Telelavoro, Agile Working e Smart Working in sicurezza.. informatica!
Permettere a dipendenti e collaboratori di accedere alle risorse aziendali da remoto, senza limiti di orario, al fine di svolgere le proprie mansioni e collaborare con i colleghi è un tema di grande interesse con cui ogni manager si dovrà confrontare.
La domanda è: come rendere lo smart-working sicuro per il patrimonio aziendale?
Se il furto di progetti, liste di clienti e documenti è una preoccupazione per i dipendenti che lavorano dalla scrivania accanto, figuriamoci quanto, almeno psicologicamente, il problema sia sentito per un collaboratore remoto che non possiamo monitorare.
Da una parte l’accesso alle informazioni è necessario per lo svolgimento delle mansioni, dall’altro queste informazioni sono spesso duplicabili in massa e potrebbero finire nelle mani del nostro concorrente più agguerrito.
La sicurezza degli spazi di lavoro virtuali va quindi pianificata e presa sul serio. Magari con l’aiuto di un partner fidato e specializzato in Sicurezza delle Informazioni ed Ethical Hacking.
Caro lettore, non scrivo spesso e quando lo faccio cerco di comunicare informazioni utili. Spero di riuscire in questo intento e accetto volentieri i tuoi suggerimenti. La mia casella di posta personale è francesco.ongaro@isgroup.it.
Francesco Ongaro è l’Amministratore Unico di ISGroup SRL, azienda Italiana che si occupa di sicurezza informatica offensiva da 15 anni.
I tipi di telelavoro e smart working
Il telelavoro è una soluzione sempre più comune per diversi tipi di aziende e garantisce risparmio e flessibilità sia al lavoratore che al datore di lavoro. Gli strumenti di smart-working però espongono l'azienda a rischi legati alla Sicurezza Informatica e delle Informazioni.
Una piccola introduzione sulle modalità di telelavoro:
-
Da casa (“home working” o “home office”) il lavoratore presta sempre la sua opera dal proprio domicilio o per periodi limitati di tempo, ad esempio qualche giorno la settimana o in determinati periodi dell’anno o in caso di avvenimenti straordinari.
Dotato di un ufficio casalingo il lavoratore o teleworker svolge le sue mansioni in maniera autonoma e con strumenti propri o forniti dall’azienda.
Il livello di sicurezza varia a seconda dell’utilizzo esclusivo di strumenti di proprietà del collaboratore o nel caso in cui l’azienda abbia deciso di investire di più dotandolo di strumenti aziendali.
-
In mobilità (“mobile working”, “working out” o “roadwarrior”) in tutti quei casi in cui le attività lavorative vanno svolte in luoghi sempre diversi, come ad esempio presso la sede o l’abitazione di un cliente, durante un viaggio in macchina o in treno o in un cantiere.
Per questioni di spazio e trasportabilità gli strumenti non vanno oltre ai più comuni, quindi il computer portatile (un notebook/laptop o una mobile workstation), il tablet (iPad, Android e Windows) ed il telefono cellulare.
Questo scenario è il più difficile da proteggere in quanto alle problematiche di sicurezza logica si aggiungono anche quelle di sicurezza fisica, sia nel caso di strumenti propri che aziendali.
-
In centri di telelavoro (siano essi “cottage tecnologici” come andava di moda in passato, o i più moderni “co-working”) in cui il lavoro viene svolto in strutture satellite dell'azienda che possono essere condivise tra più aziende o professionisti.
Dato che il luogo fisico è determinato ed appositamente predisposto, possono essere utilizzate delle tecnologie avanzate che nelle precedenti casistiche non sono pensabili sia in termini di hardware che di software.
Nel caso di strutture condivise il livello di sicurezza raggiungibile può essere molto buono, se si è interessati ad offrire un valore aggiunto. La problematica assomiglia a quella di fiere ed eventi. A suo tempo abbiamo aiutato EXPO2015 e Fiera Milano quindi contattateci pure sull’argomento.
-
Il telelavoro Office-to-Office in cui l'azienda predispone degli uffici non condivisi e ad uso esclusivo in aree distanti o diverse da quelle della sede centrale. Si tratta di uffici a tutti gli effetti organizzati secondo i diversi schemi open-space, cubicolo o stanze tradizionali.
Questa casistica è particolarmente diffusa in quelle aziende che operano su ampi territori geografici e nel caso di aziende multinazionali. Il livello di sicurezza raggiungibile è elevato grazie all’interesse diretto nell’utilizzo delle migliori tecnologie hardware e software.
Come mettere in sicurezza lo smart-working nel caso di sistemi non aziendali
Partiamo dalla prima casistica in cui il lavoratore è presso la propria abitazione. Se i sistemi utilizzati per interagire con i dati dell'azienda sono di proprietà del prestatore d'opera non esiste un modo per conoscerne lo stato di sicurezza e compromissione.
In questo caso consigliamo di partire dal presupposto della totale compromissione dei dispositivi e quindi utilizzare degli strumenti che creano un netto grado di separazione tra le risorse Aziendali e l’utente e gli apparati appartenenti alla rete casalinga.
Per darvi un’idea dei rischi, in numerose telecamere economiche di produttori asiatici pressoché sconosciuti è stato trovato codice malevolo che scansiona la rete e cerca di esfiltrare dati. Quindi non è necessario che il dipendente sia infedele per subire furti di dati.
Le architetture in grado di creare questa separazione sono principalmente due:
-
Le applicazioni web (“Web Application”) rendendo di fatto il telelavoratore un normale navigatore di un “sito internet” ma che però supporta un particolare processo aziendale.
La sicurezza viene garantita da un protocollo di comunicazione client-server definito e conosciuto sulla base del quale l’applicazione web, se ben congeniata, riesce ad Autenticare l’utente, Autorizzare l’accesso alle sole risorse/informazioni su cui si ha il permesso di operare e limitare l’azione dell’utente secondo una ben definita logica di business (Business Logic).
Per verificare che tutto questo avvenga e che un attaccante non riesca a bypassare facilmente i controlli si ricade nell'ambito della sicurezza delle applicazioni web. Il consiglio e sottoporre l'applicazione web ad un Web Application Penetration Test eseguito da esperti e secondo prassi riconosciute come OWASP Testing Guide (OWASP sta per Open Web Application Security Project ed è un progetto americano meritorio nell’ambito della sicurezza informatica).
Un Web Penetration Test per un’applicazione di media complessità può durare dai cinque ai dieci giorni e costare dai 3500 ai 10000 euro a seconda dei casi. È in grado di identificare le vulnerabilità più importanti, anche di logica del business, in un tempo ragionevole e ha una forte connotazione consulenziale che vi permetterà di conoscere una opinione terza. Se pensate che conoscere sia un passo fondamentale per agire questa è l’attività che fa per voi e vi invitiamo a contattarci.
-
Le soluzioni di Desktop Remoto (“Remote Desktop” o “VDI”) che permettono all'utente di accedere in maniera grafica ed interattiva ad un sistema operativo in esecuzione su un server remoto, in genere dentro l’azienda, e quindi con accesso alle risorse a cui il dipendente avrebbe normalmente accesso se fosse fisicamente in ufficio.
La sicurezza viene garantita dalle restrizioni a livello di sistema operativo predisposte presso il sistema terminal come ad esempio Microsoft Terminal Services, Microsoft Remote Desktop, Citrix XenApp, VMware Horizon solo per citarne alcuni tra i più conosciuti.
Le potenzialità di un desktop remoto sono molte (familiarità per l’utente, un ambiente unificato per l’operatività in ufficio ed in remoto, la possibilità di eseguire applicativi e gestionali Windows, etc) ma anche i potenziali rischi in quanto le opportunità di iterazione col sistema operativo sono più numerose e varie rispetto che con una applicazione web.
Il consiglio è di effettuare un Penetration Test sullo scenario specifico, ovvero una simulazione di un attaccante autenticato appartenente al gruppo di utenza dei telelavoratori. Il risultato sarà un report dettagliato sugli impatti identificati e le risorse accedute.
In entrambe le casistiche, sia di applicazioni web accedute tramite browser che di sistemi acceduti tramite Virtual Desktop Infrastructure, la sicurezza delle comunicazioni (ovvero di come i dati, incluse le credenziali di collegamento, vengono trasportate dalla connessione del lavoratore alla connessione dell’azienda) è particolarmente importante. A questo proposito vanno seguite le Best Practice di configurazione dei canali di comunicazione sicura HTTPS e TLS.
Come mettere in sicurezza lo smart-working nel caso di sistemi aziendali
Se invece si è optato per dotare il lavoratore di strumenti di proprietà dell'azienda è possibile “estendere” le politiche di sicurezza aziendali remotamente tramite strumenti di MDM (Mobile Device Management) per quanto riguarda cellulari e tablet e Windows Group Policy per quanto riguarda i computer portatili Windows.
Per la scelta e la configurazione di questi sistemi, come ad esempio MobileIron Unified Endpoint Management, VMWare AirWatch o Kaspersky Security Center per citarne alcuni, è bene far uso di consulenti esperti che riescano effettivamente a proteggere l’azienda dai rischi informatici. Capita a volte che questi strumenti non vengano resi efficaci e rappresentino solamente una spesa.
Verificare la sicurezza dei mobile worker/roadwarriors
Per verificare la sicurezza dei roadwarrior è possibile effettuare simulazioni specifiche, come ad esempio quelle di Man in The Middle (MitM, ovvero intercettazioni del traffico), in cui gli apparati aziendali vengono collegati ad una rete volutamente insicura e malevola al fine di carpire informazioni ed arrecare un danno sia all’azienda che al lavoratore.
La sicurezza dei computer aziendali utilizzati per il lavoro a distanza
In aziende di medie e grandi dimensioni l’installazione dei portatili avviene in maniera automatica e partendo da immagini che contengono la maggior parte delle configurazioni e migliorie che lo staff tecnico ha individuato nel tempo.
Per le aziende più piccole è comunque consigliabile avere una lista di requisiti base che sia l’hardware che il sistema operativo devono soddisfare, pena trovarsi poi con delle versioni di Windows che non supportano le funzionalità di sicurezza di cui necessitiamo.
Laddove è possibile implementare un’infrastruttura tradizionale, quindi sia nel caso di strutture condivise tra più aziende come Co-Working o di uffici periferici, è possibile raggiungere un ottimo livello di sicurezza utilizzando un mix di tecnologie tra cui:
Sicurezza a livello di rete (autenticazione delle porte di rete 802.1x) e delle reti WiFi (WPA 2 Enterprise con credenziali personali);
VPN Site-to-Site, sistemi firewall e UTM in grado di identificare e prevenire i più comuni attacchi e virus;
Logging, IDS ed IPS per identificare gli attacchi e le anomalie;
Alcune delle soluzioni viste fino ad ora in questo articolo.
È importante coinvolgere esperti di sicurezza nella fase di progettazione di tali infrastrutture per evitare macro-errori architetturali.
Una volta implementate vanno sottoposte periodicamente ad:
-
attività di Vulnerability Assessment con cadenza almeno trimestrale in grado di verificare il la corretta esecuzione dei processi di Patch Management (mantenimento dello stato di aggiornamento dei sistemi), la configurazione sicura degli apparati e la bontà delle credenziali di accesso, verificando quindi che i manutentori di tali infrastrutture non abbassino mai la guardia utilizzando password di default o password deboli o riutilizzino password comuni tra i vari sistemi;
-
attività di Penetration Test con cadenza almeno annuale per verificare le regole di visibilità di rete, la corretta segmentazione delle reti ed identificare potenziali impatti dalle sedi periferiche alle sedi centrali.
In sintesi
Il telelavoro o Smart Working è un'opportunità interessante per le aziende, soprattutto quando effettuato in sicurezza grazie alla verifica di una terza parte indipendente e fidata.
Siamo a completa disposizione per fornirvi un consulto gratuito che vi permetta di indirizzare gli sforzi e chiarire le idee. Sentitevi liberi di contattarci al nostro indirizzo e-mail sales@isgroup.it