Daniel Chromek lavora con ESET da circa 11 anni. Ha iniziato come consulente e oggi gestisce la sicurezza delle informazioni interne dell'intera azienda.
La pandemia di coronavirus ha rappresentato una delle più grandi sfide della sua carriera: in pochi giorni, Daniel e il suo team hanno supportato il passaggio di centinaia di dipendenti allo smart working.
Come hai affrontato il Covid-19 rispetto ai tuoi colleghi? Scoprilo e ricevi il nostro manuale gratuito
A febbraio, circa 800 dipendenti lavoravano ogni giorno presso gli uffici di ESET in Slovacchia. Quanti ce ne erani alla fine di Aprile?
Circa 20. Si tratta soprattutto di personale delle strutture, team IT e addetti alla reception. Il resto ha lavorato per lo più da casa.
Sembra che non abbiate avuto problemi nel passaggio allo smart working. Eravate preparati ai cambiamenti nel modo di lavorare?
Più o meno. È stato utile preparare le prime misure già dalla fine di gennaio, così come aggiornare il nostro piano di continuità aziendale per la pandemia influenzale in base alla situazione. Tutto si è svolto in 3 fasi: monitoraggio della situazione, passaggio a un uso limitato degli uffici e chiusura totale degli stessi. Il documento ci ha anche permesso di identificare i responsabili delle varie fasi: dalla raccolta di informazioni pertinenti sulla pandemia, alla distribuzione di dispositivi di protezione, fino alla comunicazione con i dipendenti.
C'è qualcosa che avete sottovalutato?
Il numero di dispositivi utilizzabili per il lavoro da remoto. Alcuni dipendenti hanno dovuto utilizzare i classici computer desktop con monitor e altri accessori. Occorreva crittografare tutti i dischi rigidi dei computer desktop e preparare i nuovi laptop rapidamente: è stato molto impegnativo. Inoltre, il nostro reparto di sviluppo iOS lavora in genere su workstation Mac e MacBook, che non sono facili da reperire. Ricordo che i responsabili IT sono andati in giro per negozi per acquistare ciò che serviva, mentre i team IT hanno preparato tutto il necessario in un lungo turno nel fine settimana.
Abbiamo anche avuto problemi nel garantire la connettività. Molti dei nostri sistemi sono interni, quindi non avevamo abbastanza licenze VPN da consentire ai dipendenti di connettersi ai sistemi da casa. Alcuni reparti non erano soliti lavorare da remoto, pertanto abbiamo dovuto preparare profili VPN appositi in gran fretta.
Ci siete riusciti?
Alla fine, sì. Tuttavia, abbiamo avuto problemi con una parte dei nostri sistemi e della nostra infrastruttura cloud. Nelle prime settimane, i fornitori non sono stati in grado di gestire l'aumento di domanda dei clienti nuovi ed esistenti. Secondo uno dei nostri fornitori di servizi cloud, la domanda è aumentata del 600%. Ci hanno comunicato che le nostre esigenze erano state prese in considerazione, ma che in quel momento non era possibile soddisfarle. Nei primi giorni, abbiamo dovuto arrangiarci con servizi limitati.
Non avreste potuto fare qualcosa per evitare la carenza di licenze VPN?
In teoria, ma è complicato. In genere, solo circa il 20% dei nostri dipendenti usa gateway VPN e un ulteriore investimento in questo ambito sarebbero stato uno spreco. Tuttavia, all'improvviso, la situazione si è aggravata in modo rapido e l'80% dei nostri dipendenti necessitava di un accesso remoto.
La migliore strategia è analizzare quanto sia preparato un fornitore per situazioni del genere: chiedere cosa aspettarsi in caso di modifiche radicali al regime di lavoro e necessità di aumentare in modo drastico le licenze o i servizi. Questo vale non solo per i fornitori di VPN, ma anche per i servizi cloud o la connettività Internet.
Un'infrastruttura minimale può essere un vantaggio
In qualità di azienda internazionale, avete dovuto gestire la situazione in diversi mercati colpiti dalla pandemia. Il passaggio allo smart working è stato più agevole in alcune sedi rispetto alla Slovacchia?
Sì, soprattutto nelle nostre sedi non dotate di workstation integrate e che hanno avuto più tempo per prepararsi. La pandemia si è diffusa in modo graduale, quindi abbiamo tentato di avvisare i nostri colleghi in altri Paesi. Ad esempio, quando si è scoperto che le forniture mediche erano già andate esaurite in Europa, abbiamo informato i nostri colleghi in America Latina che hanno avuto due settimane in più per acquistare il necessario. Paradossalmente, la situazione è stata gestita al meglio dai nostri colleghi di Milano, appena trasferitisi nei nuovi uffici. Non avevano alcuna infrastruttura, solo gli spazi e il Wi-Fi e hanno potuto lavorare indipendentemente dagli spazi.
Il nostro piano di continuità per la pandemia influenzale si è rivelato molto incentrato sul territorio, il che ha causato problemi. Non ci aspettavano una diffusione su scala mondiale, né l'interruzione degli spostamenti fra i Paesi. Molte figure chiave, fra cui membri dei vertici dirigenziali slovacchi, erano in viaggio di lavoro negli Stati Uniti quando è iniziata la crisi. Questo ha reso molto complicato il viaggio di ritorno in patria e la domanda di biglietti aerei era altissima.
Le statistiche dimostrano che l'inizio della crisi ha coinciso con un aumento degli attacchi informatici. Lo avete rilevato anche voi?
Assolutamente. Gli hacker sfruttano il fatto che le persone sono preoccupate e lavorano da casa, dove manca la protezione della rete. I nostri dipendenti ricevono il doppio di e-mail di phishing, alcune delle quali sembrano personalizzate per ESET. I tempi in cui gli hacker volevano solo che il destinatario facesse clic su un collegamento appartengono al passato.
Come si presenta un'e-mail di phishing personalizzata?
Gli hacker usano nomi reali e contatti dei dipendenti. Ad esempio, la nostra nuova responsabile nazionale in Australia ha ricevuto un'e-mail falsa, che sembrava scritta dal CEO di ESET, in cui le si chiedeva di eseguire determinate attività. Ad aprile è arrivata un'altra e-mail pericolosa, in cui il mittente chiedeva a un dipendente i suoi dati bancari per l'accredito dello stipendio.
Ci siamo anche dedicati all'alfabetizzazione digitale dei dipendenti e alla formazione volta a evitare la ricerca di informazioni o il download di dati da fonti sospette. Oltre a informazioni non vere, le pagine false sul COVID-19 possono anche diffondere software dannoso per i computer. Inoltre, sono emersi nuovi tipi di truffa: ad esempio, e-shop che vendono forniture mediche che i clienti non riceveranno mai.
Riflettere e spiegare attentamente
In che modo si può comunicare ai dipendenti che devono riflettere attentamente quando sono online in modo da non mettere a repentaglio la sicurezza interna?
La consapevolezza è fondamentale. Informiamo regolarmente i dipendenti e verifichiamo anche il modo in cui rispondono a e-mail fraudolente. La maggior parte dei dipendenti conosce gli aspetti teorici e, se c'è abbastanza tempo e tranquillità, risponde in modo corretto. Tuttavia, non appena subentra la fretta o la pressione, i dipendenti possono dimenticare qualcosa e farsi ingannare da queste e-mail.
Abbiamo anche offerto un supporto psicologico non appena è iniziata la crisi del coronavirus. All'inizio di febbraio, abbiamo predisposto un indirizzo e-mail speciale al quale i dipendenti possono inviare le loro domande in forma anonima. In un primo momento, molti si sono fatti prendere dal panico e chiedevano, ad esempio, se i visitatori dal Giappone fossero infetti. Tuttavia, questo ha contribuito a spiegare le circostanze e la situazione si è calmata. Il nostro ufficio delle risorse umane è stato fondamentale e abbiamo cominciato a lavorare più a stretto contatto, dato che gli psicologi professionisti fanno parte del team.
Tuttavia, alcune persone preferirebbero restare completamente offline. Queste persone non si fidano delle app o dell'ambiente online (hanno paura, ad esempio, di essere spiate) e rifiutano di utilizzare gli strumenti digitali, necessari per lavorare da remoto. Come ci si approccia a questi timori?
Per fortuna, non è un problema per ESET. La paranoia verso l'ambiente online è un aspetto prevalentemente generazionale. I nostri dipendenti presentano un'età piuttosto bassa e sono abituati a comunicare online ogni giorno, con Skype o telefoni VOIP. Tuttavia, in una certa misura, occorre gestire con attenzione le applicazioni e usarle in una configurazione che non comprometta privacy o sicurezza interna. Anche in questo caso, la consapevolezza è fondamentale.
La fiducia nei confronti dell'ambiente online dipende anche dal modo in cui si dialoga con i dipendenti in merito alla digitalizzazione. Cerchiamo sempre di introdurre nuovi strumenti come soluzioni per semplificare la vita e aiutare l'azienda. Ogni dipendente richiede un trattamento diverso; ad esempio, dialoghiamo in modo diverso con i dipendenti appassionati di tecnologia rispetto a chi non ha tanta dimestichezza in questo ambito. La fiducia nelle applicazioni è il presupposto di una digitalizzazione di successo.
Oltre alle nuove licenze VPN, che cosa avete imparato dalla crisi?
Oggi, tutti lavoriamo in remoto, quindi valutiamo l'efficienza, miglioriamo l'assetto dei team e analizziamo le nuove soluzioni adottate. La pandemia ci ha spinti a passare alle firme elettroniche e a ripensare alle modalità di esecuzione dei test per le assunzioni. In passato, i candidati invitati negli uffici dovevano compilare questionari cartacei o completare determinate attività sui nostri computer. Oggi, abbiamo dovuto introdurre una soluzione online, che pensiamo di mantenere in futuro.
Come hanno reagito i dipendenti a tali innovazioni legate alla digitalizzazione?
Le hanno apprezzate. Molto prima dell'inizio della crisi, le ricerche interne dimostravano come i dipendenti auspicassero una maggiore flessibilità. Ci chiedevamo come soddisfare questa richiesta. La crisi ci ha consentito di orientarci verso un ambiente di lavoro più digitalizzato e di velocizzare le nostre decisioni. Abbiamo trovato soluzioni che ci aiuteranno a lungo termine. Oggi è cruciale imparare come lavorare da remoto poiché la flessibilità sarà imprescindibile per le nuove generazioni che si affacciano sul mercato. Abbiamo anche imparato che una volta tornati alla normalità, dovremo essere pronti a tornare in qualsiasi momento all'attuale sistema completamente da remoto. Non sappiamo se sarà necessario farlo.