Negli ultimi 2 anni ci siamo abituati all’uso di parole come smart working e remote working. Tra febbraio e marzo 2020 tutte le aziende si sono dovute misurare con lo smart working. Hanno dovuto abilitare questa funzione sia per i loro sistemi centrali, sia per gli utenti.
Gli è stato chiesto un salto verso il futuro, ma non tutte le aziende erano pronte. Nella la maggior parte di queste si è sentita la mancanza di una strategia, oltre che di un supporto tecnico. Tante hanno cercato di privilegiare l’attivazione della nuova modalità di lavoro, e solo dopo, sono entrate nel merito della sicurezza e delle regole da impartire ai propri utenti.
Gli utenti troppo spesso non hanno ricevuto la formazione necessaria per lavorare correttamente in questa nuova modalità.
Non abbiamo un pc da darti, usa il tuo pc di casa!
Dal punto di vista della sicurezza, questa soluzione è la peggiore. Capiamo la difficoltà nel trovare device per tutti i dipendenti, ma questa scelta può essere legittima solo se i sistemi centrali offrono certe funzionalità.
Il pc di casa spesso è un device condiviso tra i componenti della famiglia, senza fare distinzione di utente: utente unico, desktop unico, browser unico.
Inoltre non riceve un livello adeguato di supporto e di aggiornamenti (specie di sicurezza) e, soprattutto, entra in contatto con chiavette usb di amici, parenti, compagni di scuola, delle quali non possiamo controllare i livelli di sicurezza. A volte sul pc domestico non abbiamo licenze ed è pertanto una buona collezione di applicativi pirata o di materiale video scaricato illegalmente.
Una soluzione prospettata da alcuni amministratori IT è quella di installare client VPN proprio su dispositivi casalinghi. In queste situazioni viene estesa la rete aziendale a sistemi non controllati, non gestiti, fornendo un elevatissimo elemento di pericolosità per i dati ed i sistemi societari.
Il pc di casa è ammesso unicamente se l’azienda fornisce sistemi VDI, ovvero desktop virtuali opportunamente configurati dal punto di vista della sicurezza.
Pubblicazione servizi di accesso da esterno
I più temerari aprono la connessione Desktop Remoto dall’esterno, altri installano soluzioni di accesso da remoto configurandole in modalità accesso non presidiato.
Entrambe le scelte rendono disponibili i propri sistemi su Internet. Basta conoscere una vulnerabilità per ottenere un accesso non autorizzato, e questi sistemi sono storicamente famosi per un numero importante di problematiche di sicurezza.
Se questi sistemi sono le uniche possibilità attivabili in emergenza, occorre almeno passare per una vpn preventiva, in modo che i servizi di accesso remoto siano disponibili solo in rete locale e non pubblicati su Internet.
Una soluzione per risolvere questo tipo di problematiche è quella di offrire i propri applicativi e l’accesso ai propri dati, tramite soluzioni di embed nel browser di servizi di desktop remoto.
Questa modalità non necessita della vpn nè della pubblicazione di un accesso remoto, in quanto offrendo un semplice URL, configurato con un adeguato livello di accesso (credenziali sicure + 2FA), permette all’utente di trovare un desktop con i propri applicativi e l’accesso ai dati aziendali.
Device aziendale
Questa soluzione è quella che permette di fornire uno strumento adeguatamente aggiornato e regolato dalle policy aziendali.
Occorre cambiare qualcosa se il dispositivo sarà per lunghi periodi lontano dalla rete aziendale?
Il pacchetto di verifiche e di adeguamenti è sostanziale:
- l’utente è amministratore del device? Non è una buona idea in azienda, figuriamoci fuori sede;
- gli aggiornamenti arrivano tramite un wsus su rete locale? Impediamo ai pc aziendali che lavorano fuori rete di non ricevere più aggiornamenti. Ci sono diverse soluzioni per gestire gli update da scaricare dai fornitori dei sistemi operativi ed applicativi;
- proseguire con il cambio programmatico delle credenziali d’accesso ai sistemi aziendali. Ci sono soluzioni di gestione del cambio password, così come dello sblocco utente, che possono operare senza la necessità di una connessione diretta con la rete locale aziendale;
- incremento della frequenza delle scansioni della suite di sicurezza installata sul client;
- chiusura accesso alle risorse del device. Il pc aziendale sarà connesso a reti non sicure, non controllate, non presidiate. Il device va blindato per quanto possibile.
Il tutto potrebbe essere gestito adeguatamente da una suite di sicurezza che oltre a fornire una ormai scontata soluzione antivirus, offre un pacchetto di servizi, tale da minimizzare i rischi in un dispositivo che lavora per lunghi tempi fuori dalla rete aziendale.
Chiamaci
Integra può venire in tuo aiuto e accompagnarti in questo percorso di innovazione e digitalizzazione.