Smart Working e sicurezza: guida completa

Lavorare in smart working senza le dovute precauzioni mette a rischio la sicurezza dei dati aziendali, vediamo i possibili scenari su cui intervenire.
Lavorare in smart working senza le dovute precauzioni mette a rischio la sicurezza dei dati aziendali, vediamo i possibili scenari su cui intervenire.

Siamo stati catapultati nel “magico” mondo dello smart working senza essere preparati a questo cambio repentino. Molti di noi non erano preparati e probabilmente, a distanza di mesi, non lo siamo ancora soprattutto dal punto di vista della sicurezza smart working.

Al momento si sono delineati almeno due scenari da prendere in considerazione:

  • Scenario 1: il portatile aziendale viene connesso alla nostra rete domestica.
  • Scenario 2: il nostro portatile privato si collega ai servizi aziendali.

In entrambe queste situazioni esistono dei potenziali pericoli e, conseguentemente, dei comportamenti da mettere in pratica per minimizzare i rischi.

Lo scenario 1 sembra il più “sicuro” ma non è così, proprio perché il portatile configurato dalla nostra azienda, connettendosi alla nostra rete internet domestica viene reso vulnerabile a potenziali attacchi. Nella nostra rete privata, infatti, è molto improbabile vi sia un firewall, un sistema di controllo delle connessioni e meccanismi che prevengano attacchi come, ad esempio, un man-in-the-middle.

Inoltre, in base ad una recente indagine realizzata da Kaspersky, è emerso come il portatile aziendale venga utilizzato a casa anche per navigare su siti non attinenti il lavoro. Addirittura, in alcuni casi, i dipendenti usano il laptop aziendale anche per navigare su contenuti per adulti mettendo a rischio la sicurezza smart working. Un utilizzo che può mettere in serio pericolo l’integrità dei dati sul computer.

Nello scenario 2 invece siamo difronte a rischi ancora più elevati perché i portatili privati non hanno delle policy di sicurezza simili a quelle aziendali. Mancanza di un antivirus, di un firewall, mancata applicazione di patch di sicurezza per il sistema operativo e per i software, mancato controllo delle applicazioni che si installano, password di accesso troppo semplici sono solo alcune delle lacune che può avere un computer privato. Inoltre, in molti casi, non vi è neppure una separazione degli account che accedono al computer, rendendo la sicurezza dei dati a cui si ha accesso una vera e propria chimera.

Mettere in sicurezza il computer aziendale nella propria rete domestica

Esistono tutta una serie di possibili accorgimenti per avere più sicurezza smart working e mitigare i rischi derivanti dall’utilizzo del proprio laptop aziendale nella nostra rete domestica. Molti di essi riguardano soltanto i dispositivi che ci danno connessione ad Internet perché, in linea di massima, le modifiche al sistema operativo e sul software che equipaggia un portatile aziendale sono inibite dagli amministratori di rete dell’azienda per cui si lavora.

Ecco, dunque, qualche consiglio pratico da mettere in campo:

    • Aggiornare il firmware del proprio modem-router all’ultima versione disponibile. Tutti i router più recenti hanno delle funzionalità di aggiornamento automatico oppure offrono delle interfacce web che consentono di caricare il firmware più recente.

router_password

    • Variare la password di accesso del proprio router. Se è sempre stata la stessa, ed è una password non particolarmente complessa, è opportuno modificarla con una robusta. Per crearne una sufficientemente complessa si può ricorrere al generatore di password offerto da LastPass.

generatore password sicura lastpass

  • Modificare la password di accesso al WiFi se ci si connette ad un modem router wireless. Anche in questo caso è opportuno scegliere una password lunga, non facilmente individuabile. È utile anche disabilitare il WPS, una funzionalità che spesso viene sfruttata per ottenere la password di accesso ad una rete wireless.
  • Usare il computer aziendale solo per motivi di lavoro. Sembra una banalità, ma moltissime persone utilizzano il proprio laptop aziendale indifferentemente, visitando anche siti potenzialmente pericolosi (siti pornografici, gioco online etc.) .
  • Connettersi alle risorse aziendali solo attraverso una VPN fornita dai propri responsabili IT, in questo modo si preserva la riservatezza delle comunicazioni tra il proprio portatile e i server di lavoro.
  • Non condividere il proprio username e password di accesso e le credenziali aziendali con nessun altro. Anche in casa è sempre possibile che qualcuno, volutamente o meno, acceda al nostro computer aziendale entrando in possesso di informazioni sensibili.
  • Evitare lo scaricamento e l’avvio di eseguibili, programmi portable e in generale di applicazioni che possano arrecare danni al sistema. Anche in presenza di policy di sicurezza impostate sul proprio laptop aziendale esistono exploit 0-Day o vulnerabilità note che possono essere sfruttate da un eseguibile.
  • Avvisare il proprio responsabile IT se si verificano problemi o eventi insoliti durante il lavoro da casa con un dispositivo aziendale.

Sicurezza smart working: utilizzo del computer personale

Molte aziende consentono da sempre l’accesso alle reti e ai servizi aziendali dai computer privati dei propri dipendenti o consulenti. In questo caso è verosimile pensare che i reparti IT delle aziende abbiano configurato adeguatamente i computer privati,anche adottando soluzioni di virtualizzazione per isolare l’ambiente aziendale da quello privato.

Tuttavia la velocità con cui è stato attuato il lockdown non ha consentito a tutte le imprese di attuare questi interventi e, in molti casi, laptop e tablet dei dipendenti sono diventati strumenti di lavoro dall’oggi al domani. Ecco perché è utile fornire alcuni consigli per chi stia lavorando in smart working, senza aver attuato delle operazioni di messa in sicurezza dei propri dispositivi.

    • I primi tre consigli visti per la messa in sicurezza del proprio laptop aziendale sono validi anche in questo caso: aggiornamento del firmware del nostro router, cambiamento della password di accesso al router e alla rete WiFi. Facendo questo rendiamo la vita più difficile ad eventuali attaccanti esterni che possano penetrare nella nostra rete domestica.
    • Il secondo passaggio da fare assolutamente è l’aggiornamento del sistema operativo che equipaggia i dispositivi che usiamo per lavorare in modo agile. Che si tratti di Windows, macOS, Linux, Android o iOS è sempre necessario avere un sistema operativo aggiornamento all’ultima versione disponibile o, se non è possibile, almeno con le ultime patch di sicurezza rilasciate. Usare un sistema operativo vulnerabile ci rende un facile bersaglio per eventuali malintenzionati.
    • Un terzo passaggio essenziale, che tuttavia viene spesso sottovalutato, è l’aggiornamento di tutti i software installati nel proprio sistema operativo. Sui sistemi Linux, e soprattutto sui sistemi mobile, l’aggiornamento dei software installati è centralizzato ed eseguibile con facilità. Paradossalmente i problemi maggiori sussistono su Windows e macOS dove l’utilizzo degli store non è diffuso e non vi sono strumenti di sistema per l’aggiornamento cumulativo di tutti i software installati. Su Windows esistono tuttavia dei programmi che si occupano proprio dell’aggiornamento dei programmi, uno dei migliori è Thor Free. Questo software si occupa di monitorare tutti i software che abbiamo installato e di effettuare aggiornamenti quando vi siano nuove versioni disponibili.

thor-free-software-updater-dashboard

    • Proteggere le proprie navigazioni con un personal firewall che possa monitorare il traffico in entrata e in uscita. I personal firewall sono diffusi quasi esclusivamente su Windows e hanno interfacce grafiche user friendly. Ne esistono moltissimi gratuiti per i sistemi Microsoft, come ZoneAlarm e Comodo.
    • Installare un antivirus e aggiornarlo quotidianamente. Un antivirus è utile soprattutto su Windows, per il quale ne esistono a decine, ma anche su Linux, macOS e Android vi sono dei software antivirus che contribuiscono a rendere più sicuro il nostro sistema.
    • Attivare un sistema di content filtering che protegga le nostre navigazioni da possibili siti pericolosi contenenti malware o phishing. Una delle soluzioni più semplici in tal senso è l’adozione dei DNS di OpenDNS che consentono un controllo efficace dei siti visitati e impediscono l’accesso a quelli considerati pericolosi.

opendns

    • Utilizzare dei sistemi che consentano di variare le password usate rendendole univoche per ogni servizio e sufficientemente robuste. Tra i migliori online troviamo LastPass e 1Password oppure la soluzione open source Bitwarden.
    • Effettuare periodicamente dei backup dei propri dati, soprattutto di quelli legati al proprio lavoro. Esistono moltissimi sistemi di backup in cloud, i più noti e diffusi sono Google Drive, Dropbox, OneDrive e pCloud. In alternativa è sempre possibile fare dei backup su pendrive e drive USB esterni.
    • Criptare i dati importanti su disco rigido. Senza ricorrere a soluzioni che criptano l’intero hard disk, esistono software multipiattaforma che consentono di rendere inaccessibili singoli file. Due tra migliori programmi su Windows sono Axcrypt e GnuPG.
    • Navigare utilizzando sempre connessioni sicure HTTPS. Criptare le connessioni http è molto semplice ricorrendo all’estensione HTTPS Everywhere, un’estensione installabile su Chrome, Firefox e Opera che consente di proteggere la nostra navigazione.

https everywhere

  • Moltissimi utenti hanno associato lo smart working a Zoom. Questo software di videoconferenze ha avuto un boom senza precedenti, surclassando i competitor. Sappiamo però quanto sia rischioso usare Zoom senza applicare i dovuti accorgimenti per rendere i meeting sicuri. Ne abbiamo parlato nella guida completa a Zoom a cui rimandiamo anche per impostare in modo sicuro questo software.
Link copiato negli appunti

Ti potrebbe interessare

10 05 2020
Link copiato negli appunti