“Smartworking al 70% nella Pubblica Amministrazione!”
Questa dichiarazione rilasciata dal presidente del consiglio Conte, che non successivamente non è stata inserita nel DPCM ottobre in vigore nella giornata del 14 ottobre, ha trovato molto favorevoli tutta una serie di categorie di lavoratori che avrebbero visto proseguire ed aumentare la possibilità di lavorare da casa.
Tralasciando l’aspetto squisitamente organizzativo, sicuramente di notevole impatto nelle imprese e nella PA, ci concentreremo sugli aspetti di cyber risk del lavoro da remoto.
Molte aziende ancora oggi si trovano ad affrontare problemi legati alla sicurezza nel trattamento dei dati derivante dal fatto di far lavorare il proprio personale da casa piuttosto che in ufficio in quanto non sempre esiste una simmetria perfetta tra l’organizzazione del lavoro in ufficio e quanto svolto presso le case di ognuno dei dipendenti.
Chissà quante domande i vari responsabili ICT avranno ricevuto circa gli strumenti da utilizzare per lavorare da casa, ma quanti responsabili operations si sono fatti una domanda del tipo: ma le informazioni che vengono trattate durante l’ordinario lavoro in ufficio sono gestite in maniera adeguata anche da casa? Non parliamo solo dal punto di vista tecnico, come l’installazione di un antivirus, ma anche di come vengono gestite le informazioni contenute su documenti cartacei che per natura del lavoro stesso devono essere utilizzate in questo formato.
Riporto una recente survey di Fortinet su quelle che sono le più grandi minacce di tipo non tecnico:
• dipendenti vittime di attacchi di phishing (circa il 38%);
• spear phishing (21%);
• uso di password inadeguate (16%);
• navigazione in siti web sospetti (7%).
In altre parole, il settore ICT potrà spendere qualsiasi cifra per abbassare il rischio dal punto di vista tecnico ma non potrà far altro che affidarsi alle conoscenze ed alle capacità degli utenti che utilizzano i dispositivi di lavoro per rendere innocui gli attacchi esterni. In sintesi, fare affidamento in quello che viene definito lo:
HUMAN FIREWALL
Per fare questo però dobbiamo andare ad investire sulla formazione delle persone per far capire che loro sono i soggetti più importanti per contrastare le minacce alle informazioni trattate in azienda.
In particolare, affrontare i temi:
· phishing
· password robuste
· virus detect
· navigazione sicura
· change management
· autenticazione a due fattori (2FA)
· utilizzare VPN
Utilizzare una serie di strumenti adatti ad ogni utente come:
Nei prossimi interventi approfondiremo tutti gli aspetti tecnici per dare ulteriori strumenti di governo per questo fenomeno in evoluzione ed un decalogo sugli strumenti più utilizzati ed utili per raggiungere l’obiettivo di rendere maggiormente resiliente il proprio sistema di protezione.
Per poter procedere con un corretto approccio si devono approfondire una molteplicità di aspetti integrati dal punto di vista tecnico, organizzativo e legale affrontati con competenze elevate.
Anni di esperienza hanno portato ad avere un bagaglio tecnico tale da affrontare questo argomento con serietà e praticità.
Per ogni chiarimento o approfondimento scrivici info@cartesiostudio.com
Comments