Smart working: sistemi di autenticazione a tutela della cyber security

0
11

Il datore di lavoro è tenuto a garantire la sicurezza costante del trattamento dei dati nell’uso del computer portatile, dello smartphone e del tablet aziendali. In particolare, occorre adottare strumenti che consentono all’azienda di essere certa dell’identità del lavoratore che si collega all’archivio di dati. Lo smart worker poi deve essere dotato di strumenti non solo “schermati” contro le più comuni vulnerabilità ma anche configurati in modo da non violare le disposizioni della normativa sulla privacy. Quali sistemi di autenticazione e di accesso ai dati aziendali vanno predisposti?

Il quadro attuale relativo allo smart working, delineato dalla legge 81 del 2017, ha posto al centro della riforma la tecnologia, dando per presupposto un buon funzionamento degli strumenti usati dai lavoratori e una efficienza nell’accesso costante ai dati aziendali e a tutte le informazioni necessarie per l’espletamento dell’attività lavorativa in uno svolgimento “quotidiano” che viene immaginato come dentro e fuori dai locali aziendali in orari variabili.

Ciò comporta la necessità di coordinare queste norme con l’aspetto della cyber security vera e propria, un tema tanto delicato quanto eterogeneo, con principi contenuti in vari provvedimenti di legge.

Quadro normativo complesso
Il quadro italiano sul punto, ad esempio, è oggi molto dinamico e richiede una costante operazione di coordinamento. Le norme che entrano in gioco, tra le altre, sono l’attuale Codice Privacy (in vigore almeno fino al 24 maggio 2018) con l’allegato B contenente le misure di sicurezza, il recente Regolamento Europeo per la protezione dei dati (GDPR), già in vigore ma che sarà attuato soltanto dal 25 maggio 2018 e, per quanto riguarda le pubbliche amministrazioni, norme interessanti sono contenute nelle disposizioni/linee guida di AGID sulle misure di sicurezza informatica nella Pubblica Amministrazione, che dovranno essere implementate entro il 31 dicembre 2017. Se a questo quadro prettamente informatico o tecnologico aggiungiamo altre norme contenute nella disciplina del diritto del lavoro (si pensi all’articolo 4 e al divieto di controllo a distanza del lavoratore), nel diritto commerciale e nel codice penale, il panorama diventa piuttosto complesso da analizzare.

Principi di utilità pratica per le imprese
Nonostante questa complessità, però, ci sono alcuni aspetti che appaiono chiari e che possono aiutare a individuare dei principi di utilità pratica da affrontare immediatamente per garantire un quadro sicuro delle tecnologie utilizzate.

Innanzitutto, è chiaro che nel momento in cui il lavoro diventa “agile” e non più vincolato a luoghi, tempi e postazioni di lavoro, lo strumento tecnologico diventa fondamentale: ci si riferisce, in particolare, al computer portatile, allo smartphone e al tablet.

Nel momento in cui questi strumenti sono forniti dal datore di lavoro ed entrano ed escono dall’azienda, è lo stesso a dover garantire una sicurezza costante del trattamento dei dati.

La sicurezza deve essere orientata sia verso la struttura/realtà aziendale (si pensi a un database dei clienti o a una banca data di informazioni contabili che viene consultata da remoto dal lavoratore, o a una rete wireless aziendale cui il dipendente si collega quando è in sede) sia verso il lavoratore stesso, che deve essere dotato di strumenti non solo protetti contro le più comuni vulnerabilità ma anche configurati in modo da non violare le disposizioni dello Statuto dei lavoratori e della normativa sulla privacy che limitano le possibilità di controllo del datore di lavoro nei confronti del lavoratore e proibiscono modalità di controllo occulte, lesive della dignità e discriminatorie.

Sistema di autenticazione a due fattori
Con riferimento al primo, grande punto, la sicurezza dei dati dell’azienda cui il lavoratore accede, sarebbe opportuno operare su diversi piani.

Il primo è il controllo degli accessi e delle credenziali, con autenticazione a doppio fattore e notifica in tempo reale di eventuali problemi. Detto in termini più semplici, è opportuno adottare strumenti per cui il datore di lavoro possa essere certo che il lavoratore che si sta collegando all’archivio di dati dell’azienda sia proprio lui. L’unico modo è prevedere un sistema di accesso, in particolare autenticazione e autorizzazione, che sia più complesso di una semplice password unita a un nome utente ma che richieda o un dispositivo hardware (un token, una chiavetta USB, una smartcard, un sistema di OTP o di generatore di codici come quello fornito dalle banche) o che invii sul dispositivo del lavoratore un codice ogni volta che sia richiesto l’accesso. Questo sistema di autenticazione a due fattori (dove il secondo fattore è, appunto, l’invio di un codice univoco sul telefonino del lavoratore che, si presume, sia sempre in suo possesso) ripara dalla possibilità di furto delle credenziali del lavoratore, un furto che può avvenire anche tramite l’inganno (un accadimento, oggi, molto comune).

Il problema della connessione lavoratore–sistema informatico dell’azienda è il primo problema di sicurezza da risolvere, un aspetto di fondamentale importanza che può mettere a rischio tutto il sistema. Anche l’accesso alle reti wireless aziendali o la connessione fisica a prese di rete, per quei dipendenti che frequentano i locali aziendali in orari non predeterminati, diventa un aspetto da tenere in considerazione e da regolamentare da un punto di vista della sicurezza degli accessi.

Profili di autorizzazione
Un secondo punto riguarda, invece, i profili di autorizzazione. Il lavoratore che si collega da remoto al sistema aziendale deve poter “vedere”, e usare, soltanto i dati che si riferiscono esplicitamente alle sue mansioni e non potrebbe consultare, al contrario, aree del sistema, cartelle o dati che contengono informazioni non afferenti ai suoi compiti in azienda. Il “limitare” in camere stagne l’accesso dei dipendenti, non consentendo loro di vedere le informazioni critiche della realtà aziendale, diventa fondamentale quando si apre la possibilità di accedere ai dati a qualsiasi momento del giorno e della notte e da ogni luogo.

Sicurezza della strumentazione tecnologica
Per proteggere, poi, la banca dati aziendale da attacchi o problemi di sicurezza che possono provenire non direttamente dal lavoratore ma da un malfunzionamento o vulnerabilità dei suoi strumenti, è opportuno che il datore di lavoro consegni al lavoratore degli strumenti che siano perfettamente configurati da un punto di vista della sicurezza, anche rispettando le indicazioni che sono fornire nella citata normativa sulla privacy e nelle misure di sicurezza previste da Agid.

In estrema sintesi, fondamentale è uno strumento dotato di antivirus, di un sistema di backup, di un sistema di cifratura dei dati e di una connessione cifrata.

L’antivirus protegge, appunto, dai virus che potrebbero infettare lo strumento aziendale in mano al dipendente ed estendere danni anche a computer aziendali a esso connessi (si pensi a un ransomware che riesca a cifrare e “sequestrare” anche i dati dei dispositivi connessi in rete o nel cloud).

Il backup in tempo reale fa sì che tutto il lavoro del dipendente, in caso d’incidente informatico, non vada perduto. Il backup deve essere effettuato su server sicuri dell’azienda, a cadenza regolare e anche senza bisogno di un intervento del dipendente.

La cifratura delle informazioni serve a far sì che in caso di furto o smarrimento del dispositivo, quale esso sia, non sia possibile recuperare in alcun modo i dati aziendali. Meglio sarebbe se la cifratura fosse trasparente per l’utente finale, collegata alle sue credenziali di accesso.

Infine, le comunicazioni cifrate tra il dispositivo e i server aziendali consentono di far sì che le informazioni non siano intercettabili con il sistema del man in the middle (un soggetto che si posiziona a metà tra chi parla e chi ascolta e intercetta i pacchetti di dati).

Si ricordi, ultimo ma non ultimo, che la sicurezza in questo quadro è molto condizionata anche dalle istruzioni (tecniche) che il datore di lavoro dovrebbe fornire al dipendente insieme alle tecnologie che utilizzerà: queste istruzioni dovrebbero essere sia un sintetico decalogo sui comportamenti da tenere per garantire un buon livello di sicurezza (il fattore dei comportamenti è cruciale), sia un’informazione accurata su quali tipi di controllo può esercitare il datore di lavoro sugli strumenti che possano incidere anche sulla privacy del lavoratore.

Un buon cocktail, insomma, tra misure di sicurezza, attenzione ai comportamenti, tecnologie evolute e istruzioni dettagliate sul rapporto che si viene creare tra dipendente, tecnologia e azienda, è essenziale per disegnare un ambiente veramente sicuro.

La terza edizione dell’annuale Business Summit di Samsung ha appunto affrontato uno dei temi chiave per un mondo nel quale la pervasività del digitale rende sempre più necessarie soluzioni di sicurezza per le imprese e per i singoli cittadini.

La cybersecurity è la seconda emergenza in Europa, dopo il cambiamento climatico e prima dell’immigrazione, come emerge dall’ultimo meeting sullo stato dell’Unione Europea dello scorso 13 settembre; tutte le grandi aziende e le infrastrutture critiche nazionali subiscono ogni giorno attacchi informatici e nel solo 2016 il 47% delle aziende piccole e medie in Italia ha subito almeno un attacco (fonte: Banca d’Italia). Questo dato subirà di sicuro un forte incremento nel 2017, a causa delle ultime campagne malware (“wannacry” e “notpetya”) che hanno messo fortemente a rischio la sicurezza di intere aziende le quali, secondo alcuni dati recenti, sostengono un costo medio di 3,5 milioni di euro per ogni attacco andato a buon fine, mentre per le piccole e medie imprese gli attacchi informatici possono mettere a repentaglio l’esistenza della azienda stessa.

La necessità di creare un circolo virtuoso di informazioni atte a fronteggiare le minacce della cybersecurity e il bisogno di evidenziare gli elementi che possono concorrere alla difesa del sistema Paese nel complesso, sono le basi dalle quali ha preso il via la terza edizione di “WOW – Wide Opportunities World” (presso il The Mall a Milano), il Business Summit organizzato ogni anno da Samsung, durante il quale esponenti di spicco della pubblica amministrazione e delle principali aziende italiane si sono incontrati per un confronto sulle tematiche più rilevanti del mondo imprenditoriale, e per fornire strumenti e prospettive volti a sviluppare il business in chiave digitale.

Durante il Business Summit, Samsung ha fatto emergere i risultati di un sondaggio relativo alla percezione e ai livelli di protezione e sicurezza dei device nell’ambito personale e lavorativo, basato sulle risposte degli oltre 500 partecipanti provenienti dalle aziende italiane e straniere, di diversi settori industriali (siderurgia, servizi, finance, banking, consulenza, tecnologia etc.) che hanno aderito all’evento.

Tra i principali dati della ricerca emerge che:

– Il 35,7% degli intervistati ritiene che il proprio smartphone sia in generale poco sicuro e che qualcuno possa accedere alle informazioni personali; il 33,4% ritiene invece il proprio smartphone abbastanza sicuro a fronte di accessi esterni; il 26,5% ritiene lo smartphone molto sicuro e che nessuno possa violare la privacy dei dati personali; solo il 4,4% ritiene il proprio dispositivo mobile per niente sicuro e accessibile da chiunque all’esterno

– Il 50,7% dei partecipanti alla survey ritiene che i file contenuti sul proprio smartphone (immagini, video, documenti etc.) siano solo parzialmente al sicuro e che i metodi di protezione adottati non siano del tutto affidabili; il 30,9% invece pensa che siano al sicuro e non possano essere violati da persone non autorizzate; mentre il 18,4% è convinto che siano insicuri e chiunque potrebbe accedervi in qualsiasi momento

– Addirittura il 93,2% dei rispondenti ritiene che le proprie ricerche su internet dallo smartphone siano normalmente rintracciabili da soggetti terzi; solo l’1,5% pensa che non sia possibile accedere alle proprie ricerche; il restante 5,3% dimostra di non avere sensibilità in materia

– Quale è invece il livello di percezione in relazione alla sicurezza in ufficio? In questo caso gli utenti aziendali si sentono più rassicurati: infatti l’87,1% degli intervistati ritiene che il proprio luogo di lavoro metta a disposizione degli strumenti di difesa dagli attacchi informatici; solo il 6,7% non si sente al sicuro, mentre un altro 6,2% non è a conoscenza di eventuali sistemi di protezione all’interno della propria azienda;

– La platea risulta abbastanza spaccata rispetto ai provvedimenti in tema di sicurezza informatica intrapresi dal governo italiano: infatti, il 39,8% li ritiene al momento adeguati, il 33% pensa invece che non sia adeguati, mentre il restante 27,2% non ha una visione ben chiara di come l’amministrazione pubblica in Italia si stia muovendo in tema di cybersecurity.

Il Vademecum per la messa in sicurezza dei dispositivi mobile
A margine del Summit, Samsung ha anche condiviso con il pubblico un utile vademecum rivolto ai consumatori finali, che espone in maniera semplice e diretta i 10 punti base per la messa in sicurezza dei dispositivi mobile.

1. Mantenere il dispositivo mobile sempre aggiornato
2. Attivare l’antivirus
3. Impostare una tipologia di blocco dello schermo
4. Attivare il PIN di blocco della SIM
5. Installare la applicazioni solo dagli Store ufficiali
6. Verificare le autorizzazioni concesse alle applicazioni
7. Prestare attenzione quando si forniscono informazioni personali
8. Abilitare la cifratura dei dati
9. Abilitare il controllo remoto del proprio dispositivo in caso di smarrimento o furto
10. Ripristinare il dispositivo prima di rivenderlo.

In un panorama come quello analizzato durante il Business Summit, dove sempre più si lavora in mobilità, e dove gli attacchi fraudolenti creano danni quotidiani assolutamente esosi, abbiamo visto che la necessità di protezione dei dati sta spingendo le aziende all’adozione di efficaci soluzioni di sicurezza degli stessi e delle applicazioni aziendali. La suite Samsung Knox include componenti pensate per rispondere alle nuove esigenze della mobilità aziendale, offrendo strumenti semplici da utilizzare, gestire e aggiornare:

– Samsung Knox Workspace permette la separazione di dati e applicazioni aziendali da quelli personali, su un unico dispositivo, garantendo sicurezza e flessibilità
– Samsung Knox Premium è una soluzione completa di Enterprise Mobility Management (EMM), Identity Access Management (IAM) e di servizi di sicurezza basati su cloud, per la gestione efficiente e conveniente della mobilità aziendale
– Samsung Knox Customization offre un sistema completo di servizi e strumenti che trasformano i dispositivi Samsung in apparati costruiti ad hoc per soddisfare al meglio i bisogni aziendali in ogni business.

Fonte: pmi.it

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here