Trizio Consulting

Privacy e sicurezza smartworking – Intervista a Morten Lehn, General Manager Italy di Kaspersky

Privacy e sicurezza  smartworking – Intervista a Morten Lehn, General Manager Italy di Kaspersky
Trizio Consulting

Il rispetto della Privacy e della sicurezza nel settore del telelavoro e dello smartworking sono molto importanti: la pandemia di Covid -19 ha costretto il mondo intero a farsi domande in merito. Ne abbiamo parlato con Morten Lehn, General Manager Italy di Kapersky.

Il coronavirus ha cambiato pesantemente le nostre abitudini lavorative. In che modo?

Quando L’Organizzazione Mondiale della Sanità ha dichiarato il COVID-19 una pandemia globale, i governi di tutto il mondo hanno indetto il lockdown che ha obbligato diverse aziende a valutare come alternativa lo smart working per dare continuità alla propria attività e al contempo rallentare la diffusione del virus. Questa nuova modalità di lavoro ha avuto un impatto significativo su diversi aspetti della vita di dipendenti e aziende. Per prima cosa, i dipendenti hanno dovuto riorganizzare il proprio ufficio all’interno della propria casa e ciò ha inevitabilmente influito sulla routine di migliaia di dipendenti e sull’equilibrio tra lavoro e vita privata. Secondo un nostro recente report, infatti, il 33% dei dipendenti italiani ha dichiarato che, durante questo periodo, ha dedicato molte più ore della propria giornata al lavoro rispetto a quanto non facesse prima.

Inoltre, molti dipendenti si sono ritrovati a dover utilizzare i propri dispositivi personali per lavoro e questo ha comportato rischi enormi per la sicurezza delle informazioni sensibili dell’azienda. Queste nuove abitudini incideranno anche sulle aziende che dovranno inevitabilmente riformulare le misure preposte per la sicurezza informatica.

Quali sono i rischi principali di avere dei dipendenti che lavorano da casa?

Il trasferimento di massa improvviso che si è verificato in questi giorni, di persone costrette ad organizzare in tutta fretta una postazione di lavoro all’interno della propria abitazione, rappresenta sicuramente un’opportunità per i cyber criminali che hanno approfittato dell’urgenza con cui questi trasferimenti sono avvenuti e hanno sfruttando qualsiasi vulnerabilità. Una volta che un dispositivo aziendale viene portato al di fuori dell’infrastruttura di rete dell’azienda e, quindi, connesso a nuove reti e al Wi-Fi, i rischi aumentano drasticamente. Ransomware, infezioni da malware e spionaggio aziendale sono tra le minacce che devono essere sempre tenute in considerazione, soprattutto quando si parla di smart working, poiché una rete Wi-Fi non sicura e la connessione 4G o 5G amplificano il rischio di infezione. Inoltre, come abbiamo detto, l’uso di dispositivi personali per scopi lavorativi è una pratica che si verifica con molta più probabilità in condizioni di lavoro da remoto e rappresenta un ulteriore rischio alla sicurezza. Inoltre, l’approccio noto come “bring your own device”, che consente ai dipendenti di utilizzare i dispositivi personali per attività lavorative, contribuisce al generarsi di ulteriori rischi per la sicurezza informatica. Il phishing veicolato attraverso i siti di consumo può facilmente infettare i dispositivi e, in particolare i dispositivi personali, hanno molte più probabilità di avere un software obsoleto con vulnerabilità potenzialmente non aggiornate. Infine, il controllo decentralizzato dell’IT e la difficoltà di tracciare e mettere in sicurezza i dispositivi rendono il sistema di sicurezza molto più vulnerabile.

Sicurezza smartworking

Quali danni possono colpire una azienda che pone scarsa attenzione alla privacy nello smart working?

Il modo in cui un’azienda archivia e utilizza i dati e l’attenzione che rivolge quindi alla privacy dei clienti gioca un ruolo importante nella costruzione e nel mantenimento della propria reputazione.

Tutte le aziende sono a rischio quando si tratta di violazioni, indipendentemente dalla loro dimensione e dalla quantità di dati che gestiscono e archiviano. Un attacco informatico mirato a rubare informazioni sensibili, e a minare quindi la privacy di un’azienda, può prendere di mira qualunque tipo di realtà e l’impatto può avere conseguenze importanti, dai danni reputazionali alla società, all’interruzione del lavoro, fino a perdite economiche di una certa entità. Mentre le aziende più grandi normalmente dispongono di mezzi di riserva attraverso i quali superare queste difficoltà, per quelle più piccole le conseguenze possono essere drammatiche e portare anche a gravi interruzioni del flusso del lavoro o alla perdita di opportunità commerciali e clienti.

La protezione è, quindi, fondamentale per tutti e riguarda, in primo luogo, la messa in sicurezza di dati e applicazioni. In questo caso bisogna utilizzare soluzioni sviluppate specificatamente per le imprese, a seconda delle loro specificità e dei loro bisogni. Il nostro Kaspersky Endpoint Security for Business, ad esempio, integra la crittografia dei dati con il controllo delle applicazioni e la gestione di vulnerabilità e patch. Kaspersky Endpoint Security Cloud, invece, include varie funzioni per la protezione dei dati sui dispositivi, anche se questi vengono persi o rubati, con una protezione tramite password e funzionalità antifurto che possono bloccare, localizzare o cancellare il contenuto del dispositivo stesso.

Come organizzerebbe un piano per proteggere la privacy in un ambiente di smartworking?

Inutile dire che installare un software di protezione affidabile per tutti gli endpoint compresi i dispositivi mobili, sia il primo passo per garantire la protezione della privacy dei dipendenti e dell’azienda. Inoltre, è importante che le aziende si accertino che i dipendenti abbiano tutto ciò di cui hanno bisogno per lavorare in sicurezza anche da remoto e sappiano a chi rivolgersi in caso di problemi di sicurezza informatica. È importante prestare particolare attenzione a quei dipendenti che devono lavorare da casa utilizzando dispositivi personali e fornire loro delle indicazioni e delle raccomandazioni specifiche a livello di cybersecurity. A questo proposito, le attività di formazione alla sicurezza informatica per i dipendenti sono un valido alleato e dovrebbero essere incluse in qualsiasi piano di sicurezza aziendale. Si tratta di un tipo di formazione che può essere fatta anche online e che dovrebbe riguardare alcune tematiche essenziali, come la gestione di account e password, la sicurezza della posta elettronica, degli endpoint e della navigazione online. Inoltre, per proteggere i dati e salvaguardarli insieme ai dispositivi aziendali, è importante prevedere l’attivazione di una protezione tramite password, la crittografia dei dispositivi di lavoro e la garanzia di un backup per i dati oltre che assicurarsi sempre che tutti i dispositivi, software, applicazioni e servizi siano sempre aggiornati con le ultime patch.

Tutto ciò richiede ovviamente degli investimenti in soluzioni e competenze. Spesso questo rappresenta un ostacolo che frena diverse realtà, soprattutto quelle di piccole dimensioni. Per fortuna, però, le aziende dimostrano una maggiore consapevolezza rispetto ai rischi di sicurezza della propria rete aziendale e gli investimenti in questo senso stanno aumentando. Nel 2019, infatti, i budget aziendali per la sicurezza IT sono stati pari a circa 18,9 milioni di dollari, un aumento sostanziale rispetto agli 8,9 milioni di dollari stanziati, in media, nel 2018. Le aziende che decidono di investire in soluzioni per la cybersecurity e nell’assunzione di professionisti della sicurezza IT ottengono risultati tangibili, soprattutto quelle imprese che hanno un SOC (Security Operation Center) interno. L’adozione di un SOC può dimezzare le eventuali perdite economiche derivanti dalle violazioni dei dati, portandole ad avere un impatto medio di circa 675.000 dollari, una cifra che è meno della metà del costo medio dell’impatto indicato in generale dalle grandi imprese (1.41 milioni di dollari).  Un altro modo per contenere i costi di una violazione di dati è l’assunzione di un DPO (Data Protection Officer), un dipendente responsabile della creazione e dell’implementazione di una strategia di protezione dei dati all’interno dell’azienda stessa, nonché della gestione di eventuali problemi di conformità. L’indagine di Kaspersky ha evidenziato che più di un terzo delle organizzazioni (34%) che ha subito una violazione dei dati e che ha un DPO all’interno non ha subito alcuna perdita di tipo economico, una buona percentuale rispetto al 20% rilevato delle aziende in generale.

La creazione di un SOC interno comporta l’acquisto dei tool necessari, l’elaborazione dei processi e l’assunzione degli analisti, un iter che può rappresentare una sfida per qualsiasi azienda. Allo stesso modo, trovare un DPO, una figura professionale in grado di fondere competenze di carattere giuridico e di cybersecurity, non è un compito facile. Si tratta di azioni che richiedono tempo, budget e spesso i responsabili della sicurezza sono in difficoltà nel giustificare questo tipo di iniziative. Nonostante questo, come dimostra il nostro studio, si tratta di investimenti utili. È chiaro che il solo fatto di avere un dipendente dedicato, o anche un team specializzato, non mette l’azienda al riparo dai data breach; assicura, però, che l’azienda sia effettivamente preparata ad affrontare eventuali incidenti, riprendendosi da un eventuale attacco in modo più rapido ed efficiente.

Uno degli aspetti più pericolosi per la privacy è che documenti importanti e riservati vengano visualizzati e gestiti su dispositivi di cui il dipendente fa anche un uso personale. Come si può minimizzare il rischio?

Utilizzare i dispositivi forniti dal datore di lavoro al di fuori dell’infrastruttura di rete aziendale così come utilizzare i propri dispositivi personali per lavoro, contribuisce ad aumentare i rischi legati alla fuga di dati. I dipendenti, infatti, sono diventati un obiettivo primario per la criminalità informatica: sfruttare le debolezze umane come la disattenzione, l’ignoranza o la negligenza è molto più facile e meno costoso che cercare di ingannare sofisticati software di protezione.

Per ovviare a questi rischi tutte le organizzazioni dovrebbero garantire un accesso sicuro al network aziendale e formare e sensibilizzare i propri dipendenti sui possibili rischi informatici in cui possono incorrere lavorando da casa.  Un dipendente adeguatamente formato seguirà le policy di sicurezza e le migliori pratiche fornendo un contributo importante alla protezione dell’azienda e alla sua reputazione e riducendo drasticamente la possibilità che l’azienda diventi vittima di un attacco informatico a causa di azioni guidate dalla mancanza di consapevolezza dei dipendenti.

Quali strumenti si possono usare per proteggere la privacy dello smartworking tenuto conto che le PMI in crisi non hanno grosse cifre da spendere?

Trovare un equilibrio tra i limiti di budget e la lotta costante per stare al passo con un panorama delle minacce in continua evoluzione è uno dei problemi con cui gli esperti di sicurezza si scontrano spesso.

Nonostante gli incidenti di sicurezza informatica incidano notevolmente sulle operazioni commerciali delle aziende, giustificare gli investimenti in sicurezza informatica rimane una sfida costante. Eppure le violazioni dei dati diventano, di anno in anno, sempre più impattanti per le aziende dal punto di vista economico. Lo dimostra il nuovo report di Kaspersky, dal titolo “IT security economics in 2019: how businesses are losing money and saving costs amid cyberattacks”. Secondo quanto emerso da questa indagine, nel 2019 le conseguenze di queste violazioni ha raggiunto la cifra di 1,41 milioni di dollari, in aumento rispetto alla quota di 1,23 milioni di dollari registrata per l’anno precedente. Questo trend non accennerà a diminuire. Secondo gli esperti di Kaspersky, infatti, il 2020 sarà sempre più caratterizzato da attacchi in relazione alla diffusione dei servizi cloud e, tenuto conto che i confini delle infrastrutture sono diventati ormai piuttosto labili, gli autori delle minacce adotteranno tecniche maggiormente sofisticate e sceglieranno di aumentare la frequenza degli attacchi stessi.

Quello che anche le aziende di piccole dimensioni, dovrebbero capire è che le spese di ripristino dopo un attacco informatico sono di gran lunga superiori a quelle degli investimenti necessari per mettere in sicurezza la loro azienda. E soprattutto, un attacco informatico potrebbe causare anche la fine dell’attività per una piccola impresa.

In molti casi poi dotarsi di una buona soluzione di sicurezza è sufficiente per proteggere la privacy ed evitare incidenti. Per le PMI, che potrebbero non essere in grado di dare la priorità alla sicurezza informatica, essendo concentrate prevalentemente sul business, Kaspersky mette a disposizione la soluzione Kaspersky Small Office Security, che consente una protezione immediata da malware, frodi finanziarie, phishing e altre minacce che non richiede particolari competenze tecniche, arrivando ad offrire anche una protezione estesa dei server e l’aggiornamento delle applicazioni, in modo da arginare tutte le minacce, comprese quelle che possono derivare da eventuali vulnerabilità ancora non risolte.

Alessandro Trizio

Alessandro Trizio

Consulente Senior di diritto sul web e analisi informatiche forensi. E' direttore del reparto di bonifica reputazionale e crisis management.