La remotizzazione del lavoro ha permesso di garantire la continuità operativa, in alcuni casi migliorando la produttività e introducendo maggiore flessibilità. Mentre le imprese italiane temono un aumento degli attacchi, la transizione verso un modello ibrido di lavoro procede a velocità diverse
Senza un’adeguata pianificazione in termini di regole e policy, formazione e soluzioni tecnologiche e di cybersecurity, la remotizzazione di massa del lavoro non può dirsi veramente smart working, come dimostra la recrudescenza di attacchi e data breach. Ecco come aziende e organizzazioni si stanno muovendo per proteggersi. «Il lavoro agile può servire nell’emergenza ma non può essere il futuro del lavoro. Proiettarlo nel futuro mi sembra un abbaglio». Parole del ministro della Pubblica Amministrazione Renato Brunetta che in varie occasioni si è espresso con forza a favore di un rientro dei lavoratori pubblici in presenza. Secondo Brunetta, chi fa lavoro agile non avrebbe ancora un contratto specifico né tecnologie adatte a disposizione, come tra l’altro dimostrerebbe il caso dell’attacco hacker della Regione Lazio. Insomma, lo smart working sarebbe una forma all’italiana di lavoro a domicilio. Il ministro ha rincarato la dose durante il question time alla Camera lo scorso settembre. L’intemerata del ministro, fuori tempo massimo secondo i sostenitori dell’ineluttabilità dello smart working – nei toni molto simile al proverbiale “la ricreazione è finita” pronunciato da de Gaulle – almeno in un passaggio sembra aver colpito nel segno: il lavoro da remoto dal punto di vista della sicurezza si è dimostrato un colabrodo.
I dati forniti dalla titolare dell’Interno Lamorgese parlano chiaro. Gli attacchi hacker sono quasi decuplicati. Non solo. Durante il Forum di Cernobbio, la ministra Lamorgese ha dichiarato che i reati relativi al Web sono stati gli unici a crescere. «La vulnerabilità della rete desta preoccupazione perché coinvolge la tenuta e la capacità di resilienza di fronte ad attori ostili da parte di sistemi informatici pubblici e privati». In questo clima di incertezza e timori diffusi, ingegneria sociale e malware funzionano alla grande. Nei mesi più caldi della pandemia Google ha dichiarato di bloccare oltre 100 milioni di email di phishing ogni giorno bloccando più di due milioni di siti nel corso del 2020. La conta dei danni derivanti dallo smart working è impietosa. In Germania, secondo le stime dell’Istituto economico tedesco (www.iwkoeln.de), lavorare da casa durante la pandemia è costato alle aziende tedesche circa 53 miliardi di euro.
L’emergenza sanitaria, lo sappiamo, ha spinto le aziende ad adottare modelli di home working, trasformando gli uffici da luoghi centralizzati a piccole realtà diffuse. Come rovescio della medaglia la necessità di convertire in fretta il modello di lavoro ha determinato in molti casi una colpevole sottovalutazione degli aspetti di sicurezza. «Il cambiamento è stato così repentino che i vari responsabili del business non hanno avuto il tempo di predisporre l’ambiente virtuale più idoneo. Portando a una maggiore esposizione del patrimonio dati aziendale alle cyber minacce» – conferma Daniele Vona, presales technical consultant & cloud specialist di Seeweb. I dipendenti costretti a utilizzare da casa il proprio laptop di lavoro si sono trovati improvvisamente privati delle protezioni presenti in azienda. Senza proxy Internet, NAC, IDS e NGFW, i dispositivi domestici si sono trovati esposti su reti potenzialmente non protette e ad altri dispositivi potenzialmente compromessi. L’endpoint di colpo ha dovuto sostenere l’intero peso della protezione. Con lo stesso Wi-Fi di casa che non può offrire le stesse protezioni della rete dell’ufficio. Ma l’indebolimento dei controlli di sicurezza è andato ben oltre l’allentamento delle regole del firewall o di gestione della posta elettronica. Molti livelli di sicurezza esistenti non si applicano ai lavoratori remoti. I dipendenti potrebbero aver bisogno di accedere a risorse in precedenza accessibili solo su una rete cablata e da un’unica postazione. Per rendere raggiungibili queste risorse tramite VPN, spesso si è reso necessario “appiattire” la segmentazione interna, spalancando di fatto la porta alla diffusione del malware e al movimento laterale. Le conseguenze in alcuni casi sono state disastrose. Soprattutto per le piccole imprese, meno attrezzate per riprendersi da interruzioni dei servizi e perdite economiche. «Prima le VPN aziendali erano uno strumento di sicurezza importante. Oggi, sono semplicemente un mezzo per collegarsi alle infrastrutture aziendali» – osserva Vona di Seeweb. «Il problema cybersecurity è nelle case, dove ogni lavoratore ha la sua rete domestica, il suo operatore di fiducia e può avere investito più o meno in sicurezza. Ma ogni volta che attiva la VPN mette a rischio l’intera rete aziendale». Differenze – tra la sicurezza di casa e quella dell’ufficio – che devono perciò essere comprese, tracciate e affrontate. «È un fatto – rileva Massimiliano Macchia, Digital Solutions director di Konica Minolta – che il numero di PC e sistemi di stampa connessi alle reti domestiche è aumentato in maniera esponenziale. Così come le intrusioni nelle reti, domestiche e aziendali, spesso innescate proprio dai sistemi di stampa. Un rischio per la sicurezza dei dati. Non sempre adeguatamente compreso. In realtà, ogni indirizzo IP è una porta d’accesso alla rete. Così come ogni dispositivo connesso può diventare la backdoor di accesso ai dati dell’azienda».
TUTTA LA SICUREZZA CHE SERVE
Con la diffusione dello smart working i professionisti IT e della sicurezza hanno dovuto affrontare una serie di problemi urgenti. La sfida più importante – ci dice Roberto Obialero, advisory board di Clusit – «continua a essere quella di pianificare con cura la transizione dal modello lavorativo tradizionale verso lo smart working. Per la quale si è reso necessario ridefinire e monitorare i processi organizzativi, adottando un modello di lavoro per obiettivi e, soprattutto, dotandosi della strumentazione ICT adeguata sia dal lato dell’utente che dell’organizzazione». In termini di misure di sicurezza connesse allo smart working cosa è cambiato rispetto a prima della pandemia? «Le problematiche che il personale IT deve fronteggiare per garantire la sicurezza degli utenti in smart working sono le medesime degli accessi remoti: mettere in sicurezza la workstation utente e la connessione verso le applicazioni» – sintetizza Massimo Littardi, technical account manager di NovaNext. Operazioni alle quali però bisogna aggiungere – «l’adozione di antimalware o software più evoluti quali EAP, EDR, XDR. Limitare l’installazione di software. Adottare meccanismi di strong authentication. Proteggere l’accesso alle risorse. Ispezionare il traffico degli utenti, monitorando le loro attività e rilevare le anomalie. Investire nella direzione di una protezione elevata di tutte le connessioni perimetrali attraverso operazioni di traffic inspection e threat management. E in un controllo maggiore degli utenti connessi in VPN, la chiave di tutto l’ecosistema lavorativo» – spiega Vona di Seeweb.
Un’ulteriore misura può essere quella di investire in infrastrutture desktop virtualizzate, facendo evolvere le architetture IT dell’azienda dall’RDC a un sistema più sicuro. Modello, quest’ultimo, che rispetto all’RDC comporta però costi importanti per l’azienda. Le pratiche per una corretta protezione non cambiano con il lavoro da remoto, concorda Gastone Nencini, country manager di Trend Micro Italia. «In una prima fase, le aziende che non avevano previsto una situazione in cui all’improvviso migliaia di lavoratori iniziavano a lavorare contemporaneamente da casa sono andate sotto stress». Le cause? «Un’ampiezza di banda non sufficiente e l’impossibilità di garantire lo stesso livello di sicurezza ai dispositivi connessi dall’esterno come se fossero all’interno della rete aziendale. A soffrire di più – continua Nencini – sono state le aziende con infrastrutture on premise, mentre quelle che avevano adottato soluzioni cloud sono state in grado di gestire la situazione in maniera più reattiva».
CONTROLLO SULLE RISORSE
Con la massiva adozione dello smart working, le aziende di tutti i settori hanno accelerato il percorso verso il cloud e la modernizzazione degli ambienti IT in modo da abilitare processi agili e garantire l’accesso e la produttività per tutti i dipendenti anche al di fuori degli spazi fisici aziendali. «A questa evoluzione, però, si deve necessariamente accompagnare la capacità di mantenere il controllo sulle risorse e sui comportamenti degli utenti» – sottolinea Diego Pandolfi, Research & Consulting manager di IDC Italia. «Per queste ragioni, le priorità degli addetti alla sicurezza e dell’IT si stanno focalizzando sempre più sull’assicurare una completa visibilità delle attività e degli accessi, sulla formazione dei dipendenti e su tecnologie avanzate di data protection, automation e network security». Stando ai dati di una recente ricerca di IDC, nel 2021 – per oltre il 40% delle aziende italiane – assicurare la completa visibilità di tutto l’ambiente IT rappresenta una delle principali priorità nell’ambito delle security operation a cui segue, per circa il 38% delle aziende, la gestione efficace di utenti, identità e accessi. «Emerge chiaramente – osserva Pandolfi – che le principali preoccupazioni delle aziende si riferiscono sia al volume di accessi da remoto da gestire, aumentato esponenzialmente, sia agli eventuali comportamenti non conformi che i dipendenti, anche involontariamente, potrebbero adottare».
VERSO UN MODELLO IBRIDO
Nell’apparente sospensione tra il ridimensionamento dello smart working, decretato nel settore statale con la firma del premier Draghi al DPCM collegato, e l’assimilazione di un modello organizzativo ibrido di lavoro da remoto sotto traccia, nuovi assetti organizzativi e processi iniziano a prendere forma. «Passata la fase durante la quale le aziende hanno preparato, sistemato o semplicemente integrato l’infrastruttura a fronte di un’emergenza, ora ci troviamo in quella che vedrà molto probabilmente il consolidamento del lavoro da remoto come abitudine lavorativa» – pronostica Nencini di Trend Micro. «Un’ottima occasione per approntare le giuste procedure ove non ancora fatto, per garantire la sicurezza dell’infrastruttura».
La sfida più importante è quella di pianificare la transizione dal modello lavorativo tradizionale verso quello basato sullo smart working – come spiega Obialero di Clusit. Attività che a cascata si riverberano nel day-by-day delle operations. A partire dal ricondizionamento dei dispositivi utilizzati per lavorare a distanza durante la pandemia. «Se i dispositivi utilizzati per lo smart working sono tutti di proprietà aziendale è sufficiente allestire un piano adeguato al trasporto/riconsegna nelle sedi operative e una verifica funzionale delle misure di protezione tecnologiche attuate». Diverso il caso in cui si stato autorizzato l’utilizzo di dispositivi personali per le attività lavorative da remoto. Quali possono essere le garanzie in termini di sicurezza per attività che utilizzano dispositivi non aggiornati che possono facilmente sfuggire al controllo dei team e delle applicazioni di gestione ICT? «Bisogna fare molta attenzione quando si impiegano soluzioni BYOD come veicolo per la connessione all’ambiente VDI» – concorda Cristian Scarpa, global VP Customer & Employee Technology & head of EMEA IT di Vertiv. «Questi dispositivi potrebbero essere già stati compromessi – o esserlo in futuro – permettendo a chi attacca di prendere controllo dell’ambiente VDI impersonando l’utilizzatore. Implementare soluzioni di autenticazione a più fattori (MFA) aiuta, ma potrebbe non essere una misura sufficiente. Le soluzioni VDI – continua Scarpa – potrebbero fornire una falsa aspettativa di sicurezza che in realtà solo tramite l’isolamento/separazione, buoni software di end-point protection, strumenti di monitoraggio e correlazione degli eventi, processi e campagne di educazione dei dipendenti possono permettere di ridurre i rischi di un attacco informatico».
Sul fronte accessi, l’utilizzo di collegamenti in remoto, in grado di sfruttare software di controllo a distanza come Remote Desktop Protocol, ha il vantaggio di consentire una rapida implementazione. Ma come ha dimostrato l’analisi degli attacchi degli ultimi mesi, altrettanto evidenti sono gli svantaggi in termini di protezione. Anche qui, si tratta di correre al più presto ai ripari. «Lo svantaggio principale è la vulnerabilità del protocollo RDP» – afferma Alberto Duò, presales Azure & Modern Workplace di EOS Solutions. «Molte aziende hanno utilizzato questo metodo in maniera quasi incosciente per consentire accesso remoto agli utenti in maniera veloce» – constata Roberto Fantini, presales manager di Mead Informatica. «Così facendo, ripubblicando su rete pubblica l’accesso RDC dei server e dei PC, hanno gravemente compromesso la sicurezza degli utenti e delle informazioni». Le contromisure? «Le classiche procedure di aggiornamento, configurando policy efficaci gestite lato IT anche per la gestione delle password e prevedendo per l’accesso da remoto un sistema di autenticazione a più fattori (MFA)» – spiega Duò.
Fondamentali per la diffusione sicura dello smart working nelle aziende e soprattutto nelle pubbliche amministrazioni sono – per Luca Ferraris, strategic marketing manager di Maticmind – «le applicazioni per realizzare VPN scalabili; le soluzioni di gestione integrata delle Digital Identity; la crittografia che usa il riconoscimento facciale come chiave di cifratura, grazie all’impiego di algoritmi di artificial intelligence; e infine un approccio sicuro e integrato al cloud con l’applicazione delle logiche SASE (Secure Access Service Edge). L’implementazione cioè di soluzioni SD-WAN, che integrano molteplici tecnologie di accesso, associate a soluzioni di cloud security» – sintetizza Ferraris. La convergenza di rete e sicurezza nel cloud, l’adozione cioè del modello SASE può contribuire a superare le limitazioni tipiche delle architetture di rete tradizionali. I principali vantaggi del modello sono la flessibilità e la velocità con cui viene implementato» – sottolinea Littardi di NovaNext. «Supponiamo di avere un’azienda con diverse sedi nel mondo e molteplici necessità: esigenze di connettività delle sedi e accesso a servizi in cloud e alla server farm ospitata nell’HQ o nel DC. L’azienda inoltre deve garantire un accesso stabile e performante a tutta l’utenza in ufficio, mobilità smart working. SASE è in grado di supportare le esigenze di una rete complessa, introducendo funzionalità native di sicurezza e un backbone proprietario in grado di velocizzare le connessioni tra le sedi e verso i servizi». Si tratta – secondo Fantini di Mead Informatica – di un approccio progettuale che cerca di orientare la gestione e il controllo del contesto di sicurezza e di networking su un’unica piattaforma, di solito posizionata in cloud. «Una filosofia già radicata in alcuni produttori del mercato ICT prima ancora che Gartner coniasse l’acronimo SASE».
RIMODELLARE LA SICUREZZA
La pandemia ha obbligato aziende e organizzazioni a rendere più flessibili le modalità di lavoro. Il nuovo scenario ha imposto una forte accelerazione nell’adozione di soluzioni per favorire i processi di trasformazione digitale, assecondare il passaggio allo smart working e facilitare l’accesso ai servizi cloud. «Un processo che ha ridefinito le condizioni di sicurezza all’interno del nuovo spazio fisico e digitale delle organizzazioni» – osserva Fabrizio Zarri, Master Cloud Security architect di Oracle Italia. «Le misure tradizionali, incentrate sui perimetri fisici, non sono più in grado di far fronte alle nuove tipologie di minacce, sempre più sofisticate e mirate, né alle nuove e più ampie superfici di attacco. Queste dinamiche hanno portato a un ripensamento complessivo delle strategie di cybersecurity, mediante l’adozione di soluzioni automatizzate e scalabili per consentire la continuità e la sicurezza del business». L’aumento della forza lavoro decentrata e della quantità di applicazioni e dati sensibili che si spostano nel cloud espone sempre di più le aziende a rischi aggiuntivi per la sicurezza e le spinge a rivedere il modo in cui i servizi di sicurezza di rete saranno implementati e distribuiti – concorda Daniela Rao, Research & Consulting manager di IDC Italia. «È evidente l’importanza di investire negli strumenti di protezione degli end point, nelle VPN e nell’accelerazione dei processi di identificazione digitale, facendo un passo oltre l’ispezione del traffico di rete e l’autenticazione multi-fattore sinora adottati». Investimenti che rischiano però di essere vanificati dalla mancanza di una pianificazione adeguata, in termini di regole, formazione e soluzioni tecnologiche. La mancata pianificazione dovuta alla sottovalutazione di un rischio pandemico ha giocato un ruolo negativo. «Sarebbe stato invece opportuno valutare accuratamente tali rischi – spiega Obialero di Clusit – e adeguare i piani di business continuity in modo da poter dare una risposta meno disordinata all’evoluzione dell’emergenza sanitaria». Con conseguenze che si riverberano anche sulla situazione attuale.
TRANSIZIONE A PIÙ VELOCITÀ
«Le imprese italiane stanno affrontando la transizione a diverse velocità» – afferma Pandolfi di IDC. «Le aziende di maggiori dimensioni e che appartengano ai settori più sensibili ai temi della sicurezza, come la finanza o l’industria, hanno intrapreso prima delle altre attività di formazione e investimenti in tecnologie avanzate per la protezione di accessi, identità, dati, applicazioni cloud e ambienti IT ibridi. La pandemia, però, nel corso dell’ultimo anno e mezzo ha spinto anche le realtà più piccole a dotarsi di strategie e piani di sicurezza condivisi e di ampia visione e la maggior parte delle aziende oggi dispone di piani formali e strutturati basati su policy e regole condivise». Secondo i risultati di una ricerca di IDC, attualmente circa il 40% delle aziende italiane dispone di piani formali di trust e sicurezza che vanno oltre i temi tradizionali della privacy e della compliance, includendo addirittura ambiti come la sostenibilità. Per un altro 30% di aziende, invece, i piani formali sono focalizzati soprattutto sui temi della sicurezza e della privacy. «Rimane però un 20% di aziende – continua Pandolfi – che ancora non ha formalizzato un piano per la gestione delle tematiche trust, sicurezza e privacy e che, nonostante adotti strumenti di protezione e gestione sicura dei sistemi, ancora non gestisce la transizione con una visione strategica e condivisa della tematica».
Anche secondo Obialero di Clusit, i segnali provenienti dalla gestione di questa transizione restano contrastanti. «Siamo ancora in fase embrionale. Personalmente, conosco poche aziende che hanno regolamentato con cura le attività in smart working. Detto questo, la linea ormai è tracciata con innegabili vantaggi per le realtà che abbracciano una visione orientata all’efficienza. Il dibattito rimane aperto, come dimostrano i “tentativi di restaurazione” verso il tradizionale lavoro in presenza nel mondo della Pubblica Amministrazione». Perciò il probabile progressivo ritorno al lavoro in presenza e il prevalere di un modello ibrido di organizzazione del lavoro impatteranno ancora sulla sicurezza cyber. «Anche presso i clienti finali – continua Obialero – si rileva ormai una certa preferenza a ottimizzare le attività e gli incontri attraverso servizi erogati da remoto. Anche se va sottolineata l’importanza di mantenere dei rapporti in presenza». Il tema del lavoro in modalità ibrida deve essere ancora adeguatamente affrontato sotto tutti gli aspetti di strategia, policy e procedure, scelta delle architetture ICT, adozione di piattaforme di collaboration correttamente configurate, connessioni di accesso protette, aggiornamento antimalware, senza tralasciare ovviamente una adeguata formazione dei dipendenti. Se c’è una cosa che abbiamo imparato dalle esperienze di smart working – come osserva Maria Luisa Baciucco, marketing specialist di Cyber Guru – è che ancora una volta sono i comportamenti umani a fare la differenza nella catena difensiva di qualunque organizzazione.
«Le opportunità offerte da una nuova condizione di vita, in cui il contesto lavorativo ha varcato le mura di quello domestico, hanno reso ancora più vulnerabile il fattore umano. Al crimine informatico basta un solo click, quello dell’anello più debole per mettere in crisi tutta la catena difensiva. Per questa ragione – continua Baciucco – per vincere le sfide indotte da questo nuovo modello di lavoro, non si può prescindere dalla cybersecurity awareness. Acquisire un corretto modello comportamentale, davanti alle minacce digitali sempre più sofisticate, è l’unica possibilità per non rendere vani tutti gli investimenti effettuati in processi e tecnologie». Due le opzioni a disposizione di imprenditori e board: riqualificare i propri dipendenti in modo che acquisiscano le competenze di sicurezza informatica necessarie per sopravvivere in un mondo post-pandemia, o prepararsi ad affrontare le conseguenze del non farlo.