L’impiego massiccio del telelavoro da parte delle aziende è una valida soluzione per limitare i contagi del COVID-19, ma può aumentare i rischi informatici. Ecco allora alcune norme per la sicurezza aziendale e la gestione dei cyber risk causati del lavoro remoto.
Rischi informatici e COVID-19
La pandemia causata dal Coronavirus (COVID-19) dilaga ormai in tutti i paesi del mondo e, per ridurre la possibilità del contagio, si stanno riducendo tutti i contatti umani. Tantissime aziende, infatti, stanno mettendo in pratica un sistema di telelavoro per continuare l’attività lavorativa.
Ma il telelavoro, il “lavoro a distanza” o semplicemente “il lavoro da casa” se da un lato limita la diffusione del contagio, dall’altro aumenta esponenzialmente i rischi informatici.
Ecco allora alcune norme da seguire per evitare di esporre le aziende a cyber attack.
Rivedere la politica sulla sicurezza aziendale
Per limitare i rischi informatici, bisogna prima di tutto rivedere la strategia per la sicurezza delle informazioni per determinare linee guida per lo smart working e l’accesso da remoto ai sistemi informatici aziendali.
Alcune aziende possono avere politiche specificamente orientate al lavoro remoto, mentre altre possono prevedere contingenze nei piani di ripristino di emergenza, come politiche BYOD (bring your own device – porta il tuo dispositivo) etc.
Se non sono in atto piani o politiche pertinenti, bisogna stabilire alcune linee per indirizzare l’accesso remoto ai sistemi aziendali e regolare l’uso di dispositivi personali per il lavoro.
L’aumento dei rischi informatici per la sicurezza causato dal lavoro da remoto rafforza la necessità di predisporre un piano straordinario in caso di criticità.
Rischi informatici e comunicazione interna
I manager devono avere familiarità con le politiche di sicurezza applicabili e garantire che le informazioni pertinenti siano trasmesse al proprio team. È essenziale che l’azienda sia allineata a tutti i livelli, soprattutto considerando che molti dipendenti non hanno dimestichezza con la cyber security o semplicemente non hanno mai lavorato da remoto prima di questo momento.
Fornire assistenza a tutti i dipendenti è fondamentale.
Contro i cyber risk è necessaria un’adeguata formazione del personale
Per la formazione diretta dei dipendenti, bisogna innanzitutto fornire loro un elenco preciso di tutte le tipologie di dati da proteggere dai rischi informatici. Tra questi ci sono tutti i dati vitali per l’azienda come informazioni commerciali riservate, segreti commerciali, proprietà intellettuale, prodotto del lavoro, informazioni sui clienti e sui dipendenti e altre informazioni personali.
Infine, bisogna creare un sistema di sicurezza nel trasferimento dati, specie quelli sensibili. Ad esempio le e-mail archiviate o inviate a, o da dispositivi remoti, devono essere crittografate durante il trasporto.
Alcune norme di comportamento per ridurre i rischi informatici
Per ridurre i rischi informatici dello smart working, le informazioni sull’azienda non devono essere scaricate, nè salvate su dispositivi personali o servizi cloud dei dipendenti, inclusi computer, chiavette USB o i servizi cloud personali come account Google Drive o Dropbox.
Bisogna anche vietare la condivisione di computer di lavoro e altri dispositivi.
Quando i dipendenti portano a casa i dispositivi di lavoro, questi non devono essere condivisi o utilizzati da nessun altro a casa. Ciò riduce il rischio di accesso non autorizzato o involontario alle informazioni aziendali protette.
Controllare le postazioni operanti da remoto
Altri accorgimenti riguardano poi il lavoro che i dipendenti svolgono da casa.
È necessario assicurarsi che il lavoratore possegga un software antivirus sul proprio pc con tutte le versioni aggiornate e con tutte le patch necessarie.
Le funzioni “Ricorda password” devono sempre essere disattivate quando i dipendenti accedono ai sistemi informativi aziendali e alle applicazioni dai propri dispositivi personali.
Contro i rischi informatici occorre formazione
Mentre COVID-19 aggredisce il mondo intero, cresce anche il numero di e-mail di phishing basate sul virus che fanno leva sulle preoccupazioni per la salute.
Per questo, bisogna formare i dipendenti sulla gestione di phishing e altre forme di attacco che coinvolgono dispositivi e accesso remoto ai sistemi aziendali.
Le reti private virtuali (VPN) infine assicurano che il traffico Internet sia crittografato, soprattutto se connesso a una rete Wi-Fi pubblica.
Se l’azienda ha una VPN, sarebbe preferibile assicurarsi che i dipendenti la utilizzino durante il lavoro e quando accedono ai sistemi aziendali da remoto.