Riassicurazione
Famiglia di Prodotto
Famiglia di Prodotto
Sinistri
Risk Consulting
Risorse e Strumenti
A proposito di AXA XL
A proposito di AXA XL
Comunicati Stampa
Contattaci

Cambiare le modalità di lavoro

Con l'epidemia di coronavirus in corso, le indicazioni dei vari governi stanno cambiando rapidamente.

In molti Paesi, per la prima volta, si chiede anche agli individui sani di evitare le esposizioni al pubblico non necessarie, come ad esempio l’affollamento sui mezzi di trasporto, e anche sul posto di lavoro.

Di conseguenza, molte aziende in tutto il mondo stanno pianificando o implementando modelli operativi che prevedono molto più lavoro da remoto di quanto ci si fosse mai aspettato in condizioni normali. Per agevolare tutto questo, i team informatici e di gestione delle risorse stanno lavorando infaticabilmente sia livello di infrastrutture che organizzativo.

Ma nella foga di proseguire le attività, spesso si corre il rischio di non prestare la dovuta attenzione alla sicurezza.

In ogni circostanza, buone pratiche di sicurezza informatica aziendale devono rispondere alle seguenti domande:

  • La tecnologia e le infrastrutture impiegate sono sicure contro gli aggressori, sia all'esterno che all'interno dell'organizzazione?
  • I dipendenti dell'azienda, i collaboratori esterni e le terze parti interessate dispongono di istruzioni e direttive chiare su come svolgere il proprio lavoro in modo sicuro?
  • Tra le misure di sicurezza adottate ce n'è qualcuna che impedisce ai dipendenti di lavorare in modo efficiente?

Con un livello di sicurezza adeguato la vostra azienda sarà ben preparata a difendersi dalle minacce informatiche.

Se il livello di sicurezza è troppo basso, sarete vulnerabili. Se invece è eccessivo, i dipendenti si sentiranno soffocati e cercheranno di eluderla e, di conseguenza, l'azienda sarà comunque vulnerabile.

Consigli chiave per la sicurezza nella creazione delle funzionalità di lavoro da remoto

In quest'ottica, S-RM ha stilato un elenco di considerazioni fondamentali per la pianificazione e l'implementazione delle funzionalità di lavoro a distanza.

Mettere in sicurezza i dispositivi

Un aspetto fondamentale del lavoro da remoto è l'utilizzo dei dispositivi personali, quali computer portatili, smartphone e tablet. Al momento, molte aziende stanno fornendo dispositivi aggiuntivi ai dipendenti, per permettere loro di essere completamente operativi anche fuori dall'ufficio. Ma è bene assicurarsi di quanto segue:  disporre di una gestione delle risorse efficace; avere un quadro chiaro dei dispositivi che hanno accesso alla vostra rete e ai vostri dati, pianificare eventuali modifiche e bloccare o rimuovere dalla rete i dispositivi obsoleti prima che diventino un anello debole per la sicurezza.

Tutti i dispositivi aziendali, specialmente quelli utilizzati fuori dall'ufficio, dovrebbero essere criptati per proteggere i dati in caso di perdita o furto.

  • Per i dispositivi Windows utilizzare BitLocker o un'altra soluzione adeguata
  • Nei dispositivi Apple accertarsi che la crittografia sia attiva (di solito lo è)
  • Negli altri dispositivi mobili accertarsi che sia in funzione una crittografia adeguata

Se consentite ai dipendenti di utilizzare i propri dispositivi personali, verificate che i dati aziendali siano protetti adeguatamente. Le soluzioni per la gestione dei dispositivi mobili possono aiutarvi a mettere in sicurezza i dati su questi dispositivi, oppure potete limitare a monte i dati a cui i dipendenti possono accedere.

Non dimenticatevi dei dispositivi che sono ancora in ufficio! Con i dipendenti a casa, la sicurezza fisica in sede è sufficiente a proteggere i server, i desktop e gli altri componenti della rete dagli aggressori?

Nello spostare dispositivi, dipendenti e account utente non dimenticatevi degli altri aspetti della sicurezza quotidiana: password efficaci, account amministratore locale adeguati e sicuri e il controllo delle applicazioni e dei servizi della vostra rete, per citarne alcuni, sono aspetti più che mai importanti.

L'accesso alla rete deve essere semplice per gli utenti abilitati, ma impossibile (o almeno molto difficile) per chiunque altro.

Mettere in sicurezza le reti

Se gli endpoint e i server sono tutti ben protetti, è comunque importante accertarsi che possano comunicare tra loro! L'accesso alla rete deve essere semplice per gli utenti  abilitati , ma impossibile (o almeno molto difficile) per chiunque altro.

È bene quindi tenere conto di quanto segue:

  • Metodo di connessione. Client VPN ben configurati su tutti i dispositivi dei dipendenti consentono un accesso sicuro alla rete tramite un tunnel privato. Per utilizzi particolari sono disponibili altre soluzioni per l'accesso sicuro. Se devono accedere tramite internet, i dipendenti hanno la possibilità di connettersi a un firewall esterno specifico o a un servizio cloud ben gestito come Office 365? Nel configurare l'accesso da parte degli utenti, cercate di limitare il più possibile l'esposizione di altre aree della vostra rete a internet e alle sue numerose minacce.

     

  • Limitare gli accessi. È possibile configurare connessioni di vario tipo per renderle ancora più protette contro gli aggressori. Se usate un servizio cloud come Office 365 valutate, ove possibile, di limitare l'accesso solo a determinati dispositivi, a intervalli IP precisi o a particolari tipi di connessione. I firewall e altri servizi vi offriranno varie opzioni simili per gestire con cura le regole di accesso. Valutate di porre delle restrizioni anche all'interno della vostra stessa rete; evitare che certi tipi di connessione e alcuni account utente abbiano accesso a determinate aree ridurrà i rischi legati a dipendenti che si rivelano inaffidabili o a vulnerabilità impreviste.

     

  • Autenticazione forte. Il passo successivo per mettere in sicurezza tutti gli accessi è adottare politiche che prevedano l'utilizzo di password robuste e l'autenticazione a più fattori. Politiche simili sono un requisito per tutti i servizi, non soltanto per quelli concepiti per essere accessibili dal pubblico. Nella misura in cui risulti pratica per la vostra attività, sarebbe bene utilizzare l'autenticazione a più fattori. Non dimenticate che esistono varie modalità di autenticazione; benché l'utilizzo degli sms possa sembrare l'opzione meno impegnativa, se avete tempo di configurare una app per l'autenticazione la vostra azienda ne trarrà beneficio in termini di sicurezza, mentre l'autenticazione tramite dispositivo può risultare meno frustrante per i dipendenti.

     

  • Pensare a ogni dettaglio. Per mettere in sicurezza una rete occorre considerare tutte le modalità di accesso possibili. In che modo i vostri dipendenti accedono all'e-mail dai loro dispositivi mobili? I dipendenti hanno bisogno di connettersi alle tecnologie operative, ad esempio ai macchinari della fabbrica (ed è sicuro lasciarglielo fare)? Com'è configurato nella vostra rete l'accesso remoto ai desktop? Se non provvedete a mettere in sicurezza questi aspetti, creerete vulnerabilità; ma se non riuscite a semplificare queste operazioni, impedirete ai dipendenti di lavorare.

Mettere in sicurezza le connessioni dei dipendenti

Dalla vostra parte la rete sarà anche ben protetta, ma i dati provengono comunque dall'esterno. Dal momento che i dipendenti lavorano fuori dal vostro ambiente protetto, è loro compito assicurarsi di agire correttamente. Sta però a voi aiutarli, fornendo loro adeguata assistenza (come spiegato nel dettaglio di seguito) su temi quali:

  • Configurazione del wi-fi domestico. Nel configurare le reti domestiche spesso gli utenti comuni trascurano le norme di sicurezza di base. Con il supporto della direzione, potete aiutare i vostri dipendenti con dei semplici suggerimenti. Accorgimenti come cambiare il nome della rete e le credenziali di accesso e dell'amministratore sono fondamentali, e i dipendenti dovrebbero inoltre accertarsi che sia attiva un'adeguata crittografia di rete, che l'accesso remoto sia disattivato e che il software sia sempre aggiornato.

     

  • Accesso ad altre reti. Potreste valutare di fornire ai vostri dipendenti indicazioni circa l'uso o meno delle reti wi-fi pubbliche, sul fatto che i nomi delle reti possono essere falsificati o che sulle reti wi-fi pubbliche possono essere lanciati attacchi di tipo man in the middle. Molte delle linee guida attuali su come usare le reti wi-fi pubbliche per il lavoro sono molto simili, ma definire le vostre norme e istruzioni specifiche può aiutare i vostri dipendenti a comprendere meglio le buone pratiche. Non dimenticate di menzionare anche gli altri rischi che si corrono lavorando in luoghi pubblici, da quelli relativi alla connessione Bluetooth all'eventualità che qualcuno possa spiare da dietro spalle.

     

  • Canali di comunicazione. Assicuratevi che i dipendenti abbiano ben capito come devono comunicare con voi, con terzi e tra di loro. Chiarite che per le e-mail di lavoro si devono usare esclusivamente gli account di lavoro e definite quali sono i servizi di messaggistica da utilizzare (avete una soluzione specifica per la vostra azienda o usate WhatsApp?). Se non vi accertate che abbiano a disposizione canali di comunicazione ben definiti, presto i dipendenti cominceranno a scambiarsi su WhatsApp password o nominativi di clienti, con tutti i rischi connessi. Se invece offrite soluzioni definite, riuscirete a monitorare la situazione per proteggervi da minacce potenziali o da scambi di dati inopportuni, oltre che per altre finalità aziendali.

     

  • Attenzione al phishing relativo al coronavirus. Come è successo per altri eventi di portata globale, l'epidemia di COVID-19 rappresenta un'opportunità per i malintenzionati, dai semplici truffatori ai gruppi di hacker appoggiati dai governi. Privati e aziende in tutto il mondo sono ora presi di mira da campagne di phishing che sfruttano la paura del virus e la mancanza di informazioni affidabili sull'epidemia. Occorre quindi prestare particolare attenzione a qualsiasi comunicazione, link, allegato o richiesta di informazioni sul coronavirus. Informare i dipendenti di questo pericolo ridurrà le minacce per loro e per voi.

Comunicare con i dipendenti

I punti precedenti riguardano ambiti importanti su cui potete fornire indicazioni ai vostri dipendenti ma, in realtà, una comunicazione chiara ed efficace è fondamentale in qualsiasi ambito. Anche se disponete di un piano preciso e di un'infrastruttura sicura, senza informazioni chiare i dipendenti commetteranno errori oppure penseranno che non avete un piano e inizieranno a prendere l'iniziativa concependo misure potenzialmente pericolose o controproducenti.

Fate sì che i dipendenti ricevano informazioni chiare, se possibile con almeno una settimana di anticipo, a proposito dei dispositivi che possono usare, dei servizi a cui possono accedere e di come devono farlo. Se qualcosa cambia, teneteli aggiornati. Se alcuni dipendenti non dispongono dei permessi di cui hanno bisogno, è necessario che troviate una soluzione prima che lo facciano loro! Se i permessi di accesso non sono ancora stati predisposti, i dipendenti devono sapere per quando è prevista l'implementazione per potersi organizzare; devono inoltre conoscere le soluzioni che possono eventualmente adottare nell'attesa.

Le comunicazioni ai dipendenti sull'accesso remoto non sono di esclusiva pertinenza del personale tecnico e degli addetti alla sicurezza informatica, ma dovrebbero essere supervisionate dalla dirigenza. I team tecnici possono senz'altro fornire le soluzioni adeguate e l'assistenza necessaria ai dipendenti; tuttavia, tali informazioni vanno predisposte in modo efficace così da poter essere divulgate in modo semplice e chiaro, con le giuste modalità e tempistiche. È importante che la dirigenza dell'organizzazione sostenga esplicitamente le istruzioni e linee guida, affinché abbiano l'autorevolezza e la chiarezza necessarie per convincere i dipendenti ad attenervisi.

Per quanto è possibile, assicuratevi di fornire informazioni sufficienti anche a terzi, come ad esempio ai clienti che devono accedere alla vostra rete. Anche loro avranno bisogno di sapere come contattarvi, come accedere ai servizi e alle infrastrutture che li riguardano e cosa vi aspettate da loro per garantirne la sicurezza. Accertatevi che la vostra strategia e le vostre esigenze siano chiare, comunicate loro in maniera precisa le vostre richieste e, qualora le circostanze dovessero cambiare, valutate quando sarà opportuno aggiornarli.

Prepararsi al peggio

Tutti i professionisti della sicurezza informatica sanno che nessuno è mai completamente al sicuro dagli attacchi. Le circostanze attuali – la maggiore esposizione dovuta al lavoro a distanza unita alla confusione e alle strette scadenze connesse all'emergenza coronavirus – non fanno che accrescere i rischi.

Se avete già in essere strategie di risposta agli incidenti informatici e di gestione delle crisi e/o piani di risanamento aziendale, è importante riesaminarli tenendo in considerazione il nuovo ambiente operativo. Avete accesso a tutte le strumentazioni che dovrete verificare o reimpostare? I vostri dati continuano a essere salvati in un luogo sicuro? I vostri utenti possono ancora segnalare in modo sicuro il phishing o altri indicatori di incidenti informatici? Come farete a garantire la comunicazione tra i principali responsabili della gestione delle crisi se tutti i vostri computer portatili e cellulari vengono criptati da ransomware? Se non avete ancora testato il vostro piano, ora forse non è il momento adatto per farlo; ma, per lo meno, il personale addetto conosce bene il piano e sa come le attuali circostanze lo hanno modificato?

Se non disponete di un piano simile, è probabile che ora non abbiate il tempo di progettarlo, ma occorre almeno valutarne gli elementi fondamentali. Sapete dove sono custoditi i dati principali? Sapete quali sono i servizi fondamentali per la sopravvivenza della vostra azienda? Disponete di canali di comunicazione per il backup, indipendenti dalla vostra rete? Possedete i backup dei dati, anch'essi separati e aggiornati regolarmente?

E soprattutto, nelle attuali circostanze, di chi avete bisogno per far fronte a un'eventuale crisi? Chi altro deve essere informato? Come si coordineranno queste persone, e chi le sostituirà quando dovranno riposare?

Evolversi

Come osservato in precedenza, la situazione globale e le direttive dei governi stanno cambiando rapidamente. Con il passare del tempo, le aziende potrebbero avere più margine per mettere in atto misure aggiuntive e adattarsi meglio alla nuova situazione; oppure potranno verificarsi nuovi eventi che le costringeranno a prendere ulteriori provvedimenti. In ogni caso, tenete a mente quanto segue:

  • La sicurezza informatica deve essere parte integrante della vostra strategia aziendale e informatica, non un elemento aggiunto all'ultimo minuto quando non può più essere efficace o diventa soltanto un intralcio.
  • Non perdete mai di vista il valore dei vostri dati essenziali, dei beni e dei servizi fondamentali che hanno più bisogno di protezione.
  • Considerate sempre la vostra rete e la vostra organizzazione nel loro complesso: fate attenzione a non lasciarvi sfuggire lacune nelle vostre difese né legittime esigenze aziendali che state inavvertitamente bloccando.
  • Comunicate con i dipendenti: veicolate messaggi chiari e semplici, accertatevi che le informazioni che divulgate siano fondate e autorevoli e spiegate loro come devono comportarsi per svolgere il loro lavoro in modo efficiente.

Qui è possibile scaricare l’articolo sui rischi informatici.

John Coletti è Chief Underwriting Officer e Head of North America Cyber and Technology presso AXA XL, una divisione di AXA. È possibile contattarlo al seguente indirizzo: john.coletti@axaxl.com. Aaron Aanenson è direttore della sicurezza informatica presso S-RM. È possibile contattarlo al seguente indirizzo: a.aanenson@s-rminform.com.

Il presente articolo ha finalità informative e descrive in termini generali talune possibili iniziative in materia di sicurezza informatica. Pertanto tale articolo non costituisce pubblicità, né prestazione, offerta o promozione di attività assicurativa, né costituisce attività di intermediazione, consulenza o, più in generale, attività di distribuzione assicurativa.

  • Circa l'autore
Il tuo nome
Il tuo cognome
Seleziona il tuo paese
Indirizzo email
Invalid Captcha
 

More Articles