Il Viaggio di Lavoro pone varie insidie alla Sicurezza Informatica di un’azienda: controlli invasivi alle dogane, Wi-Fi pubblici poco sicuri, il furto o la perdita di dispositivi informatici assegnati ai dipendenti, sui quali sono spesso e volentieri riversati dati inestimabili e… chi più ne ha più ne metta.
Delineiamo in questo articolo una serie di indicazioni utili per le aziende da osservare prima, durante e dopo la trasferta del proprio personale, specialmente verso mete estere.
La stessa attenzione dedicata -prima di ogni partenza- a cosa sia meglio mettere in valigia e cosa no, andrebbe riservata nondimeno ai dati che sono contenuti nei nostri strumenti digitali. Il rischio è ancor più grande quando ci si accinge ad affrontare una trasferta di lavoro, magari oltre la frontiera nazionale.
E’ proprio in contesti non familiari, quando la soglia di attenzione è sì più alta, ma totalmente focalizzata su fattori contingenti ed immediati (prenotare il taxi, arrivare in orario all’appuntamento, contattare il cliente…) che, paradossalmente, si presta meno attenzione ad aspetti collaterali, ma non per questo meno rilevanti. Come per l’appunto la sicurezza dei beni (quindi, dei dati) aziendali che abbiamo appresso. Viaggiando è molto facile prestare il fianco a ladri, hacker e occhi indiscreti… Non bastasse, talvolta, senza alcun intervento esterno, basta una piccola distrazione a creare un grosso mal di testa a chi è rimasto in sede a “difendere il fortino”.
Ragion per cui è meglio premunirsi e pianificare prima della partenza alcuni aspetti spesso trascurati, inerenti specialmente la gestione dei dispositivi aziendali che verranno imbarcati. Cominciamo!
Ne abbiamo discusso diffusamente settimana scorsa, vi consigliamo di dare un’occhiata al nostro articolo di approfondimento: Crittografia, i Falsi Miti da Sfatare.
Ricapitoliamo brevemente: se è proprio necessario trasportare con sé dei dati per lavoro, è cruciale precluderne l’intelligibilità a chiunque non faccia parte dell’ organizzazione o, perlomeno, a chiunque non sia autorizzato a consultarli. Essenziale è dunque crittografare sia i dischi fissi che, meglio ancora, i dati in essi contenuti (sono due operazioni distinte, attenzione! Fare sempre riferimento all’articolo poc’anzi menzionato per ulteriori dettagli).
L’utilizzo di una Virtual Private Network permette di veicolare tutto il traffico di navigazione all’interno di un tunnel criptato, rendendo impossibile conoscerne il contenuto a chiunque non sia autorizzato ad accedere a tale servizio. Di conseguenza, nessuno all’infuori dell’utilizzatore (come può essere il dipendente fuori sede) e delle risorse che questi necessita di accedere (la rete interna all’azienda) ha accesso ai dati trasmessi nel canale VPN. Sebbene rimanga sconsigliabile come pratica, avvalendosi di una VPN è tecnicamente possibile navigare in maniera sicura anche attraverso Wi-Fi e Pc pubblici.
L’azienda dovrebbe quindi idealmente attrezzare una VPN aziendale, dotando i terminali di client per un accesso remoto sicuro e autorizzato al network e ai servizi necessari al compimento delle attività lavorative.
Sappiamo che sia spesso poco o per nulla praticabile ma, ove fosse possibile, sarebbe caldamente consigliato lasciare smartphone, tablet e portatili a casa e, in loro sostituzione, noleggiare dei muletti temporanei per ridurre al minimo l’ ‘impronta digitale’ lasciata su di essi, in caso di perdita o furto. Le informazioni essenziali in questi casi andrebbero accedute in remoto, massima attenzione dunque anche al salvataggio di credenziali su questi terminali.
Nel caso la via del noleggio non sia fattibile, sarebbe raccomandabile rimuovere quante più informazioni personali e aziendali dai device. Ciò potrebbe voler dire ad esempio cancellare tutti i file salvati in locale, disabilitare la sincronizzazione in tempo reale e, preferibilmente, accedere e modificare i contenuti alla bisogna solo attraverso il cloud. Meno informazioni sono presenti, minori sono le possibilità che una vulnerabilità possa esporne il contenuto.
Alcune nazioni hanno in vigore normative estremamente rigide in materia di sicurezza: alla dogana potrebbe venir richiesto di ispezionare la dotazione informatica in proprio possesso al momento dello sbarco; si consideri inoltre che alcuni stati particolarmente ‘zelanti’ monitorano costantemente il traffico internet, senza richiedere necessariamente il consenso alla popolazione. È importante dunque conoscere a cosa si andrà incontro varcando i confini di queste nazioni, per evitare di esporre accidentalmente dati riservati appartenenti alla propria organizzazione.
Dicevamo poco sopra di vulnerabilità: ossia uno dei canali attraverso cui un attacker può far breccia nel sistema operativo o in un’applicazione e a quel punto aver pieno accesso a risorse e informazioni da essi gestite. Applicare tutti gli aggiornamenti di sicurezza prima di affrontare il viaggio è assolutamente prioritario.
Supponiamo di aver potuto lasciare smartphone e notebook aziendali a casa, ma di esserci accorti di dover leggere urgentemente un’email, contenente aggiornamenti importanti per le attività da svolgere presso il cliente. Sarebbe una pessima idea farlo da un computer pubblico messo a disposizione dall’Hotel… le garanzie che quei sistemi siano integri sono pressoché inesistenti. O ancora, inserire per esempio le credenziali di accesso al CRM da una postazione dell’ Internet Cafè locale… un ottimo modo per scatenare un devastante data breach…
Lo stesso dicasi delle ancor più allettanti reti WiFi gratuite e/o pubbliche: spesso e volentieri mal configurate, prive di ogni protezione e quindi ghiotte occasioni per poter ‘sniffare’ i dati in transito su di esse. Spunto di riflessione: quanto sarebbe facile per un attore malevolo installare un hotspot e dargli il nome dell’albergo in cui si alloggia?
Questo tipo di risorse non è che non vada utilizzato a priori, ma sarebbe meglio limitarne l’impiego per semplici ricerche anonime, consultazioni passive di siti e poco altro. Una possibile soluzione? L’acquisto di un hotspot portatile con sim economica, comprata in loco. Addio così anche a qualsiasi noia relativa al roaming.
Quando non utilizzati, è sempre meglio tenere spenti sia il Wi-Fi che il Bluetooth. Pur con tutte le precauzioni sopraddette, si tratta pur sempre di vie d’accesso agevoli per gli hacker, da sbarrare ogni volta che si può.
Nel dubbio, sempre meglio metter sottochiave non solo preziosi, denaro e carte bancarie, ma anche i dispositivi informatici. Esagerato?
Il personale dell’albergo ha accesso alle camere: tralasciando il furto dell’apparecchio se lasciato incustodito (caso non certo infrequente), nella malaugurata evenienza ci si dimentichi anche solo di bloccare la sessione, sussiste il rischio che degli estranei accedano ad informazioni riservate.
In generale ma soprattutto all’estero, evitare di collegare il telefono a qualsiasi porta USB capiti a tiro. Prima di tutto, è meglio utilizzare sempre propri cavi e adattatori, privi delle connessioni necessarie alla trasmissione di dati. Banalmente, un cavo USB che trasmetta sola elettricità impedisce a priori la propagazione di codice maligno. A buon intenditor…
Allo stesso modo, se c’è la necessità di noleggiare un’auto, evitare di connettere lo smarphone aziendale coi suoi sistemi Smart, se presenti. Potrebbero venir salvati al loro interno nome del terminale, rubrica, dettagli delle chiamate e via di questo passo.
Al ritorno, è buona cosa cambiare tutte le password principali dei propri account aziendali (e non). In questo modo, anche se qualcuno fosse stato in grado di entrare in possesso delle vecchie credenziali non potrebbe farsene granché.
Qualora un bene aziendale contenente file confidenziali venga perso o trafugato, vanno previste delle contromisure per mitigare l’impatto dello sfortunato evento. Le numerose soluzioni sul mercato (per privati ma anche e soprattutto per aziende) offrono la possibilità di tracciare la posizione del device, così come di cancellarne completamente il contenuto con un comando da remoto ed evitare la perdita e/o la diffusione di dati importanti.