L’emergenza Covid-19 ha costretto le imprese a sperimentare soluzioni di telelavoro per contenere gli effetti disastrosi sull’economia. Un test su scala globale che potrebbe cambiare per sempre il nostro modo di lavorare. Ma il vero banco di prova resta la sicurezza
L’emergenza Covid-19 ha costretto centinaia di migliaia di aziende a ricorrere al lavoro agile (telelavoro e smart working, non sono la stessa cosa) per bilanciare gli effetti negativi sull’economia. Secondo Bloomberg, stiamo assistendo al “più grande esperimento di telelavoro al mondo”. Un test su scala globale che potrebbe imprimere un’accelerazione irreversibile al nostro modo di lavorare. Esposto però a problemi di sicurezza in parte diversi da quelli con cui ci si confronta all’interno del perimetro aziendale. Sui quali non siamo preparati. Una vera manna per i criminali informatici. Da gennaio, secondo i ricercatori di Zscaler i tentativi di phishing hanno registrato un’impennata senza precedenti (+30mila per cento). Ma sono in forte crescita anche malware e siti Web trappola. Tutti in qualche modo collegati al Covid-19. Una situazione esplosiva, evidente dal tenore degli alert che arrivano da forze dell’ordine e “Big tech”.
ESTENDERE LE MISURE DI SICUREZZA
Siamo da poco entrati nella cosiddetta Fase2 post pandemia. Milioni di lavoratori sono rientrati al lavoro. Lo smart working continuerà a ricoprire un ruolo essenziale. Andrà però mantenuto, potenziato, reso più efficace e soprattutto sicuro. Per l’IT la sfida è quella di adattare alla situazione attuale le regole di sicurezza esistenti. Mantenendo la stessa efficacia perseguita all’interno della rete aziendale. In quest’ottica, vanno adeguatamente considerati prima gli aspetti formali e contrattuali che disciplinano l’utilizzo dei dispositivi mobili. Poi le regole d’ingaggio. Possibilmente poche, chiare e condivise. L’esperienza ci ha insegnato quanto siano difficili da mantenere e gestire policy che vincolano l’utilizzo dei dispositivi mobili al solo ambito lavorativo. Meglio perciò agire su piani diversi per scongiurare il pericolo di esporre regole bellissime da leggere ed esibire ma impossibili da far rispettare. Investendo in programmi mirati a rafforzare la consapevolezza tra i collaboratori delle potenzialità e dei rischi connessi all’uso dei dispositivi mobili.
«Oltre a investire in nuove tecnologie e sistemi di gestione – ci dice Maurizio Zacchi, marketing manager di Cyber Guru – Gruppo Daman occorre generare una corretta percezione del fattore di rischio. Agire cioè sul fattore umano, per trasformare i comportamenti a rischio dei dipendenti, in pratiche sicure». Per far sì che solo gli utenti autorizzati possano accedere dai dispositivi mobili alle risorse aziendali la prima linea di difesa è l’autenticazione. A due o più fattori, combinando password complesse, dati biometrici e/o token di sicurezza. L’azienda deve poi assicurarsi che ogni applicazione installata sui dispositivi mobili sia autorizzata e sicura. «La possibilità di installare qualsiasi applicazione e di navigare senza limitazioni trasforma il device in un bersaglio vulnerabile, che rischia di rendere inefficace l’infrastruttura di sicurezza aziendale» – avverte Massimo Littardi, technical account manager di NovaNext. Da qui, la necessità di bloccare tutta una serie di applicazioni che sulla base di specifiche policy di sicurezza assegnino corrette autorizzazioni di sicurezza previste per quell’utente o gruppo di utenti associati a un certo dispositivo.
«Altrettanto urgente è il tema dell’aggiornamento tempestivo dei moduli software e anti-malware» – osserva Roberto Obialero, cybersecurity and data protection advisor di CLUSIT Advisory Board. «Molti considerano una seccatura aggiornare i propri dispositivi e le applicazioni, ma gli aggiornamenti devono essere effettuati in fretta. Perché in molti casi contengono patch di sicurezza da applicare subito». Poi bisogna intervenire sulla rete. «Con lo smart working le informazioni passano da un router non controllato ed entrano in una rete aziendale pensata per gestire quel dispositivo all’interno dell’infrastruttura, con un impatto non previsto in precedenza in termini di bandwidth» – ci dice Alessandro Fontana, head of sales di Trend Micro Italia. La sfida è di mantenere gli stessi livelli di sicurezza e policy che l’azienda può garantire quando il device è all’interno della rete aziendale. Un altro aspetto da considerare è la capacità di banda. Il pericolo di non riuscire a far fronte a picchi eccessivi di richieste è reale. La scelta dei dispositivi e dei componenti di rete risale in molti casi a prima del massiccio ricorso al lavoro agile. Questa migrazione ha reso più impegnativo mantenere un livello uniforme di sicurezza perché ha moltiplicato casistiche ed eccezioni. Gli standard adottati necessitano una revisione profonda.
MONITORARE LE MINACCE
«La protezione dei dispositivi mobili passa necessariamente dal monitoraggio proattivo di malware e minacce assortite» – afferma Obialero. «Inoltre le soluzioni di sicurezza mobile devono essere in grado di “sanitizzare” da remoto i dispositivi, controllare le app e i dati sospetti, cancellando da remoto i dati in caso di furto o smarrimento del device oppure di un attacco». Tutte queste operazioni sono oggi più difficoltose da eseguire su utenti remoti. Controlli laschi sui dispositivi e sulle reti mettono l’IT in forte difficoltà. Riducendo la loro capacità di supportare in maniera adeguata gli utenti. I tempi di rilevamento e risposta si allungano e la rimozione di malware e backdoor diventa più difficoltosa. Per mettere in sicurezza gli endpoint, l’IT deve svolgere una serie di attività (installazione degli agent sui dispositivi, aggiornarli, distribuire patch di sicurezza, effettuare scansioni periodiche alla ricerca di vulnerabilità del software, configurare le impostazioni di sicurezza sui dispositivi, e così via) che richiedono un’attenta pianificazione.
«I team di sicurezza devono mantenere un equilibrio tra la necessità di avere un adeguato livello di protezione negli endpoint e il bisogno di non farsi travolgere da un numero eccessivo di attività da portare avanti manualmente e da notifiche da tenere sotto controllo» – sintetizza Morten Lehn, general manager Italy di Kaspersky. «Per soddisfare queste esigenze, i vendor devono offrire una soluzione di protezione dotata di tool di gestione che consentono un certo livello di automazione e di controllo». Le stesse capacità d’intervento del personale IT potrebbero essere vincolate dai termini della licenza e dalle limitazioni delle funzionalità dei prodotti di sicurezza esistenti. Anche i margini di assistenza dei vendor potrebbero ridursi. Nel caso in cui un incidente di sicurezza distrugga i dati o li renda inaccessibili, l’azienda deve essere in grado di ripristinarli. Perciò per limitare i danni in caso di violazione è indispensabile eseguire backup periodici anche dei dispositivi mobili. Operazione che con capacità di controllo più limitate e una visibilità ridotta sulle attività svolte del personale da remoto diventa più a rischio.
L’applicazione delle misure di sicurezza in ragione della nuova situazione di pandemia può essere ottimizzata e centralizzata da un’unica console di gestione e sicurezza dei dispositivi mobili. Categoria questa di cui spesso sfugge l’estrema ampiezza e che comprende oggetti che vanno dai computer portatili ai tablet, dagli smartphone ai dispositivi indossabili che integrano sensori. Secondo i dati della ricerca “IDC Mobile Security in European Enterprises 2019”, il livello di diffusione presso le imprese europee di soluzioni dedicate rimane modesto. Le più diffuse sono quelle di gestione delle minacce mobili, utilizzate da circa il 50 per cento delle organizzazioni. Rispetto ai PC desktop e ai notebook, i dispositivi mobili sono quindi meno protetti. Il che è un fattore di rischio, visto che sempre di più le imprese dovranno in futuro fare i conti con la gestione e la protezione dei loro dispositivi mobili. Poche anche quelle che hanno elaborato strategie mobili ad hoc.
PREVISIONI DI INVESTIMENTO
Oltre un terzo delle imprese intervistate da IDC prevede di investire in soluzioni mobili nel breve periodo. Principalmente su tre aree: piattaforme di sviluppo di applicazioni mobili (36%); soluzioni di acquisizione, gestione e controllo di dispositivi mobili/asset (35%); gestione dell’identità mobile e degli accessi (34%). Un terzo delle organizzazioni intervistate prevede inoltre di implementare una soluzione di gestione delle minacce mobili nel 2020. «Sebbene non tutti gli investimenti siano direttamente focalizzati al miglioramento della sicurezza mobile – si legge nel rapporto IDC – l’adozione progressiva di un approccio strategico e dedicato alla gestione della mobilità aziendale dovrebbe portare vantaggi alla security».
Secondo IDC, buona parte delle aziende italiane ha raggiunto uno stadio avanzato del livello di maturità, ma restano significative differenze tra grandi imprese e PMI. «Nelle imprese con meno di 50 addetti (il 99% delle imprese italiane), la domanda di strumenti per lavorare fuori sede è molto destrutturata. La diffusione di smartphone e tablet ha raggiunto alti livelli di penetrazione, ma in termini di applicazioni business la domanda rimane in gran parte focalizzata su applicazioni di messaggistica di comunicazione one-to-one» – spiega Daniela Rao, senior research & consulting director di IDC Italia.
«Nelle microimprese non è percepita la necessità di avere specifiche applicazioni business per reingegnerizzare i processi. A meno che non siano imposte dalle aziende capo-filiera, o capogruppo o cliente. L’attenzione rimane sul device. E sul fronte della sicurezza, le aspettative riguardano essenzialmente l’operatore di telecomunicazioni da cui è stato acquistato». Navigazione e social network aziendali sono le applicazioni più diffuse nelle PMI da 5 a 50 addetti. Utilizzate nelle piccole aziende, anche per promuovere l’offerta aziendale. «L’attenzione è focalizzata sui device mobili, ma è alta la propensione a utilizzare applicazioni standardizzate che con costi contenuti permettono di velocizzare e semplificare alcune attività lavorative» – rileva Daniela Rao. Diversa la domanda delle imprese con più di 50 addetti: più strutturata e in costante crescita. Qui gli ostacoli che ancora limitano la diffusione delle applicazioni mobili possono essere ricondotti agli alti costi da affrontare per la sostituzione di sistemi “legacy” o per lo sviluppo di soluzioni ad hoc, alla complessità del processo di transizione e alle problematiche di sicurezza.
GLI EFFETTI DELLA PANDEMIA
Le caratteristiche delle soluzioni di Enterprise Mobility sono in continua evoluzione. Gestione centralizzata, visibilità sull’installato, supporto nella definizione e automazione di policy di sicurezza rimangono le caratteristiche fondamentali oltre che le più apprezzate da parte dell’IT. «Le tematiche di organizzazione e ridisegno dei processi sono al centro della scena – spiega Daniela Rao di IDC Italia – con l’obiettivo di massimizzare i benefici offerti dalle tecnologie mobili e ottenere un concreto vantaggio competitivo».
Tuttavia, l’attenzione va via via spostandosi dal dispositivo all’app, con un’enfasi sempre maggiore sulla sicurezza. Numerosi segnali di fluidità dell’offerta, pur sottotraccia durante le settimane di pandemia, emergono anche in segmenti contigui alla gestione del mobile e confermano questa tendenza. Per esempio, diversi vendor di sicurezza hanno annunciato offerte gratuite per rafforzare la resilienza informatica dei propri clienti in questo momento di enorme difficoltà. «Pur mossi dalle migliori intenzioni, si legge nel recentissimo report di IDC “Endpoint Security Vendors Stepping Up to the COVID-19 Work-From-Home Mobilization” – di cui siamo riusciti ad avere ampi stralci – i vendor devono riuscire ad avere una visione lungimirante per assicurarsi che le loro risposte all’emergenza, così come i loro prodotti e servizi, continuino a essere visti favorevolmente una volta che la crisi si sarà attenuata. Come i loro clienti, anche i vendor sono sottoposti a un duro stress test. Costretti a muoversi velocemente per effetto della pandemia in un territorio in larga parte sconosciuto. «Poche aziende erano preparate a gestire una forza lavoro remota al cento per cento. Così come i problemi di scarsa connettività, scalabilità, esperienza utente frustante» – commenta Fabio Cipolat, regional sales manager Italy di Zscaler.
I vendor di sicurezza sanno che occorre massimizzare il vantaggio delle competenze tecniche, adattandosi alla situazione di smart working massivo, per effetto della quale, anche alcune loro peculiarità potrebbero cambiare in fretta. Dall’altra parte della barricata, le aziende utenti intuiscono che l’effetto combinato di lockdown e mancate vendite potrebbe colpire negativamente i vendor stessi, compromettendo la loro capacità di dare supporto. Perciò la loro preoccupazione è che anche durante questo periodo prodotti e servizi rimangano pienamente supportati e conservino la loro efficacia nell’identificare e contrastare le nuove minacce connesse a pandemia ed esigenze di lavorare in piena mobilità. Un’infrastruttura globale, data center sparsi in tutto il mondo e personale tecnico flessibile e sollecito sono e saranno sempre di più punti di forza centrali della capacità di resilienza dei vendor.
La migrazione in atto del personale verso forme di telelavoro rimarrà ancora a lungo per estesi strati del tessuto produttivo un concetto difficile da assimilare. Anche per chi si allineerà a questa tendenza in atto, tempi e modi comporteranno scelte cariche di incertezze e ostacoli. In termini di assistenza, l’obiettivo del fornitore è di supportare il personale IT e della sicurezza nella transizione massiva al lavoro in modalità remota. Sebbene il supporto a questo passaggio è in una certa misura indipendente dal segmento in cui opera, come dimostra il proliferare di webinar aperti ospitati da numerosi vendor di sicurezza a supporto. In tandem, naturalmente con quello specifico sui prodotti forniti dal vendor.
PRODOTTI E SERVIZI GRATUITI
Considerata la necessità di contenere le spese e ridurre al contempo i rischi informatici connessi alla transizione verso lo smart working, le aziende sono favorevolmente disposte ad accettare offerte di prodotti di sicurezza gratuiti. Anche se limitate nel tempo. Per altre però neppure questo è abbastanza. Con reparti IT e di sicurezza ridotti all’osso, bisognose di un supporto tecnico continuo, sono letteralmente incapaci di utilizzare questi prodotti in modo efficace. La situazione è molto fluida. Gli esperti IDC prevedono che queste forma di assistenza e promozione con prodotti e servizi gratuiti, potrebbero continuare anche in futuro, anche se con modalità diverse.
L’opzione outsourcing nel segmento mobile ha rappresentato una quota di mercato sino a oggi ridotta. Le cose però potrebbero cambiare. Secondo i dati IDC, il mercato mondiale dei servizi di gestione della mobilità aziendale (EMMS) dovrebbe crescere da 1,0 miliardi nel 2019 a 1,5 miliardi di dollari nel 2024, con un CAGR dell’8,4%. A livello mondiale, i dispositivi gestiti da terzi o fornitori di servizi passeranno da 36,3 milioni nel 2019 a 46,9 milioni entro il 2024, con un CAGR del 5,3%.
Appaltare all’esterno la gestione della sicurezza mobile, in che misura è al momento un’opzione praticabile? «La gestione esternalizzata dei dispositivi mobili rimane sicuramente una opzione, un po’ come avviene di norma per i servizi di desktop management» – ci dice Obialero di CLUSIT. «Va detto che probabilmente sarà più semplice ricorrere all’appalto dei servizi di mobile device management orientati prevalentemente al dispositivo hardware (censimento, eventuale localizzazione, remote wiping, gestione delle configurazioni e degli aggiornamenti). E che le attività dovranno comunque essere supervisionate dalla struttura preposta al controllo della cybersecurity aziendale, data la rilevanza del rischio associato».
Più complesso invece – secondo Obialero – adottare un modello outsourced del servizio di mobile application management, che richiede una maggior conoscenza dei servizi applicativi offerti dall’azienda e del ciclo di vita adottato nello sviluppo delle app software. On premise e outosurcing offrono rispettivamente una serie di vantaggi. «La strategia di gestione on premise, se effettuata integralmente da personale aziendale, offre un maggior controllo complessivo sugli aspetti di gestione della sicurezza» – continua Obialero. «L’esternalizzazione del servizio mobile security consente invece di razionalizzare le risorse, avere rapidamente a disposizione personale dotato delle competenze tecniche necessarie e abbattere probabilmente i costi di esercizio». Cambia naturalmente l’impatto delle soluzioni di mobile management a seconda dell’approccio. Anche in termini di user experience del personale. Secondo Massimo Littardi di NovaNext, a impattare maggiormente sull’infrastruttura aziendale sono quelle on-premise, che richiedono l’integrazione con l’infrastruttura esistente del cliente e un agente software sui dispositivi. «Anche se – osserva Littardi – alcuni operatori di telefonia si sono attivati nell’erogazione di servizi di mobile management a impatto “ridotto”, richiedendo una semplice configurazione sul dispositivo (cambio di APN)».
Per Obialero però ci sono delle attività fondamentali della sicurezza come la gestione degli incidenti di sicurezza e delle vulnerabilità che per loro natura difficilmente possono avere dei vantaggi in una versione esternalizzata. «A meno che – precisa Obialero – non si tratti di aziende con un grado elevato di maturità nella gestione della cybersecurity e che hanno scelto di mantenerne solo la governance per dedicarsi esclusivamente al core business, affidando la gestione della sicurezza a un SOC esterno».
Una “prolessi indotta”, all’interno dell’IT, di una area dedicata alla gestione dei dispositivi mobili non è una possibilità percorribile. Anche per questo – sottolinea Littardi di NovaNext – è fondamentale il ruolo che assume il security advisor nel consigliare e accompagnare le imprese nella scelta della soluzione più adatta.
APPROCCIO ARCHITETTURALE
Sotto la spinta dell’emergenza sanitaria e dell’espansione del lavoro a distanza, l’utilizzo di dispositivi mobili continuerà a crescere. Un dato certo da cui partire per identificare le aree prioritarie d’intervento a fronte delle diverse superfici di sicurezza da presidiare. Che si scelga una strategia più focalizzata sul network e l’infrastruttura e meno sulle difese hardware e software, gli esperti suggeriscono di adottare un approccio “architetturale” in grado di monitorare l’intera infrastruttura senza penalizzarne le performance, rafforzando la propria capacità di detection e risposta agli attacchi. «La sfida è quella di far sì che tutti gli attori interni ed esterni all’azienda diventino sempre più parte delle strategie di enterprise mobility» – conclude Daniela Rao di IDC. Per riuscire a governare il fenomeno mobility, le aziende dovranno migliorare la loro capacità di pensare in maniera strategica, incorporando, oltre alla gestione del device, tutto quel che supporta le nuove modalità di lavorare. I processi dovranno evolvere di pari passo e sarà importante che nelle scelte si tenga conto, oltre che del device e delle app, dell’infrastruttura IT e del network». Anche per le crescenti sollecitazioni provenienti dall’esplosione del numero di oggetti connessi e dal volume di dati da essi scambiati. In questo processo, la sicurezza, via via che l’attenzione si sposterà sulle tematiche di organizzazione e ridisegno dei processi, assumerà una valenza centrale. Mettere insieme tutti questi elementi sarà un passaggio obbligato.
SMART WORKING E BYOD
SÌ, MA CON LA GIUSTA CAUTELA
Nel corso degli scorsi mesi, lo scambio di dati attraverso dispositivi mobili a uso privato si è moltiplicato esponenzialmente. Ma come spiega a Data Manager Alberto Brera, country manager Italy di Stormshield, l’emergenza non ha consentito a tutti di adottare misure coerenti per proteggere gli accessi alle risorse aziendali. «Qualora anche nella fase post Covid-19, si dovesse e/o volesse ricorrere al lavoro remoto, bisognerà garantire che l’integrità e la riservatezza dei dati sia tutelata, nonostante l’impiego di strumenti difficili da inquadrare in policy aziendali. Infatti, per quanto sia utile dotarsi di soluzioni MDM per garantire che gli utenti si avvalgano di app autorizzate e che l’accesso alle risorse aziendali sia regolato da policy adeguate, va da sé che qualunque monitoraggio di questo tipo sia implementabile solo su dispositivi aziendali o CYOD/COPE. La potenziale presenza di app “spia” sui dispositivi privati oltre che i sistemi operativi spesso obsoleti rappresentano però una minaccia concreta all’integrità e all’inaccessibilità di dati sensibili» – afferma Brera.
Crittografia punto-punto
Una soluzione “agentless” come Stormshield Data Security consente all’utente di accedere esclusivamente a documenti sensibili pre-cifrati, per poterci lavorare anche a più mani in chiaro solo con specifici colleghi o collaboratori, indipendentemente dal dispositivo in uso o dalla piattaforma di archiviazione selezionata. «In questo modo – spiega Brera – l’azienda crea uno spazio di collaborazione virtuale di fiducia senza alcun impatto su come l’utente impiega i suoi dispositivi privatamente».