Per limitare i problemi di cybersecurity portati dallo smart working molte aziende vogliono limitare all’uso strettamente professionale i dispositivi aziendali.

dispositivi aziendali

Salvo poche eccezioni, soprattutto nei settori più critici, capita spesso che i dispositivi aziendali vengano utilizzati anche per talune attività personali – se non per tutte. Ancor di più se si tratta di notebook o altri dispositivi mobili, che però costituiscono uno tra i più “efficienti” vettori di attacchi ai sistemi informativi delle organizzazioni. È ipotizzabile un mondo in cui l’uso privato e professionale dei dispositivi sia strettamente separato?

Postazioni di lavoro dotati di dispositivi aziendali: una porta aperta su qualsiasi sistema informativo

In linea di principio, gli attacchi malevoli ai danni di aziende o pubbliche amministrazioni hanno generalmente due obiettivi, spesso associati: denaro e informazioni. Nel frattempo, gli attacchi vengono industrializzati, affinché gli aggressori possano garantirne efficienza e riproducibilità.

Tra i metodi più in voga, l’hacking nelle reti Wi-Fi non protette è molto efficace, ma richiede un accesso fisico alla rete. Gli attacchi contro server mal protetti possono causare danni, ma spesso rimangono confinati ai loro ambienti applicativi. È inoltre possibile attaccare la VPN-SSL dell’organizzazione se è vulnerabile. Ma niente è paragonabile al successo ottenuto prendendo di mira gli utenti via e-mail (phishing) o mentre navigano (installando malware sui computer tramite siti web corrotti).

Anche qualora siano ben protetti, i dispositivi aziendali utilizzati dagli utenti, sono di gran lunga i più attaccabili in quanto, per definizione, è collegato all’Active Directory dell’azienda (lo strumento di directory più comune sul mercato); una soluzione che, nonostante gli sforzi degli sviluppatori, è soggetta a numerose vulnerabilità che, favorendo l’abuso di un account utente, consentono di accedere remotamente alla risorsa e di ascriversi maggiori privilegi, spalancando le porte al tanto ambito “accesso Admin” e a tutti i dati dell’azienda.

Una cybersecurity proattiva e trasparente per l’utente

Secondo alcuni, proteggersi adeguatamente non è mai stato più facile: oltre a dotarsi di un software di cybersecurity dedicato, basterebbe tenere aggiornati i propri dispositivi aziendali e le proprie postazioni di lavoro per evitare lo sfruttamento di falle note. Ma occorre tener conto anche delle vulnerabilità Zero Day, grazie alle quali i cyber-aggressori sono sempre più produttivi.

Per contrastare questi rischi l’implementazione, nei dispositivi aziendali, di soluzioni in grado di bloccare attività non di routine delle applicazioni o del sistema rimane una pratica efficace e proattiva. In sostanza, il malware ha comportamenti molto specifici nella sua ricerca di qualsivoglia spiraglio per entrare e manipolare i sistemi. Questi strumenti però devono essere il più trasparente possibile per l’utente, in modo da consentire lo svolgimento dei compiti quotidiani con tranquillità ed evitare la perdita di produttività a causa di blocchi permanenti. Né l’uso di tali strumenti deve dar adito ad un abbassamento del livello di guardia da parte dell’utente.

Non solo condizioni d’uso: verso un impiego strettamente professionale dei dispositivi aziendali

A parte alcuni settori che trattano dati sensibili, in cui le postazioni di lavoro sono praticamente blindate e limitano l’utilizzo al minimo indispensabile, molti utenti usano i loro dispositivi aziendali spesso per scopi personali, permettendo persino ai loro figli di avvalersene, anche per il gaming online. Questa situazione è senza dubbio esacerbata dal ricorso reiterato e massiccio all’home office, specie nei – relativamente pochi – casi in cui è addirittura l’azienda stessa a richiedere al dipendente di utilizzare il suo PC o dispositivo mobile personale per evitare di doverne mettere a disposizione uno aziendale.

Sebbene diverse organizzazioni abbiano fornito ai propri dipendenti strumenti informatici e introdotto condizioni di utilizzo degli stessi, solo poche applicano sanzioni concrete in caso di comportamento imprudente, anche se questo si rivela foriero di situazioni particolarmente gravi per tutto il sistema informativo (perdita, furto di dati o ransomware, ecc.).

Con lo sviluppo dell’home computing (smartphone, tablet, PC, accesso a internet), associato a rischi digitali sempre maggiori per le organizzazioni, è forse giunto il momento che il tipo di utilizzo dei dispositivi aziendali e degli strumenti messi a disposizione dei dipendenti venga limitato ad attività professionali.

In questo caso, si parlerebbe di dispositivi di servizio (solo per uso professionale) e non più di dispositivi assegnati in base alla funzione (ad uso “globale” da parte del dipendente). Questo non risolverà tutti i problemi di cybersecurity, ma potrebbe per lo meno contribuire a cyber-responsabilizzare i dipendenti e quindi a migliorare l’utilizzo dei dispositivi.