Michele Colajanni, Direttore Scientifico dell’Open Program in Cyber Security Management di Bologna Business School, ha condiviso con la Community di BBS qualche consiglio per datori di lavoro e dipendenti al fine di lavorare in autonomia, salvaguardando la sicurezza dei dati e la riservatezza delle informazioni aziendali.
Tra le misure di emergenza previste dal Decreto, lo smart-working è stato adottato da aziende che fino a quel momento non contemplavano minimamente questa modalità.
“Date le premesse – commenta il docente – vedo nello smart-working la più grande opportunità di crescita della consapevolezza su quello che è il corretto scenario della sicurezza informatica. Finalmente, adesso e solo adesso, le aziende si stanno preoccupando della centralità del dipendente, dei suoi dispositivi, dei suoi comportamenti e dei dati che tratta per garantire la sicurezza. Era così anche prima, ma non l’avevano compreso a sufficienza.
Pertanto, ben venga lo smart-working generalizzato perché, anche quando si tornerà in presenza, sono fiducioso che le buone pratiche rimarranno. La resistenza al cambiamento vale anche nella riluttanza a tornare indietro. Ci sono vari elementi da tener presente e se il ricettario che segue sembrerà banale ai più è un buon segno.
‘Sono sicuro da casa perché accedo ai dati e ai servizi della mia azienda tramite VPN‘ è una frase errata che mi capita di ascoltare di frequente. La VPN è un protocollo di comunicazione cifrato che protegge la connessione dall’intercettazione di dati. Se accedete all’azienda da un computer infetto, non c’è VPN che protegga l’azienda; anzi, l’infezione arriva in azienda in modo cifrato e quindi ancor meno rilevabile. Quindi, il primo obiettivo dello smart worker è fare tutto il possibile perché il suo computer non si infetti.
Le aziende più strutturate forniscono un loro computer ai propri dipendenti con il software necessario già installato senza i diritti di amministratore di sistema. Tuttavia, anche se il computer è personale, lo strumento per lavorare in smart-working deve essere usato solo per lavorare, non ceduto ad altri e tanto meno utilizzato per scaricare e installare applicazioni, giochi e riproduttori video. È necessario comprare un altro laptop per queste attività; il costo è accessibile e l’investimento ha un ritorno evidente.
Va anche considerato che il computer non è un elettrodomestico, ma uno strumento che cresce con voi e come tale va curato. Tutte le applicazioni vanno aggiornate e quelle non indispensabili eliminate con una certa periodicità; ci sono tanti prodotti di pulizia, anche se va sempre posta molta attenzione a cosa si installa.
Senza dubbio, è necessario utilizzare anche qualche tecnologia di difesa. In primis, vanno cambiate la password di default di tutti i dispositivi, a partire dal modem per il WiFi. Va scelto e installato un buon antivirus insieme a un personal firewall in quanto, a casa, non si è protetti da quello aziendale. Per consentire un vero smart-working o anche solo l’attuale remote-working, l’azienda deve attivare un servizio, interno o esternalizzato, che sia in grado di rispondere alle diverse esigenze tecnologiche e ai probabili malfunzionamenti che sperimenteranno i dipendenti. Infine, ci sono gli elementi più complessi per migliorare la sicurezza e garantire l’uso di computer non infetti per lo smart-working: i comportamenti umani.
L’elenco è lungo, ma molte buone pratiche non cambiano se il dipendente si trova o meno in azienda: non divulgare informazioni all’esterno, non condividere password, non accettare contatti ‘social’ da chi non si conosce di persona, effettuare il salvataggio dei propri dati. Se si utilizzano sistemi di backup differenziali o incrementali, non è scorretto effettuarli alla fine di ogni giornata; in ogni caso, mai superare la settimana. Riguardo alla posta elettronica, meraviglioso strumento nato nel 1971, dovremmo porre tutte le attenzioni del caso, essendo insicuro by design. Eppure, la sua comodità lo rende il mezzo più adottato dai dipendenti e, di conseguenza, dagli attaccanti.
Nonostante i server siano stati integrati con ottime tecnologie di antivirus, antiphishing e antispam, la vera difesa risiede nell’utilizzatore. Nessun problema se la mail non contiene link né allegati. Altrimenti, va posta molta attenzione prima del click, anche se la mail arriva, apparentemente, da una persona conosciuta”.
La sicurezza dei dati e la relativa gestione rappresentano un fattore essenziale per ogni organizzazione, ancor di più in un periodo di crisi come quello odierno. L’Open Program in Cyber Security Management di BBS fa fronte alle nuove vulnerabilità che nessuna impresa e organizzazione può permettersi.
Autore: Michele Colajanni