Smart working: attivarlo in sicurezza per proteggere la tua azienda

Buongiorno a tutti.

Nelle ultime 5 settimane abbiamo deciso di sospendere il nostro piano editoriale: fin dalla conclusione del T-Con ovviamente avevamo articolato una serie di uscite sul nostro blog e sul canale YouTube a supporto di tutti i temi che erano stati trattati durante l’evento.

Ci è sembrato opportuno però fermarci un attimo e riflettere su ciò che avrebbe giovato maggiormente alle aziende che ci ascoltano.

Dopo lunghe discussioni siamo arrivati alla conclusione che non possiamo mai smettere di parlare di sicurezza informatica, men che meno ora, in questo nuovo mondo in cui ci troviamo a lavorare da alcune settimane.

Lasciamo perdere i dettagli medici e scientifici per un secondo: noi non siamo dottori e non azzardiamo alcun giudizio o presa di posizione nei confronti delle misure stabilite dal Governo.

Quello su cui però possiamo dare il nostro contributo è la tutela del lavoro dei nostri clienti e dei loro processi produttivi.

Smart Working: perché non si può attivare dalla sera alla mattina

In questi giorni si parla di smart working come se fosse una cosa fattibile in pochi minuti.

Ci è capitato di sentire frasi come “In azienda ci fanno fare lo smart working per una settimana” e, dal nostro punto di vista, occorre riflettere su questa decisione.

Lo smart working non si fa. Lo smart working si è.

Un’azienda che non ha implementato misure di sicurezza adatte ad accogliere il lavoro in mobilità non può permettersi dalla sera alla mattina di far lavorare i propri dipendenti da casa.

Questa è una verità oggettiva, che noi del settore non potremmo mai enfatizzare abbastanza.

La motivazione di questa nostra presa di posizione è una: non c’è sicurezza informatica nel lavoro remoto non regolamentato.

Andiamo per ordine.

I dati aziendali rischiano grosso con il lavoro da remoto, ecco come evitare rischi

Prima di tutto chiariamo che, far accedere ai sistemi aziendali tramite VPN, per quanto garantisca una certa sicurezza, non è smart working. È lavoro da remoto. È un cerotto: serve ad arginare un problema nell’immediato ma non garantisce il risultato.

Secondo punto: Quali device utilizzano i miei collaboratori per lavorare da remoto? 9 volte su 10 il proprio computer personale.

Problema: posso essere certo che non venano salvati e copiati dati in locale sul pc in questione? Posso garantire che i miei dati non giacciano sullo stesso pc che il mio collaboratore usa privatamente o per far giocare i propri figli (perché, diciamocelo… con le scuole chiuse i genitori sono anche disposti a tutto pur di intrattenere i figli…). Cosa ne sarà di quei dati quando Mario o Maria torneranno al lavoro?

Andiamo avanti.

Mario o Maria lavorano da casa, con il pc portatile personale. Che tipo di connessione viene usata? E non ci riferiamo alla velocità di connessione, bensì alla sicurezza della connessione stessa. Ci sono filtri attivi alla navigazione? Il pc tra le mura domestiche è protetto come lo sarebbe in ufficio? Quasi sicuramente no.

Quando Mario o Maria torneranno in ufficio verrà concesso loro di usare la rete azienda come nulla fosse?

Tutte queste sono le problematiche che il vero smart working affronta e risolve. Perché smart working significa lavorare come se fossi in ufficio, ovunque io sia:

  1. Accesso ai dati in sicurezza;
  2. Protezione della rete aziendale contro gli attacchi;
  3. Utilizzo di strumenti cloud condivisi per evitare la fuoriuscita di dati dal perimetro aziendale virtuale.

Queste sono le misure tecniche da implementare per garantire continuità operativa sicura alle nostre aziende.

Sì alla VPN per lavorare da remoto, ma non basta!

Con queste parole non vogliamo in nessun modo scoraggiare dall’apertura delle VPN, ci mancherebbe. Ma desideriamo stressare il concetto di “se smart deve essere smart sia”. E la cosa più smart che un’azienda possa fare è rivedere i propri processi e la propria infrastruttura per assorbire i pericoli di una situazione come quella che ci stiamo trovando ad affrontare.

In questa emergenza non bisogna dimenticarsi che ci sono tanti soggetti pronti a trarre vantaggio da questa situazione colpendo le aziende più esposte ed insicure.

Così come le persone stanno rivedendo le loro abitudini, così devono fare le aziende: non ci sono solo “soggetti” infetti, ma anche device.

Ecco pochi consigli di facile implementazione:

  1. Installate o fate installare su tutti i pc utilizzati fuori dalla rete aziendale (personali e non) una soluzione EDR (Endpoint Detection and Response) ovvero un software che identifica in maniera proattiva le minacce conosciute e sconosciute, tenendo quindi monitorato lo stato di sicurezza dei pc (ecco un esempio se non avete già una soluzione di riferimento https://www.watchguard.com/it/wgrd-products/security-services/threat-detection-and-response);
  2. Inviate direttive chiare ai vostri collaboratori su ciò che si può o non si può fare quando si utilizza un pc personale per lavorare da casa;
  3. Definite chiare politiche di permessi: presi dall’emergenza non dimentichiamo che non tutti devono accedere a tutti i dati aziendali;
  4. È necessario che mentre i collaboratori lavorano remotamente, l’azienda non dimentichi il giorno in cui tutti torneranno alle loro postazioni. La rete aziendale va messa ORA in sicurezza, per limitare i danni – perdonate il termine – da contaminazione.

Un altro fattore fondamentale per raggiungere il vero smart working: la fiducia

C’è una cosa però che esula dalla tecnologia e che non va dimenticata quando si parla di smart working, e che vorremmo sottolineare.

Tutto parte dalla fiducia:

  • Dai collaboratori verso il management, che deve rispettare il momento di crisi che viviamo e capire che ci sono anche necessità umane da considerare. Se uno dei vostri collaboratori ha la necessità di occuparsi della propria famiglia e potrà dedicare solo le ore serali al lavoro, accettatelo. Permettete a chi ne ha bisogno di lavorare in maniera veramente SMART, ovvero per obiettivi e non per presenza giornaliera;
  • Del management verso i collaboratori, che istruiti a dovere penderanno sul serio le direttive di sicurezza. L’obiettivo è uno: tornare ad una parvenza di normalità. Solo proteggendo le nostre aziende avremo una chance in più di farlo;
  • Di tutti nella tecnologia. Cloud non vuol dire “perdita di controllo”. Controllo della navigazione non vuol dire limitazione della libertà personale e così via. La tecnologia se usata con criterio, può fare la differenza.

Il momento è delicato, usiamo la testa (e la tecnologia)

Questo è diverso da ciò che pubblichiamo di solito: non si concluderà con quella che in gergo si chiama Call to Action, ovvero l’invito a compiere un’azione che porti ad un risultato in termini di click, like ecc…

È un momento di riflessione da parte di chi ogni giorno aiuta le aziende a lavorare in sicurezza.

Nelle ultime settimane esperti di ogni calibro si sono esposti sui canali di comunicazione gettando una luce sul loro campo di esperienza: abbiamo voluto farlo anche noi. Perché di questo siamo esperti: aziende smart e sicure.

Siamo qui per aiutare chiunque ne abbia bisogno, ma non impiegheremo tempo e risorse a tirare l’acqua commerciale al nostro mulino.

Ciò che facciamo è dirvi: manteniamo alta la guardia e usiamo al meglio gli strumenti che abbiamo a disposizione.

#andratuttobene.

 

Vera Tucci
Vera Tucci
v.tucci@t-consulting.it

Co-fondatrice della T-Consulting, in equilibrio tra il rigore dei numeri e la creatività della comunicazione.Non potrei fare un backup se ne andasse della mia vita, ma scrivo di ciò che più conosco e mi appassiona: efficienza, innovazione, sviluppo aziendale, e parità di genere.