Ufficio a casa: quali sono i pericoli informatici in agguato?

Al giorno d'oggi è necessario rispettare non solo le norme igieniche speciali, ma anche le norme di sicurezza informatica. Questo vale ancora di più per chi lavora da casa.

Con pochi accorgimenti è possibile ridurre al minimo il rischio informatico e rendere il proprio ufficio domestico un luogo di lavoro sicuro. I suggerimenti di Infoguard sono:

• Per poter stabilire una connessione sicura alla rete aziendale, l'uso di VPN (Virtual Private Network) è essenziale. Prevedere che la soluzione di accesso remoto possa coprire anche i requisiti di larghezza di banda aggiuntivi.
• Accesso remoto in combinazione con un MFA (Autenticazione a più fattori) è d'obbligo. Assicuratevi che sia disponibile un numero sufficiente di licenze per l'accesso remoto con l'MFA e che il rollout sia pronto. Sarebbe fastidioso se i dipendenti non potessero lavorare in modo produttivo a causa della mancanza di autenticazione.
• Se non esistono postazioni di lavoro mobili per i dipendenti, è probabile che vengano fornite tramite dispositivi privati (BYOD, Bring Your Own Device, Consigli di sicurezza qui) accedono alla rete aziendale. I dispositivi devono soddisfare i requisiti minimi di sicurezza pertinenti ed essere dotati di un software di protezione adeguato.
• I sistemi operativi, le applicazioni, gli scanner di malware e così via devono essere sempre aggiornati. Aggiornamenti installato (vale anche per i dispositivi privati). Utilizzare misure di compensazione se gli aggiornamenti del produttore non sono disponibili. Le possibilità sono la protezione degli endpoint (EPP), il rafforzamento degli endpoint, Monitoraggio degli endpoint attraverso un SOC, ecc.
• Tra le altre cose, affidatevi a Misure di sensibilizzazione (Consapevolezza della sicurezza) e informazioni per sensibilizzare i dipendenti sui pericoli. Attualmente, ad esempio, le e-mail di phishing (cfr. qui) inviati che sono correlati al coronavirus. Utilizzate funzionalità di sicurezza avanzate sui gateway e-mail per proteggervi da malware e attacchi APT.

Giù le mani dai servizi di cloud pubblico

Le funzioni di groupware, come la posta elettronica o il calendario, non rappresentano di solito un grosso problema di sicurezza quando si lavora in remoto, poiché queste applicazioni sono già per lo più disponibili tramite client web e applicazioni mobili, indipendentemente dalla posizione.

Le soluzioni di collaborazione sui contenuti offrono un'alternativa moderna alle soluzioni VPN per l'accesso interno. Consentono di accedere ai file e di scambiarli in modo rapido, semplice e indipendente dai dispositivi finali attraverso uno storage online centrale.

La tentazione di utilizzare semplicemente uno dei numerosi servizi di cloud storage pubblici è grande. Tuttavia, le aziende dovrebbero tenere le mani lontane da loro, consiglia il provider open source ownCloud. Questi servizi sono solitamente di origine statunitense e sono quindi soggetti alla legge statunitense sul cloud. La legge, relativamente nuova, legittima le autorità americane a chiedere agli operatori di consegnare tutti i dati di una persona o di un'azienda. Tuttavia, ciò non è compatibile con le normative sulla protezione dei dati come il GDPR e di fatto costringe le aziende a rinunciare al controllo sui loro dati, spesso sensibili.

Fonti: Infoguard, ownCloud

vedi anche l'articolo "Elevata sicurezza dei dati nel cloud„

Cos'altro considerare

Se il dipendente può svolgere il suo lavoro solo con l'accesso al server XY, allora questo deve essere garantito anche nell'ufficio domestico. Idealmente, questo è già stato efficacemente testato PRIMA dell'emergenza.

Non tutti i processi lavorativi dell'azienda funzionano anche nell'ufficio domestico, per motivi di sicurezza, ostacoli legali o regole aziendali. Questo deve essere comunicato in modo chiaro e tempestivo per evitare frustrazioni e la perdita di fasi di lavoro. D'altro canto, anche i dipendenti che lavorano da casa devono esserne consapevoli e non cercare di aggirare in modo creativo questi limiti.

Una cassetta delle lettere per i problemi di sicurezza

È utile creare un indirizzo e-mail aziendale al quale i dipendenti possano inviare i problemi di sicurezza in modo rapido e non burocratico.

Considerando che molti attacchi informatici hanno successo perché i truffatori ci provano ancora e ancora ed esattamente fino a quando non si verifica un clic sconsiderato, una casella di posta elettronica di sicurezza serve anche alla prevenzione: le caratteristiche evidenti possono essere registrate rapidamente e possono seguire avvertimenti. Tutti i suggerimenti degli utenti, anche quelli superflui, devono essere riconosciuti. Le informazioni sul servizio di sicurezza, invece, non dovrebbero essere inviate all'account di posta elettronica come link, ma piuttosto offline tramite lettera, info card o simili a casa, per rendere difficile il compito dei truffatori anche in questo settore.

Fonte: Avviso Sophos