La fase 2 è ufficialmente iniziata e dopo diverse settimane di smart working, i dipendenti potranno gradualmente tornare in ufficio, nel rispetto delle regole previste dal Governo. Se il lockdown è stato una sfida per innumerevoli aziende che hanno dovuto implementare in tempi brevi un telelavoro generalizzato e sicuro per tutti i dipendenti, in questa nuova fase non si deve abbassare la guardia poiché sono tante le nuove sfide da affrontare per quanto concerne la gestione dell’infrastruttura IT.
Se per i dipendenti abituati a lavorare da remoto già prima dell’inizio dell’isolamento e che beneficiano dunque regolarmente dell’accesso VPN alla rete aziendale questo ritorno avverrà senza troppe difficoltà, le aziende dovranno invece prestare particolare attenzione a due altre casistiche: i dipendenti a cui era stato fornito un computer aziendale ma senza connessione VPN né le configurazioni standard dell’azienda, e coloro che in questo periodo hanno utilizzato un device personale che torneranno in ufficio con chiavette USB o altri supporti di archiviazione contenenti i file e i documenti ai quali avranno lavorato nel corso delle settimane lontane dall’ufficio.
Prima di connettere tali device alla rete aziendale sarà fondamentale verificare che non vi siano rischi per la sicurezza, controllando che non siano stati infettati da malware o altri virus. Inoltre, tutti i computer rimasti in ufficio e dunque inattivi per un lungo periodo dovranno essere aggiornati, scaricando tutti gli update del sistema operativo e le ultime funzionalità di sicurezza.
Infine, le aziende dovranno sensibilizzare i dipendenti in merito ai rischi legati allo “Shadow IT”, ovvero tutti quei sistemi di informazione e comunicazione implementati senza l’approvazione dei responsabili IT, e affrontare il tema della sicurezza dei servizi cloud eventualmente utilizzati durante il lockdown.
Chester Wisniewski, principal research scientist di Sophos spiega: «Le aziende i cui dipendenti durante il lockdown hanno utilizzato dispositivi che non è stato possibile monitorare al fine di verificare il corretto aggiornamento o la gestione della sicurezza dovrebbero impostare una « rete di quarantena ». Come nel caso delle reti WiFi ospiti, gli utenti avranno bisogno di accedere a Internet, proprio come avveniva quando erano a casa, ma sarà necessaria una scansione completa e la verifica dell’installazione di tutti aggiornamenti prima di poter tornare alle normali modalità di utilizzo.
Raccomandiamo inoltre di implementare una sorta di “programma di amnistia” per le eventuali violazioni delle policy e di fare una verifica con i dipendenti per identificare gli strumenti IT, non approvati dall’azienda, che sono stati utilizzanti durante il lavoro da remoto. È fondamentale capire dove siano stati condivisi i dati e assicurarsi che qualora si ripresentasse l’esigenza di implementare lo smart working, i dipendenti siano dotati di device aziendali conformi alle policy di sicurezza interne.
Infine, questo è il momento giusto per considerare l’eliminazione definitiva dell’utilizzo di chiavette USB e di altri supporti portatili. Se laptop, telefoni e servizi cloud aziendali possono essere protetti e crittografati, i supporti rimovibili rappresentano un enorme rischio di perdita e furto, e gestirne la protezione è molto complesso. I dipendenti vanno spronati ad utilizzare i servizi cloud gestiti dall’azienda, che possono essere monitorati e protetti al fine di garantire il rispetto delle normative vigenti in ambito protezione dei dati. »
Per supportare le aziende in questa nuova fase, Sophos ha condiviso tre consigli:
- Implementare la gestione in cloud delle soluzioni di sicurezza: molte aziende possiedono soluzioni antivirus con console on-premise, ovvero con il server di gestione della soluzione installato all’interno dell’azienda. Tale architettura potrebbe rendere complessa o impossibile la possibilità di aggiornamento, configurazione e ricezione di alert di sicurezza quando i computer non sono in ufficio. Il risultato è che i client che rientrano sul luogo di lavoro potrebbero non aver effettuato aggiornamenti e non aver notificato eventuali problemi di virus nel corso del periodo di smart working. Ciò potrebbe comportare dei rischi nel momento in cui tali device accedono nuovamente alla rete: è dunque consigliabile verificare lo stato di salute di questi computer prima di collegarli alla rete e considerare la sostituzione della soluzione di sicurezza utilizzata con una che disponga di console in cloud capace di gestire gli aggiornamenti, le configurazioni e gli alert anche quando l’utente non è in ufficio, identificando e risolvendo eventuali problemi di sicurezza anche da remoto.
- Controllare le chiavette USB e altri supporti di archiviazione: alcune soluzioni antivirus, come quella di Sophos, consentono di disabilitare l’acceso di USB e altre periferiche di archiviazione fino a quando non passano attraverso un controllo da parte dei responsabili IT. Si consiglia di seguire questa metodologia per impedire che i dipendenti che hanno lavorato sui propri computer personali, alle volte privi di protezione, possano mettere a rischio l’azienda attraverso chiavette USB portate in ufficio per condividere o archiviare i file utilizzati a casa durante il periodo di lavoro in smart working.
- Trasparenza con il reparto IT: per arginare il fenomeno dello Shadow IT, è consigliabile suggerire agli utenti di segnalare al reparto IT eventuali problemi riscontrati durante il periodo di lavoro da remoto. Se durante queste settimane sono state rilevate anomalie è fondamentale segnalarle prima di connettersi alla rete aziendale, riducendo così il rischio che eventuali virus possano diffondersi.
Si segnala inoltre che al fine di garantire che i device personali utilizzati per lo smart working godano degli stessi standard di sicurezza disponibili all’interno del perimetro aziendale, Sophos ha reso disponibile gratuitamente per tutti i clienti, a prescindere dalla dimensione e dal tipo di prodotto Sophos utilizzato, la versione Premium del suo sistema di protezione Sophos Home per uso domestico. Questo consente di estendere il perimetro di protezione professionale di Sophos anche a casa.