Il lockdown ha segnato il boom del telelavoro e, con tutta probabilità, il "new normal" lo sdoganerà definitivamente anche in nazioni che, come la nostra, sono sempre state un po' allergiche al lavoro a distanza. È necessario però che le imprese, se non lo hanno già fatto, considerino il remote working anche dal punto di vista della cyber security. Aprire la rete a un numero elevato di connessioni e condivisioni da e verso l'esterno significa ampliare la superficie d'attacco.

Non è poi affatto scontato che il telelavoratore medio sappia operare sempre tutelando la cyber security nella sua postazione, quale che sia. E anche lo staff IT di molte imprese non è preparato alla "frammentazione" della rete causata dal remote working. Alcune procedure da applicare sembreranno ovvie alle grandi aziende, non lo sono per una PMI.

Per questo la CISA statunitense ha pubblicato un vademecum molto sintetico dedicato al remote working, con una serie di consigli per tutte le parti in causa. I punti chiave sono quelli qui di seguito, destinati rispettivamente al management aziendale, ai professionisti IT, ai telelavoratori. E spiegano cosa fare quando si sposa, più o meno volontariamente, il remote working come tassello dell'operatività aziendale.

Per il management: procedure e strategie

La CISA consiglia al management aziendale di rivedere ed aggiornare policy e procedure perché tengano conto delle problematiche di cyber security portate dal passaggio a una forza lavoro distribuita. Bisogna anche comunicare ai dipendenti, in modo chiaro, cosa ci si aspetta dal remote working, specie lato sicurezza.

Il peso però non può spostarsi di colpo e totalmente sui telelavoratori. Bisogna affiancarli con programmi di formazione e training sulla sicurezza IT: i concetti anche di base, le minacce da cui difendersi. E in particolare: come comportarsi quando si accede da remoto alle risorse ed ai dati dell'impresa.

L'obiettivo generale è creare una cultura della sicurezza tra i dipendenti. E non solo tra quelli che faranno i remote worker: tutti devono essere informati, periodicamente e chiaramente, su cosa è opportuno fare e cosa no.

A monte ci deve essere una valutazione precisa del rischio comportato dal remote working. L'azienda deve definire i maggiori pericoli derivanti dallo spostare alcune risorse e funzioni fuori dal perimetro della rete d'impresa. Cosa succede se i telelavoratori stampano a casa con la loro stampante, usano device o PC personali, comunicano anche con indirizzi email non aziendali? Ogni fattore di rischio va valutato, per poi essere contenuto con policy e procedure chiare per tutti.

Per lo staff IT: controllo e reattività

Il messaggio principale che la CISA dà agli staff IT è che non si può proteggere bene quello su cui non si ha visibilità. Per questo bisogna mantenere inventari aggiornati dell'hardware e del software che indirettamente "entra" nella dotazione IT d'impresa perché viene usato dai telelavoratori. Questo anche per essere in grado di reagire, ad esempio via patch e aggiornamenti, alle vulnerabilità che questi nuovi componenti comportant. Anche se non sono stati selezionati dall'impresa.
Il remote working non può comunque diventare un "liberi tutti" nella scelta delle soluzioni che appaiono più utili e semplici. Lo staff IT deve definire e mantenere aggiornato un elenco dei prodotti di cui approva l'utilizzo. Spiegando ai telelavoratori come utilizzarli in modo sicuro. E perché certi prodotti vanno bene ed altri meno.

Il principale fattore di rischio del telelavoro è aumentare notevolmente le connessioni alle risorse di rete provenienti dal suo esterno. Serve per questo attivare controlli di cyber security che garantiscano l'affidabilità di queste connessioni. Che, cioè, chi si collega a una data risorsa sia effettivamente chi afferma (digitalmente) di essere e che abbia i privilegi necessari per quella data risorsa. Per questo - meglio di una VPN, poco adatta per la impossibilità di definire una difesa perimetrale per i sistemi distribuiti e in cloud - serve una architetttura di tipo Zero Trust.

La CISA pone anche l'accento sulla quasi indispensabilità della autenticazione a più fattori (Multi-Factor Authentication, MFA) per i telelavoratori. Tanto che se l'impresa non è in grado di realizzare una MFA, deve ricorrere a "contingency plan" di emergenza.

Attenzione specifica anche sulle due principali minacce del momento, tra l'altro collegate: phishing e ransomware. Il rischio di phishing e di business email compromise si affronta con un sistema di verifica basato su standard Domain-Based Message Authentication, Reporting & Conformance (DMARC). Che non è un approccio proprio notissimo a tutti. ma che fortunatamente viene implementato direttamente dai vendor di soluzioni email o antispam.
Per il ransomware, il modo migliore di limitare la sua minaccia è renderlo inefficace. Ossia fare in modo che anche una infezione non filtrata non porti alle perdite di dati che stanno causando il blocco delle attività di intere imprese. Come? Con una attività di backup programmata e frequente, pensata proprio in funzione del ransomware e mirata quindi sugli asset più critici dell'IT.

Per i telelavoratori: igiene digitale

In uno scenario di remote working il telelavoratore diventa allo stesso tempo il principale punto debole e la prima linea di difesa. Deve quindi migliorare in prima persona la sua "security posture", in vari modi. Il primo è certamente diventare più cosciente - esperto è magari un po' troppo - dei pericoli che vengono dalla rete e di come questi possono essere amplificati, o limitati, dal proprio comportamento.

Un dipendente isolato è più vulnerabile alle tecniche di phishing e social engineering. Un dipendente isolato ma ben informato, molto meno. Sa difendersi e in particolare sa anche cosa, e come, comunicare allo staff IT della sua azienda in merito a situazioni "sospette" che sta vivendo.

Ci vuole infatti anche una partecipazione attiva alla difesa delle risorse IT d'impresa. In primis capendo che la rete di casa è diventata giocoforza una parte della rete aziendale. Va quindi messa in sicurezza con password migliori, server DNS affidabili e router più sicuri. E con tutti gli altri step tecnici che possono ridurre il rischio di attacchi che penetrano le reti remote del telelavoratori per arrivare al data center della loro azienda.

Le "buone pratiche" di sicurezza personali si fondono poi con le procedure aziendali. Non basta comportarsi in maniera genericamente sicura. Bisogna anche conoscere e rispettare tutte le policy organizzative che indicano come maneggiare i dati chiave dell'azienda. Dati personali, dati sensibili, proprietà intellettuali, informazioni su prodotti e clienti.