PMI e Grandi imprese: le due velocità di Smart Working e Sicurezza

Grandi aziende, PMI e Smart Working

Nel 2020 è stato ufficialmente abbattuto il muro che separava il mondo del lavoro italiano dallo Smart Working, già ampiamente diffuso in altri paesi del Globo. Per quanto non si tratti di una novità, visto che il telelavoro è stato introdotto in Italia negli anni ’90 e che il Lavoro Agile è stato trattato nel 2017 anche a livello normativo, “Smart Working” è considerata a pieno titolo una delle parole dell’anno, quando si pensa al 2020.

Le grandi aziende, ma anche le PMI, si sono trovate nella condizione di dover garantire la massima sicurezza per tutti i lavoratori e il distanziamento sociale. Volenti o nolenti, quindi, nell’arco di un mese moltissimi lavoratori italiani sono passati al lavoro a distanza.

Smart Working 2020: ecco i dati

Secondo l’Osservatorio “Smart Working tra Remote Working e Smart Office” del Politecnico di Milano, prima dell’emergenza sanitaria lo Smart Working toccava il 58% delle grandi aziende, il 12% delle PMI e il 16% delle PA, per un totale di 570.000 lavoratori. A marzo 2020 i numeri sono saliti vertiginosamente, coinvolgendo il 97% delle grandi aziende, il 58% delle PMI e il 94% delle PA, per un totale di 6,58 milioni di lavoratori.

Anche se, per agevolare questo cambiamento è stata anche introdotta una procedura semplificata per l’adozione dello Smart Working (DPCM del 23 febbraio e dell’8 marzo 2020), l’ostacolo a questa modalità di lavoro non è stato solo di natura normativa e burocratica, ma proprio il fatto che, la maggior parte delle imprese all’epoca, non era tecnologicamente pronta a questo cambiamento repentino. 

La domanda che sorge spontanea, però, è se tutte queste imprese lo siano oggi.

È passato un anno dall’inizio dell’emergenza Covid-19 e ancora in molti arrancano su alcuni temi cruciali legati allo Smart Working. Le preoccupazioni e le difficoltà sono differenti a seconda delle realtà e vanno dal “controllo” del lavoro svolto dai collaboratori, alla disponibilità delle tecnologie adeguate a permettere a tutti di svolgere le proprie mansioni in modo efficace ed efficiente. 

A tutto ciò, poi, si aggiunge un ulteriore tema, tanto importante, quanto delicato: quello della sicurezza informatica e delle competenze digitali dei lavoratori.

Smart Working e sicurezza: 4 problemi che forse la tua Azienda non sa di avere.

Entriamo nel vivo dell’argomento sicurezza, chiedendoci cosa impatta in maniera concreta sull’operatività quotidiana di home-working e quali sono i rischi possibili.

Virus e trojan

Se i dipendenti lavorano da casa connettendosi alla rete aziendale, la diretta conseguenza è che la rete aziendale si “distribuisce” in una zona geografica più o meno estesa, con svariati punti di accesso: dal pc personale, ai dispositivi mobili. Non sempre tutti i dipendenti sono consapevoli dei rischi legati a phishing, truffe, virus o trojan contenuti in allegati apparentemente innocui. Purtroppo sono tutte attività che possono inficiare la sicurezza dei dispositivi e diffondersi rapidamente tra i contatti.

Accessi non autorizzati e Data Loss

Allontanarsi dal pc rimanendo loggati sui sistemi aziendali, password non sicure, password salvate, sistemi di autenticazione fragili: sono tutti esempi di come sia possibile esporre il sistema ad un potenziale pericolo. Nella situazione attuale dovuta alla pandemia, la maggior parte dello smartworking avviene tra le mura domestiche, luogo sicuramente più soggetto a distrazioni di un ufficio: bastano le mani inconsapevoli di un bambino sulla tastiera di un notebook abbandonato per cancellare involontariamente dati importanti. 

Se poi pensiamo alla forma più pura dello smart working, il lavoro agile dovrebbe potersi compiere potenzialmente da qualunque luogo. Immaginiamo come, un coworking affollato o la caffetteria in riva al mare che da sempre popola i sogni di ogni lavoratore remoto, possano esporre  i sistemi a potenziali rischi di accessi non autorizzati, anche solo a causa di una banale distrazione.

Data Leaks

Che sia intenzionale o per errore, la sottrazione dei dati è un problema serio da tenere in considerazione per garantire la sicurezza della propria azienda. Ne sono esempio backup di documenti, fogli Excel, database lasciati su un pc “di casa” dove non sempre le pratiche di sicurezza sono una priorità.

Tecnologie adeguate e sicurezza: cosa è cambiato in un anno.

La tecnologia è il principale fattore abilitante per lo Smart Working, soprattutto se si considera che, a distanza di un anno, non si dovrebbe più parlare di una risposta rapida ad un’emergenza, ma di una soluzione sempre più strutturata e sistematica per garantire maggior flessibilità ai lavoratori. Fin da subito è emerso che le grandi imprese, che avevano già introdotto progetti di Smart Working, hanno risposto in modo più rapido alle esigenze del momento, mentre chi non aveva avviato in precedenza alcun tipo di progetto ha dovuto incrementare in modo molto più sostanzioso la tecnologia a disposizione. 

Si parla di hardware, sistemi per l’accesso sicuro da remoto (ad esempio VPN) e strumenti per la collaborazione e la comunicazione. Un’ulteriore differenza riguarda la propensione all’investimento in tecnologie innovative, che è molto più alta nelle grandi imprese, soprattutto dove lo Smart Working si poteva già dire “rodato”. Oltretutto, sono soprattutto le realtà imprenditoriali di maggiori dimensioni e le PA ad aver erogato formazione ai dipendenti per un uso sempre più consapevole e corretto delle tecnologie messe a disposizione. Questo aspetto è particolarmente importante anche per favorire una maggior sicurezza informatica, spesso messa a rischio proprio da errori involontari o mancanza di conoscenze.

Lo stato attuale

Secondo i dati del Politecnico, saranno proprio le imprese che erano sprovviste di progetti di Smart Working prima del Covid-19 ad investire maggiormente nelle nuove tecnologie, soprattutto nella sicurezza informatica. Ecco quindi, un elenco di soluzioni e buone pratiche da verificare per garantire un buon livello di sicurezza a tutti i tuoi dipendenti che lavorano da casa.

Sistemi di virtualizzazione

Grazie alla virtualizzazione del Desktop i computer “di casa” divengono una sorta di mero terminale, uno strumento per accedere da remoto ai computer dell’ufficio, utilizzare applicazioni, eseguire comandi a distanza. Diversamente strutture VPN consentono di costruire una rete virtuale privata: una sorta di tunnel sicuro, dove i dati possono viaggiare senza il rischio di essere intercettati, dando la possibilità a chi è a casa di accedere alla rete aziendale, come se fosse una normale rete locale.

Autenticazione a due fattori

Non solo login e password, ma un’autenticazione a due fattori per l’accesso ai propri sistemi interni. Con questa tecnica verrà richiesto agli utenti, a valle della classica login, di inserire un ulteriore codice di verifica, tipicamente inviato via sms o con una notifica su dispositivi mobile. Esattamente come avviene nella maggior parte dei sistemi di home-banking, l’inserimento di un ulteriore device nel ciclo dell’autenticazione minimizza la possibilità di accessi non autorizzati.

Sistemi di crittografia

Crittografare significa rendere un messaggio “offuscato”, in modo da non essere comprensibile a persone non autorizzate a leggerlo. La messa in sicurezza di un’Azienda include la crittografia in diversi ambiti e a diversi livelli:

• può essere crittografata la connessione attraverso la quale avviene lo scambio dei dati (ne sono esempi la VPN di cui sopra, o il protocollo HTTPS che utilizziamo normalmente per scambiare informazioni sul web)

• possono essere crittografati dati e documenti, sia quando sono in transito, sia quando risiedono sui dispositivi del dipendenti.

• esistono, infine, sistemi di criptazione di interi dischi, gestiti a livello di sistema operativo. 

Crittografare i dati è importante perché mette al riparo da possibili operazioni di sniffing e assicura che, qualora un notebook venga perso o rubato, le informazioni strategiche o i dati sensibili dei clienti non cadano nelle mani sbagliate.

Remote wipe

Questa pratica consente di cancellare da remoto i dati che si trovano sui pc dei dipendenti. Può essere attivata come procedura di emergenza, in maniera simile a quella che i dispositivi smartphone mettono a disposizione quando il device viene rubato o perso; o come procedura sistematica, attivando delle regole di cancellazione regolare e automatica di dati locali sul pc dei dipendenti e dalle memorie cache, al termine della giornata lavorativa.

Auditing operazioni

Consiste nel logging (annotazione con data e ora) di ogni singola operazione compiuta dagli utenti sui sistemi. Questa pratica consente, da una parte, di ricostruire con precisione la storia di ogni evento sul sistema, dall’altra di intercettare e prevedere per tempo eventuali operazioni anomale.

Information Security: prima di tutto una questione di mentalità

Gli strumenti visti finora sono solo una parte della soluzione, completano il quadro due pilastri fondamentali: la sensibilizzazione del personale e la documentazione.

Awareness Campaign & Training

Non tutti i dipendenti e i collaboratori godono dello stesso grado di alfabetizzazione informatica e per questo, dando per scontata la buona fede di tutti i soggetti, spesso mettono in atto comportamenti rischiosi o poco sicuri, in maniera del tutto inconsapevole.

Un esempio banale? Quanti post-it con password avete visto sparsi per casa o per l’ufficio negli ultimi anni? E’ importante che ogni azienda organizzi delle campagne informative a tema security, indicando chiaramente quali sono le procedure corrette e quali da evitare.

Policies & SOPs

Sensibilizzare i dipendenti impone alle Aziende di darsi delle regole chiare, in linea con la normativa e con la realtà dell’azienda, documentate affinché ad ogni nuovo dipendente possa essere a conoscenza, fin dal primo giorno, di quali pratiche mettere in atto per raggiungere gli obiettivi di sicurezza.

Sicurezza, non solo per grandi aziende

Il più grande equivoco sull’information security è che siano attività adatte solo a aziende di grandi dimensioni o che, in generale, rimandabili per le PMI.

Un po’ come per la salute fisica, la sicurezza è qualcosa che deve essere preservata ogni giorno: la maggior parte delle volte in cui ci si rende conto di averne bisogno, è troppo tardi.

Da dove cominciare quindi?

Da un check up completo, ovvero un assessment: una verifica del livello sicurezza dell’infrastruttura IT da cui emergeranno tutte le vulnerabilità da sistemare.

Una volta determinato il perimetro di rischio, sarà facile studiare una consulenza ad-hoc e attivare delle azioni mirate e dimensionate alla tua realtà Aziendale.

Investire in sicurezza, non significa solo tutelare il futuro, significa investire nella tua peace of mind di oggi, avendo la consapevolezza e la tranquillità di tutte le pratiche adottate. Per questo è fondamentale affidarsi a realtà di esperienza: da più di vent’anni la sezione dedicata ai servizi infrastrutturali di Klan.IT studia soluzioni ad hoc per Aziende, fornendo consulenza su temi quali Sicurezza perimetrale e by design, Protezione end point, Security Assessment, Manutenzione, supporto e log analysis.

Pronto a dormire sonni tranquilli?