Dopo quasi tre anni dalla pandemia, abbiamo assistito ad un cambio di rotta nel modo di lavorare e studiare: sono nati – si sono diffusi – termini come remote working, smart working, lavoro ibrido…
Questi cambiamenti hanno fatto sì che nascesse una crescente necessità di integrare nelle aziende la possibilità di lavorare da remoto, per consulenti, impiegati e dirigenti e visto l’aumento delle nuove minacce e attacchi portati al tessuto economico sfruttando lo smart working, questo articolo vuole essere una piccola guida per implementare nel modo più corretto e sicuro possibile questo nuovo metodo di lavoro.
I primi saranno gli ultimi
Molti dirigenti credono che le misure di protezione da applicare a situazioni di telelavoro vadano considerate seriamente solo nel caso i collaboratori in questione gestiscano o abbiano i privilegi per accedere a dati importanti o sensibili, o nel caso il lavoratore da remoto sia esso stesso un dirigente.
Questo concetto è da sfatare: in primis, perché un eventuale attaccante potrebbe utilizzare il sistema informatico di un collaboratore con una posizione aziendale più bassa per entrare nei sistemi aziendali da dove, attraverso tecniche di privilege escalation, guadagnare permessi via via maggiori fino a raggiungere il cuore dei sistemi aziendali, i dati.
Ogni collaboratore, quindi, qualunque sia la sua posizione, è parte integrante di una catena di sicurezza la cui violazione si ripercuoterebbe in tutta l’azienda e molto probabilmente ad ogni livello.
L’altro fattore da tenere in considerazione è il tempo e le risorse impiegate per l’attacco che aumentano notevolmente attaccando un collaboratore più preparato rispetto ad uno meno preparato e protetto, per cui, visto che nessuno sferrerebbe un attacco per la via più difficile, gli attaccanti tenteranno sempre dai collaboratori con una posizione di minore responsabilità rispetto ad un dirigente il quale potrebbe utilizzare sistemi molto più protetti ed è adeguatamente formato sulle procedure di sicurezza aziendali. Questo è il secondo motivo per cui tutti i collaboratori, a qualsiasi livello, devono ricevere formazione adeguata e dispositivi protetti con cui lavorare.
Da grandi poteri derivano grandi responsabilità
Un approccio da prediligere è sicuramente quello PoLP (principio del privilegio minimo) molto utilizzato anche all’interno di organizzazioni militari al fine di limitare i danni derivanti dalla compromissione di un account o di una posizione.
Applicando questo principio allo smart working sarà possibile evitare che nel caso, ad esempio, di compromissione dell’account di un collaboratore, i danni ai sistemi aziendali o il data loss sia molto esteso.
Per applicare correttamente questo principio, ogni collaboratore (utente) dovrà disporre dei soli ruoli (e di conseguenza privilegi) per poter espletare il proprio lavoro: ad esempio, ad un utente che si occupa di contabilità non dovrebbe essere consentito l’accesso a dati strategici aziendali, sulle infrastrutture aziendali, sui partner, ecc.
In questo modo, qualora il suo account venisse compromesso, non sarebbe possibile per gli attaccanti accedere a tali dati, semplicemente perché (eccezioni a parte) accederebbero ai sistemi aziendali con il ruolo dell’utente a cui hanno rubato l’account e a cui sarebbero legati solo i privilegi di accesso ai dati contabili.
L’applicazione così permetterebbe di evitare la completa compromissione delle strutture aziendali, ma compartimentalizzando il danno, quest’ultimo risulterebbe sicuramente inferiore.
Difendi le mura (se sai dove sono)
Negli anni passati nell’ambito della sicurezza informatica si è andati avanti con la convinzione che sarebbe bastato difendere il perimetro digitale dell’azienda, proprio come si proteggerebbe con sistemi di allarme il confine della propria abitazione.
Negli ultimi anni questo risulta praticamente impossibile: il perimetro aziendale infatti non è più facilmente delineabile (o non lo è affatto) grazie all’avvento dei servizi cloud e dello smart working, che rendono impossibile tracciare in modo netto un anello di protezione attorno all’azienda.
La considerazione su questo punto è pertanto quella di proteggere la propria rete aziendale utilizzando uno dei numerosi servizi di endpoint security specifici per il cloud magari con funzionalità EDR che permettono di ricostruire, tra le altre cose, il percorso effettuato dalla minaccia seguendone le tracce nei sistemi aziendali.
Inoltre, sarebbe bene che la suite di protezione scelta sia di tipo gestito, in modo da poter gestire i problemi di sicurezza sui computer remoti (ad esempio lanciando scansioni, bloccando software o aggiungendo regole firewall) da un’unica postazione dedicata da chi si occuperà della sicurezza aziendale.
Prenditi cura del cavallo e vincerai la guerra
I dispositivi con i quale il team lavora, sia da remoto che in azienda, possono essere la chiave che fa la differenza in termini di sicurezza e conformità aziendale.
Esistono molte pratiche per gestire l’utilizzo dei dispositivi affidati ai collaboratori come, ad esempio, BYOD (bring your own device): ogni persona può avere con sé ed utilizzare i suoi dispositivi per lavorare.
Alcune di queste pratiche vengono consigliate più di altre, è ovviamente molto più facile gestire i device proprietari dell’azienda rispetto a quelli di proprietà dei collaboratori, ma ciononostante è bene anche in questo caso seguire delle basilari regole di onboarding dei nuovi dispositivi (anche qualora siano di proprietà del collaboratore).
Nella procedura di onboarding il personale addetto dovrebbe controllare che sul dispositivo non siano presenti malware di alcun tipo né software che potrebbero compromettere la sicurezza aziendale, andrebbe poi installata e configurata la suite di protezione aziendale e il software che il collaboratore deve utilizzare per lavorare, inoltre si dovrebbero configurare gli accessi al password manager aziendale per consentire al collaboratore di accedere agli account aziendali (senza conoscerne le password) ed eventuali app per l’autenticazione a due fattori.
Al termine del rapporto lavorativo con il collaboratore andrebbe poi tassativamente eseguita la procedura inversa che in modo opposto a quella sopra citata mira a rimuovere tutti gli account, gli accessi, gli applicativi e i dati aziendali sul dispositivo per poi restituirlo all’ex- collaboratore.
I fantasmi sono tra noi
Un enorme rischio per la sicurezza dello smart working è il cosiddetto Ghost Software ovvero il software non autorizzato che un collaboratore installa e utilizza per velocizzare o coadiuvare il suo lavoro.
Questo software, anche se installato in buona fede e allo scopo di aumentare la sua produttività dal collaboratore, non è stato analizzato e valutato dal team di sicurezza aziendale e potrebbe contenere script malevoli, backdoor o vulnerabilità.
Ecco perché una corretta formazione di tutto il team, che sia in smart working o dal vivo, su tali tematiche è fondamentale, unitamente ad una corretta procedura di onboarding che fornisca TUTTO il software di cui il collaboratore ha bisogno (in modo che non lo cercherà altrove).
Hai trovato questo articolo interessante?
Condividilo con i tuoi amici e colleghi programmatori!
Leggi tutti gli articoli: vai al blog.
