Mentre le restrizioni di blocco continuano ad allentarsi in tutto il Regno Unito, le aziende stanno iniziando a considerare un ritorno al lavoro - almeno a tempo parziale. Ma questo creerà una situazione totalmente nuova per molte aziende: Un ambiente di lavoro ibrido che esiste tra il lavoro e la casa, aggiungendo significativi rischi di sicurezza informatica.
Quando il blocco COVID-19 ha colpito per la prima volta il Regno Unito a marzo, le aziende hanno dovuto adattarsi rapidamente su scala. Ma anche i cyber-criminali si sono adattati a questo nuovo ambiente, inviando in massa e-mail di phishing mirate e truffe via SMS.
Nel mese di aprile, Google ha detto di aver visto più di 18 milioni di malware giornalieri e e-mail di phishing relative a COVID-19 in una sola settimana. Entro maggio, più di 800.000 sterline sono state perse a causa di truffe di coronavirus, secondo i rapporti fatti al National Fraud Intelligence Bureau.
Il phishing è spesso un percorso per distribuire ransomware - una forma di malware che cripta i dati aziendali fino a quando non viene pagato un riscatto. Ad aprile, il Cybercrime Threat Response dell'Interpol ha detto di aver rilevato un "aumento significativo" nel numero di tentativi di attacchi ransomware contro organizzazioni chiave in tutto il mondo.
E più recentemente, il presunto assalto ransomware che ha colpito l'azienda tecnologica Garmin ha dimostrato quanto facilmente un attacco informatico può portare le operazioni di business ad un arresto, con un impatto sulla percezione dei clienti e, infine, sulla reputazione di un'azienda.
Durante il COVID-19, il danno reputazionale causato da una violazione può essere anche peggiore. Pensate alla compagnia aerea assediata EasyJet, che a maggio ha ammesso di essere stata violata in un "attacco informatico altamente sofisticato" all'inizio dell'anno.
Quindi, come fanno i leader della sicurezza a evitare i rischi che possono alla fine danneggiare la loro azienda quando la forza lavoro esiste tra il lavoro e la casa?
Riconoscere i rischi
È innanzitutto importante riconoscere le sfide che sono già emerse nell'ambiente del lavoro da casa. Con l'intera popolazione sotto pressione negli ultimi mesi in mezzo alla pandemia COVID-19, le aziende non hanno voluto gravare ulteriormente sui dipendenti.
Questo significa che in molti casi, la formazione sulla sicurezza informatica è caduta nel dimenticatoio - un problema importante dato gli attacchi di phishing che sono fin troppo comuni durante COVID-19.
Nel frattempo, molte aziende non sono riuscite a rivedere le loro politiche in linea con questo ambiente di lavoro improvvisamente cambiato, aggiungendo ulteriori rischi.
Senza i sistemi di comunicazione semplificati a cui sono abituati, i dipendenti possono cadere in tentativi di phishing e in alcuni casi dare involontariamente via preziose credenziali aziendali - o addirittura aprire la strada ad attacchi ransomware.
Tre scenari di sicurezza informatica
L'ambiente di lavoro ibrido COVID-19 aggiunge sfide che abbracciano tre scenari: Bring Your Own Device (BYOD), lavoro da casa e lavoro dall'ufficio.
La tendenza BYOD è in atto da anni, e le aziende stanno imparando a gestirla attraverso politiche e strumenti come la gestione dei dispositivi mobili. Ma la sicurezza informatica durante la pandemia apre ancora più vie di rischio.
I dipendenti portano a casa i computer portatili di lavoro, o possono usare il proprio hardware per connettersi alla rete aziendale. Possono, o non possono, usare una rete privata virtuale (VPN).
Allo stesso tempo, le aziende incoraggeranno l'uso di software di collaborazione per rimanere connessi mentre i dipendenti esistono tra casa e ufficio. Questo può significare che i dipendenti scaricano app come Microsoft Teams sui loro telefoni, o usano app non approvate per rendersi più efficienti - tutto all'insaputa dell'IT.
Poi ci sono altri rischi del lavoro da casa e cambiamenti sociologici e amministrativi da considerare. Ci sarà spesso più di una persona che lavora da casa. Le persone visualizzeranno naturalmente preziosi dati aziendali sui loro schermi, che chiunque entri in casa potrà vedere.
È fin troppo comune per le persone uscire senza chiudere a chiave il loro computer, ma cosa succederebbe se questo fosse per visualizzare accidentalmente informazioni aziendali sensibili che potrebbero essere esposte da qualcun altro che vive o sta visitando la proprietà?
I router domestici sono un'altra sfida. Sono vulnerabili a molteplici tipi di assalti informatici che potrebbero mettere a rischio i dati aziendali, come gli attacchi man-in-the-middle che vedono gli avversari in grado di spiare il traffico di rete.
Lo scenario del lavoro dall'ufficio aggiunge ulteriore complessità. Per esempio, il dipendente sta portando un portatile tra il lavoro e la casa; sta inviando file sensibili a un altro dispositivo per lavorarci da casa?
In questo ambiente nuovo e ibrido, i controlli di sicurezza tradizionali semplicemente non sono adatti allo scopo. La nuova "normalità" lavorativa richiede un approccio rinnovato che includa controlli e strumenti di sicurezza informatica, politiche e formazione.
Il WFH è un progetto di trasformazione digitale, non un progetto IT
È già chiaro che la sicurezza informatica nell'era COVID richiede un cambio di mentalità. 20 anni fa, questo nuovo ambiente di lavoro non sarebbe stato nemmeno possibile, perché la tecnologia non c'era e i dipendenti erano cablati nei sistemi interni. Ora, le riunioni possono avvenire in videoconferenza, mentre il cloud e le app rendono più facile che mai scaricare file, collaborare e comunicare.
Ma dato che queste innovazioni aggiungono anche rischi di sicurezza informatica, un approccio sensato sarebbe quello di considerare il lavoro da casa come un progetto di trasformazione digitale, piuttosto che un progetto IT.
Le aziende devono prima esaminare le loro politiche e fornire una chiara educazione ai dipendenti su cosa fare e cosa non fare. Come parte di questo, è una buona idea riprodurre le situazioni: Per esempio, "questa stampante è un dispositivo connesso al Wi-Fi, ecco i rischi che comporta" mentre si incoraggiano le migliori pratiche di base come il patching.
Il National Cyber Security Centre (NCSC) del Regno Unito offre alcuni buoni consigli per i dipendenti che lavorano da casa. In una situazione BYOD, per esempio, l'NCSC consiglia alle aziende di essere consapevoli del rischio di perdita o furto dei dispositivi. Per aiutare a ridurre la minaccia, dice, assicurarsi che i dispositivi criptino i dati mentre sono a riposo, e controllare che la crittografia sia attivata e configurata.
Nel frattempo, il personale dovrebbe usare una VPN a casa, e dovrebbe essere completamente patchata. Le aziende potrebbero aver bisogno di aggiungere più licenze, capacità o larghezza di banda se l'azienda ha ampliato notevolmente il numero di utenti remoti.
È anche importante delineare come l'educazione può aiutare a fermare, per esempio, i dipendenti che cadono in attacchi di phishing. Il personale dovrebbe anche sapere come segnalare i problemi, compresi i tentativi di phishing o i dispositivi persi, così come come mantenere aggiornati il software e l'hardware di casa e del lavoro.
Naturalmente, qualsiasi revisione della sicurezza richiederà il consenso del consiglio di amministrazione. I leader della sicurezza possono usare esempi come EasyJet e Garmin per dimostrare perché un attacco informatico può essere un pericolo per il business finanziariamente e reputazionalmente, specialmente durante una pandemia.
Nel complesso, richiede un approccio olistico che coinvolge tutti in azienda, coprendo sia l'ambiente di lavoro che quello domestico. Con il panorama che cambia continuamente con l'emergere di nuove minacce, la sicurezza informatica deve essere un progetto costante, non un esercizio di spunta.
Asset gratuito di consapevolezza cibernetica per aiutare le organizzazioni a tornare al lavoro
Cyber Security Awareness per Dummies è una risorsa indispensabile per implementare il cambiamento comportamentale e creare una cultura di consapevolezza informatica.
In questa guida, imparerete:
- Cosa significa la consapevolezza della sicurezza informatica per la tua organizzazione
- Come implementare una campagna di consapevolezza del rischio informatico
- Il ruolo critico delle politiche per stabilire basi sicure
- Come mantenere lo slancio e l'impegno del personale
- 10 migliori pratiche di consapevolezza della sicurezza informatica
