Complici i noti eventi d’inizio anno, il mondo IT si trova oggi ad affrontare con grande urgenza il tema del rapporto tra Cyber Security e Smart Working. Nessuno mette in dubbio il ruolo determinante dello smart working per la gestione del periodo d’emergenza: se molte persone sono state in grado di lavorare e le aziende non si sono fermate durante la quarantena - quanto meno, non del tutto -, il merito è sostanzialmente suo. Le imprese, anche quelle che di fatto hanno improvvisato lo Smart Working, oggi hanno capito perfettamente i benefici che porta, al punto da volerne sfruttare le dinamiche anche ad emergenza conclusa e a prescindere da politiche di distanziamento, di presenza contingentata sul posto di lavoro e via dicendo.
Come qualsiasi cosa, anche lo Smart Working ha qualche controindicazione: in questa sede, però, non ci riferiamo al fatto che senza una cultura allineata ai valori della produttività smart i benefici sarebbero molto limitati, ma agli aspetti di sicurezza. Con una premessa: la security non è un limite dello Smart Working, bensì un aspetto cui va data assoluta priorità; rispetto al modello di lavoro tradizionale, vincolato al desktop dell’ufficio e con magari l’e-mail sullo smartphone, essa pone infatti nuove sfide per l’IT dell’azienda.
La sicurezza è una complessità in più, ma non una di quelle che si possono trascurare: nessuno vuole incorrere in interruzioni dei servizi, in violazioni della privacy e della riservatezza o in un furto di dati. Ma è peraltro vero che, dovendo bruciare le tappe per abilitare lo Smart Working a inizio anno, molte aziende si sono soffermate di più sugli strumenti necessari, dai laptop a Zoom, dalla banda in ingresso alla VPN, rispetto alle implicazioni di sicurezza che derivano dal permettere l’accesso remoto a un numero di persone sensibilmente più ampio rispetto a prima.
Sul tema del rapporto tra Cyber Security e Smart Working si potrebbe scrivere a lungo. Quando è scoppiata la pandemia, ogni azienda ha reagito a modo suo sottolineando con il proprio comportamento il livello di evoluzione digitale fin lì raggiunto: alcune, già abituate a lavorare con strumenti di collaboration e soluzioni VDI (Virtual Desktop Infrastructure) non hanno cambiato praticamente nulla, ma molte hanno invece fatto incetta di laptop, attivato le VPN, aumentato la banda e acquistato software per la comunicazione smart. Altre ancora, prese evidentemente alla sprovvista, hanno semplicemente attivato i protocolli di Remote Desktop sulle postazioni aziendali, il che – rispetto alla soluzione VDI – comporta limiti (quanto meno) in termini di scalabilità e di centralizzazione delle policy. Ognuno di questi approcci porta con sé un livello diverso di rischio, acuito dal fatto che gli eventi si sono susseguiti molto rapidamente; la fretta, dal punto di vista dell’azienda ma anche dell’utente, genera distrazione, favorisce gli errori e – purtroppo – anche i malintenzionati.
Sempre in tema di Cyber Security e Smart Working, va aggiunta una riflessione relativa a come gestire il modello BYOD (Bring Your Own Device), che presuppone l’utilizzo del proprio dispositivo personale per l’accesso ai dati e alle applicazioni aziendali. Il ‘problema’ in questo caso è molto chiaro: pochi hanno nei confronti dei propri device, dal notebook allo smartphone, la stessa attenzione alla sicurezza rispetto a quanto non accada sui terminali aziendali, che vengono monitorati, governati e protetti da remoto. Ecco perché è molto difficile per il modello BYOD conciliare le esigenze di sicurezza richieste dall’azienda con la tutela della privacy del proprietario del device: ovviamente, dipende molto dal tipo di informazioni cui si deve accedere da remoto, dal fatto che la connessione sia sicura o meno e anche dal tipo di device, per esempio se personale o condiviso.
Come si mette in sicurezza lo Smart Working? Dal punto di vista dell’azienda, la prima cosa da fare è identificare le potenziali minacce, perché sulla base di queste è poi possibile sviluppare e porre in atto tutti i controlli di sicurezza e le contromisure del caso.
A tal proposito, l’azienda deve valutare svariate ipotesi: per esempio, che il terminale mobile venga smarrito; che venga rubato con la finalità specifica di sottrarvi i dati presenti; che al suo interno ci sia del codice malevolo, oppure ancora che venga usato per sottrarre dati dai sistemi aziendali sfruttando un accesso che è legittimo a tutti gli effetti. Sulla base di queste ipotesi, e molte altre, l’azienda pone in essere le proprie policy e i controlli di sicurezza, la cui finalità è quella del corretto bilanciamento tra le esigenze di produttività da remoto e la tutela del patrimonio informativo aziendale.
Altra possibilità, che fa perno sulla scalabilità e la semplificazione portata dal cloud, nonché sull’approccio pay-per-use, è quella di attivare uno Smart Working as-a-service: il modello affida a un service provider di assoluta affidabilità e competenza, non solo l’abilitazione dello Smart Working in termini di infrastruttura, con tanto di funzionalità di comunicazione, collaborazione e di accesso remoto/virtualizzazione, ma anche di cyber security che, di conseguenza, è integrata nel modello di servizio ed è adatta a proteggere il perimetro estremamente liquido tipico del modello di remote working.