Negli ultimi pezzi di questa mini-serie sul lavoro ibrido, abbiamo esplorato i potenziali rischi informatici posti dagli esseri umani e dal loro uso del cloud e di altri servizi. Ma che dire del pezzo chiave della tecnologia che collega questi due? I dispositivi portatili, come computer portatili, smartphone, tablet e chiavette, hanno sempre rappresentato un grande rischio per la sicurezza IT aziendale. Ma durante la pandemia questi dispositivi erano principalmente statici.
Mentre gli uffici riaprono e il lavoro ibrido diventa una realtà, i nuovi modelli di lavoro esporranno i datori di lavoro a una serie di rischi. Tuttavia, questa volta il numero di dipendenti che fanno la spola tra casa, spazi di lavoro condivisi, sedi dei clienti e l'ufficio significa un potenziale molto maggiore per i dispositivi e i dati di finire nelle mani sbagliate.
Un nuovo modo di lavorare
Oltre il 60% delle aziende spera di adottare il lavoro ibrido dopo l'allentamento delle restrizioni nel Regno Unito. La cifra è ancora più alta (64%) tra i leader aziendali globali. Tuttavia, mentre una miscela di lavoro in ufficio e a distanza si adatta alla maggior parte dei dipendenti, guidando sia la produttività che il benessere del personale, ci sono delle sfide. Al centro di queste si trova la vostra risorsa più importante e potenzialmente l'anello più debole dell'organizzazione nella catena della sicurezza: i suoi lavoratori.
Ciò che probabilmente emergerà quando le restrizioni saranno allentate e il polverone si poserà, è una maggiore fluidità nel modo e nel luogo di lavoro dei dipendenti. Oltre a dividere il tempo tra ufficio e casa, ci potrebbe essere l'opportunità di lavorare da spazi di lavoro condivisi, mentre le visite ai clienti e ai partner ricominceranno seriamente. Tutto questo significa una cosa: cambiamento. Questo è un potenziale problema quando si tratta di cybersicurezza, poiché gli esseri umani sono creature di routine. Uno dei modi migliori per insegnare pratiche più sicure è incoraggiare comportamenti automatici, ma questo diventa molto più difficile quando i dipendenti non hanno più un unico modello di lavoro.
I rischi per la sicurezza dei dispositivi del lavoro ibrido
Allo stesso tempo si porteranno dietro dispositivi mobili, si connetteranno in viaggio e potenzialmente trasporteranno anche documenti cartacei sensibili. In questo contesto, i principali rischi informatici possono essere definiti come:
- Dispositivi mobili smarriti o rubati: se non protetti con codici di accesso, crittografia forte o funzionalità di cancellazione remota, computer portatili, smartphone e tablet potrebbero esporre dati e risorse aziendali. Per esempio, l'organo di vigilanza finanziaria del Regno Unito ha registrato centinaia di dispositivi dei dipendenti persi o rubati negli ultimi tre anni.
- Documenti cartacei smarriti o rubati: nonostante la popolarità delle tecnologie digitali, i documenti tradizionali rimangono un rischio per la sicurezza. A giugno, una raccolta di documenti segreti del Ministero della Difesa britannico (MoD) è stata scoperta dietro una fermata dell'autobus.
- Spia digitale: conl'avvento di un maggior numero di viaggi da e per l'ufficio e altri luoghi, si ha un rischio maggiore che gli individui vicini possano cercare di ascoltare le conversazioni video, o curiosare le password e altri dati sensibili. Tali informazioni, anche se solo parzialmente catturate, potrebbero essere utilizzate per commettere furti di identità o in successivi tentativi di attacco di social engineering.
- Reti Wi-Fi non sicure: più lavoro a distanza significa anche una maggiore esposizione a hotspot Wi-Fi potenzialmente rischiosi in luoghi pubblici come stazioni ferroviarie, aeroporti e caffè. Anche se queste reti richiedono una password, i dipendenti possono essere a rischio di intercettazioni digitali, malware, dirottamento delle sessioni o attacchi man-in-the-middle.
Come mitigare il rischio di sicurezza dei dispositivi
La buona notizia è che queste minacce esistono da anni e le politiche collaudate possono aiutare a ridurle. L'urgenza deriva dal fatto che, molto presto, la maggioranza dei dipendenti potrebbe essere esposta, piuttosto che il numero relativamente piccolo di lavoratori remoti pre-pandemia. Ecco cosa potete fare:
Formazione e consapevolezza dei dipendenti: sappiamo tutti che programmi efficaci di formazione del personale possono aiutare a ridurre il rischio di phishing. Bene, gli stessi processi possono essere adattati per aggiungere la sensibilizzazione dei dipendenti sulle potenziali minacce menzionate sopra, compresi argomenti come la gestione delle password, l'ingegneria sociale e l'uso sicuro del web. Le tecniche di gamification sono sempre più popolari in quanto è stato dimostrato che accelerano il processo di apprendimento, migliorano la ritenzione delle conoscenze e producono cambiamenti di comportamento duraturi.
Politiche di controllo dell'accesso: l'autenticazione degli utenti è una parte fondamentale di qualsiasi strategia di sicurezza aziendale, soprattutto quando si gestisce un gran numero di utenti remoti. Le politiche dovrebbero essere adattate alla propensione al rischio dell'organizzazione, ma le migliori pratiche di solito includono password forti e uniche, memorizzate in un gestore di password, e l'autenticazione a più fattori (MFA). Quest'ultima significa che, anche se una ‘spia’ digitale cattura la password o le credenziali monouso, l'account rimarrà sicuro.
Sicurezza dei dispositivi: va da sé che i dispositivi stessi dovrebbero essere protetti e gestiti dall'IT. Crittografia forte del disco, autenticazione biometrica, blocco remoto e cancellazione dei dati, protezione del codice con blocco automatico, sicurezza dell'endpoint, patch regolari/aggiornamenti automatici e back-up del cloud sono tutti elementi importanti. La NSA ha un'utile lista di controllo per i dispositivi mobili qui.
Zero Trust: questo modello di sicurezza sempre più popolare è stato progettato per un mondo in cui gli utenti possono accedere alle risorse aziendali in modo sicuro da qualsiasi luogo e su qualsiasi dispositivo. La chiave è l'autenticazione continua basata sul rischio di utenti e dispositivi, la segmentazione della rete e altri controlli di sicurezza. Le organizzazioni dovrebbero essere in grado di gestire la violazione, applicare una politica di minimo privilegio e trattare tutte le reti come non attendibili.
Conclusioni
Il passaggio al lavoro ibrido non sarà facile, e ci potrebbero essere diverse vittime aziendali nei primi giorni. Ma con una solida serie di politiche di sicurezza applicate da tecnologie e fornitori affidabili, i datori di lavoro hanno molto da guadagnare dal "liberare la loro forza lavoro".