle informazioni trattate anche attraverso i sistemi informativi aziendali. Inoltre, nella qualità di “autorizzato” del trattamento dei dati personali, anche se la prestazione avviene “fuori sede”, il dipendente è tenuto ad osservare tutte le istruzioni e misure tecniche ed organizzative previste dal datore di lavoro (cd. titolare del trattamento)” spiega Capello.
È in questo contesto che l’adozione di misure organizzative e procedure interne sulla cybersecurity, oltre a linee guida sull’utilizzo degli strumenti informatici da parte del personale in smart working o trasferta, riveste un ruolo fondamentale.
“Le principali organizzazioni riscontrano nell’attività del Data protection Officer prescritte dall’art. 39 del GDPR, una figura che può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi, un valido supporto all’azienda per la messa a punto di politiche di protezione dei dati personali trattati dal personale presso le sedi aziendali oltre che in smart working e in viaggio.