L’evoluzione della pandemia a livello globale impone alle organizzazioni importanti riflessioni in merito alla gestione e protezione dei dati in relazione al remote working, soluzione scelta e caldeggiata da varie organizzazioni al fine di garantire continuità operatività ed efficienza.
In alcune realtà aziendali questo modello organizzativo era già presente e utilizzato, quindi con l’emergenza Covid-19 si è trattato di ampliare tale modalità lavorativa a un numero maggiore di utenti. Altre realtà hanno dovuto agire di rincorsa implementando in tempi rapidi le soluzioni tecnologiche necessarie a garantire il remote working. Se però da un lato la priorità è garantire l’operatività dei vari team, un altro presupposto imprescindibile e irrinunciabile è quello della sicurezza e della protezione dei dati.
Collegamenti VPN per garantire il trasferimento sicuro dei dati
Le organizzazioni e i relativi comparti IT hanno quindi il compito di sviluppare e implementare strategie per la protezione dei dati. Un collegamento sicuro tra il sistema remoto e la rete aziendale è tra i primi presupposti per la sicurezza; una valida soluzione in questo senso è l’utilizzo della tecnologia VPN che garantisce un link sicuro tra i due estremi del collegamento sfruttando tecniche crittografiche. A livello aziendale sarà ovviamente necessario predisporre risorse hardware – anche in termini di banda a disposizione per singolo user - sufficienti a garantire l’accesso a tutti i collaboratori, mentre sul sistema remoto dei dipendenti dovrà essere installato e configurato il software client per il collegamento VPN.
Soluzioni Passwordless per autenticazioni più sicure
Un secondo elemento necessario a garantire la sicurezza nella gestione del remote working è l’autenticazione e l’accesso alle risorse aziendali da remoto. Il semplice utilizzo del metodo Userid/Password non è sufficiente: le password spesso non sono sufficientemente robuste, possono essere trafugate o dimenticate, aggiungendo problematiche di varia natura per il supporto IT.
È necessario implementare un’autenticazione multifattore, o meglio ancora una soluzione passwordless. Queste soluzioni garantiscono una maggior sicurezza perché spesso basate su app o token dedicati alla generazione di OTP, inoltre possono sfruttare le soluzioni di rilevamento biometrico integrate sui recenti smartphone.
Utilizzare il Cloud per lo storage dei dati
In uno scenario di remote working è importante valutare con attenzioni su quali risorse vengono archiviati i dati. Per garantire una buona protezione del dato è importante che questi vengano memorizzati non in remoto sul PC dei collaboratori ma su risorse gestite dall’organizzazione. Una scelta simile infatti permette di avere un maggior controllo sull’accesso e sulle policy di sicurezza; le tecnologie cloud costituiscono una valida soluzione, infatti, permettono un’elevata scalabilità e al tempo stesso offrono standard di sicurezza elevati.
Le tecnologie cloud affiancano alla semplice memorizzazione dei dati anche la possibilità di remotizzare istanze virtuali di applicazioni: in uno scenario simile il PC del remote worker diviene solo uno strumento di accesso all’infrastruttura aziendale. In locale è quindi necessario installare un ridotto numero di applicazioni software a tutto vantaggio della sicurezza, della gestione e della protezione del dato.
Attenzione e cura alle operazioni di Backup per la protezione dei dati
Con i collaboratori fisicamente collocati all’esterno dell’organizzazione è fondamentale prevedere strategie di backup efficaci: le sessioni di lavoro, come anche le virtual machine utilizzate per i vari task meritano un occhio di attenzione in più in uno scenario simile. Va ricordato infatti che una buona strategia di backup è la base per un eventuale ripristino veloce e senza gravi perdite, di fatto è il primo anello necessario a garantire una buona Business Continuity.
Policy di sicurezza adeguate e informazione/formazione dei collaboratori
La protezione del dato va intesa come una strategia a cui concorrono svariati fattori. Oltre a quanto indicato fino ad ora è importante mettere a punto policy adeguate ad esempio anche alla possibilità di utilizzare o meno dispositivi personali per l’accesso a risorse aziendali. Lo scenario migliore è quello nel quale il comparto aziendale rimane ben separato – ad esempio con dispositivi dedicati – da quello personale. Ma è altresì vero che uno scenario BYOD offre maggior flessibilità a tutte le parti coinvolte.
Se comunque si rende necessario utilizzare uno scenario BYOD le policy dovranno essere ancor più stringenti e rigide, con ad esempio soluzioni di autenticazione più robuste. In uno scenario simile diventa ancor più critico il processo di salvataggio dei dati che dovrebbe ovviamente essere effettuato su risorse aziendali remote, oppure in cloud.
Molti osservatori dedicati alla cybersecurity indicano che in piena pandemia, anche le tematiche relative al Covid-19 vengono utilizzate per portare a termine azioni malevole. Si tratta per lo più di azioni di Phishing capaci di sfruttare la bolla di interesse che avvolge l’argomento Covid-19: queste azioni se trovano terreno fertile nei remote worker possono esporre a rischi potenziali le risorse e i dati dell’organizzazione.
Ai fini della protezione dei dati è quindi importante formare e informare i propri collaboratori anche in merito a queste problematiche. Le formule e le modalità sono svariate e possono prevedere un sistematico e periodico invio di messaggi informativi, oppure la realizzazione di videocall dedicate all’argomento con il duplice scopo di informare e sensibilizzare gli operatori nei confronti delle più recenti problematiche; si potrà così trovare un’occasione costruttiva per divulgare e commentare insieme le best practice relative alla sicurezza e protezione del dato.
