+1 512-347-9300

Suggerimenti per la sicurezza della forza lavoro distribuita

L'adozione del cloud computing e delle app SaaS è aumentata vertiginosamente negli ultimi anni e ha consentito alle aziende aziendali di operare efficacemente con una forza lavoro distribuita. Infatti, quasi tre quarti delle aziende esegue quasi tutte le proprie operazioni nel cloud. Queste organizzazioni sono desiderose di sfruttare la velocità, la scalabilità e la flessibilità che l'infrastruttura basata su cloud può fornire ai loro team globali. Ma man mano che il cloud computing cresce in popolarità e trasforma il modo in cui le aziende raccolgono, utilizzano e condividono i dati, diventa anche un bersaglio attraente per i criminali informatici. Spostando i dati al di fuori dei locali di un singolo ufficio fisico e attraverso una rete globale di dispositivi e punti di accesso, la gestione delle risorse e la sicurezza sono diventate una sfida importante per le aziende. In un sondaggio dalla società di sicurezza Wi-Fi iPass, il 57% dei CIO ha riferito di sospettare che i propri dipendenti mobili fossero stati violati o fossero la causa di problemi di sicurezza. Le aziende globali con una forza lavoro distribuita geograficamente devono prendere sul serio la sicurezza dei dati e implementare un piano di sicurezza completo per proteggere i propri dipendenti e i dati aziendali sensibili.

Le 5 principali sfide e soluzioni di sicurezza per i team distribuiti

1. GDPR e altre normative sulla protezione dei dati

Le Regolamento generale sulla protezione dei dati (GDPR) è la legge europea sulla privacy e la sicurezza dei dati entrata in vigore il 25 maggio 2018. Questa legge è diventata rapidamente una delle principali priorità per qualsiasi azienda che opera in Europa, ha clienti europei o impiega personale europeo o liberi professionisti. UN studio di Apricorn ha rilevato che il 30% delle aziende che devono essere conformi al GDPR ritiene che i loro lavoratori remoti europei li rendano non conformi. Inoltre, le società con attività in Nord America devono rispettare le disposizioni degli Stati Uniti Can-Spam legge e Legislazione canadese anti-spam. Il rispetto di queste normative rimane una grande sfida per le aziende con una forza lavoro distribuita. Molti dipendenti remoti utilizzano la propria posta elettronica personale o il Wi-Fi pubblico per inviare documenti relativi al lavoro. Ciò comporta enormi rischi per la sicurezza dei dati per le aziende. Gli hacker stanno sfruttando il GDPR e altre leggi sulla protezione dei dati per estorcere alle aziende non conformi il pagamento di una considerevole tassa di riscatto invece di affrontare le multe del governo. Uno studio di Sophos, una società di software e hardware di sicurezza, ha rivelato che quasi la metà dei direttori IT del Regno Unito sarebbe "sicuramente" disposta a pagare una tassa di riscatto agli hacker per evitare di segnalare una violazione dei dati e rischiare una multa ai sensi delle leggi sulla protezione dei dati dell'UE.

Soluzione: implementare politiche e procedure di sicurezza a livello aziendale

Rimanere conformi alle leggi sulla protezione dei dati, chiaramente definite, documentare ed educare i dipendenti politiche di sicurezza su come gestire i dati aziendali in ogni momento. Ciò include specificare per iscritto cosa possono e non possono fare i dipendenti con dispositivi, informazioni e documenti relativi al lavoro. Assicurati che tutti i dati siano crittografati e imposta le autorizzazioni su chi può accedere ai dati aziendali sensibili. Infine, disporre di politiche di lavoro a distanza chiare su come i dipendenti devono connettersi alla rete aziendale, nonché di politiche Wi-Fi domestiche e pubbliche.

2. Monitoraggio e gestione delle risorse nel cloud

Le aziende aziendali con team distribuiti sono spesso aziende basate sulla tecnologia con risorse IT come software, dati e altre informazioni aziendali pertinenti. La maggior parte di questi inestimabili dati viene archiviata e vi si accede tramite il cloud. "Il cloud" si riferisce ai server a cui si accede tramite Internet e al software e ai database che funzionano su quei server. Segreti commerciali, rapporti riservati, informazioni su dipendenti e clienti e persino materiale collaterale visivo come loghi e grafica della campagna sono tutte informazioni proprietarie sensibili che vengono archiviate nel cloud e devono essere protette da tutti i tipi di minacce esterne. Una piccola perdita può interrompere o interrompere le operazioni di un'azienda. Peggio ancora, una grave violazione della sicurezza o una perdita di dati può far chiudere completamente un'azienda. Uno studio ha rilevato che il 93% delle aziende che hanno perso i propri dati per 10 giorni o più ha dichiarato fallimento entro un anno e il 50% ha dichiarato fallimento immediatamente.

Soluzione: utilizzare la gestione del cloud e gli strumenti di sicurezza

Per mantenere i dati della tua azienda al sicuro senza interferire con il flusso di lavoro e la produttività dei dipendenti, utilizza una soluzione di gestione IT come Suite Syxsense per la gestione del cloud. Ciò offre ai dipendenti la flessibilità di utilizzare in modo sicuro i propri dispositivi di lavoro da remoto. Per l'IT, Syxsense combina la gestione degli endpoint con servizi di sicurezza e monitoraggio degli endpoint in tempo reale, predittivi e proattivi. Per una maggiore protezione, utilizza strumenti di monitoraggio della sicurezza aggiuntivi come geofencing, monitoraggio predittivo degli assete sistemi di biglietteria per aiutare a respingere gli attacchi informatici. Queste soluzioni offrono al team IT la possibilità di monitorare e tracciare il traffico cloud per garantire che tutti i dipendenti siano conformi alle normative di sicurezza dell'azienda.

3. Sicurezza ridotta sui dispositivi personali dei dipendenti

Tradizionalmente, i dipendenti utilizzavano dispositivi da ufficio designati per il lavoro che erano protetti con livelli di sicurezza fisici ed elettronici. Oggi, con la popolarità del lavoro distribuito, molte organizzazioni stanno adottando una politica BYOD (porta il tuo dispositivo) che consente ai dipendenti di utilizzare i propri laptop, tablet o smartphone per lavoro. Ciò consente alle aziende di risparmiare denaro poiché non devono acquistare nuova tecnologia e i dipendenti non hanno alcuna curva di apprendimento poiché hanno già familiarità con il dispositivo. Ma con questo aumento della flessibilità del lavoro arriva un aumento dei rischi per la sicurezza. Il dispositivo personale di un dipendente potrebbe non essere sicuro e rappresentare una grave minaccia per la sicurezza dei dati. Inoltre, molti dipendenti remoti si connettono alle reti Wi-Fi pubbliche con i loro dispositivi intelligenti personali, che possono esporre i loro dati importanti a un cyber-attaccante. In uno studio di iPass, il 95% delle aziende ammette che i propri dipendenti mobili rappresentano una sfida per la sicurezza.

Soluzione: crittografa e proteggi tutti i dispositivi

In primo luogo, i dipendenti devono specificare quali dispositivi utilizzano per il lavoro, inclusi telefoni, tablet o computer personali, in modo che tali dispositivi possano essere adeguatamente crittografati e protetti utilizzando software antivirus e di sicurezza certificati dall'azienda. Strumenti di sicurezza come AirWatch non solo ti consente di proteggere i dispositivi dei dipendenti, ma anche di tracciare, localizzare o cancellare i dispositivi da remoto in caso di furto del dispositivo. Successivamente, aumentare la consapevolezza dei dipendenti sulle possibili violazioni della sicurezza dei dati e istruire ciascun dipendente sulle migliori pratiche di prevenzione della perdita di dati. Ciò dovrebbe includere protocolli e politiche di sicurezza del lavoro a distanza chiari e precisi.

4. Sistemi di backup e ripristino inadeguati

70% di dipendenti avere esperienza di perdita di dati a causa di virus, errori di sistema o altri disastri. Molte organizzazioni non dispongono di un sistema di backup e ripristino adeguato per questo tipo di perdita di dati. Per le aziende che hanno una politica BYOB questo problema diventa ancora più pronunciato. I dipendenti possono utilizzare lo stesso dispositivo smart o laptop sia per lavoro che per uso personale, spesso confondendo dati aziendali e personali, esponendosi ciascuno alle vulnerabilità dell'altro. Ad esempio, un dipendente può scaricare un film per uso personale sul proprio laptop senza rendersi conto che il file contiene malware. Il laptop si arresta in modo anomalo e i dati personali e di lavoro del dipendente vengono persi. Il recupero di questi dati potrebbe essere impossibile senza un sistema di backup e ripristino in atto.

Soluzione: utilizzare una soluzione di backup su cloud

Fortunatamente, esistono diversi modi per risolvere questo problema e garantire il backup e il ripristino completi dei dati. Una soluzione semplice consiste nel fare in modo che i dipendenti eseguano il backup del proprio computer su un disco rigido locale o esterno. Le aziende possono anche fornire un programma centralizzato di backup e ripristino dei dati per tutti i dispositivi sulla loro rete. Entrambe queste opzioni, tuttavia, presentano limitazioni poiché i dispositivi e i server di backup dei dati sono soggetti a guasti e hacking. L'opzione migliore è scegliere una soluzione di backup su cloud di livello aziendale. Un sacco di fornitori SaaS come CrashPlan ed Veeam  fornire una soluzione di backup e ripristino cloud all-in-one per tutti i tuoi dati.

5. Perdite di comunicazione e hack

Alcuni dei più grandi marchi al mondo hanno subito perdite di comunicazione e hack. Aziende come Apple, Microsoft, Facebook e lo studio cinematografico di Sony hanno avuto costose violazioni della comunicazione, consentendo agli estranei di mettere le mani su preziose informazioni. Molte di queste esposizioni sono dovute ai dipendenti che inviano file aziendali critici e messaggi riservati attraverso canali di comunicazione non protetti. L'utilizzo di piattaforme di comunicazione non crittografate per e-mail, messaggistica istantanea, chiamate audio e videoconferenze può esporre le tue informazioni private e renderti vulnerabile agli hack. Queste violazioni della sicurezza sono costose per le aziende. A livello globale, crimini informatici i danni costano alle aziende 6 trilioni di dollari all'anno.

Soluzione: utilizzare soluzioni di comunicazione crittografate end-to-end

Quando si cerca un nuovo provider di comunicazioni o si rivalutano i fornitori attuali, la sicurezza dovrebbe sempre essere una componente ad alta priorità della ricerca. Cerca una soluzione che abbia una comprovata esperienza nel mantenere i dati dei propri clienti al sicuro e che offra la più recente tecnologia di sicurezza come la crittografia end-to-end.  Crittografia end-to-end (E2EE) è un sistema di comunicazione sicura tra utenti che impedisce a terzi di leggere i messaggi. I dati crittografati end-to-end garantiscono la privacy tra mittente e destinatario, riducendo i rischi e proteggendo i dati sensibili. Non tutti i servizi di comunicazione applicano sicurezza e crittografia, ma Lifesize offre il massimo livello di sicurezza e crittografia end-to-end abilitato per impostazione predefinita.

“È preoccupante che tutto il clamore sulla criminalità informatica – i titoli dei giornali, gli avvisi di violazione ecc. – ci renda compiaciuti. Il rischio è molto reale e non possiamo lasciarci cullare da un senso di inevitabilità. Tutti noi abbiamo un ruolo da svolgere nel modo in cui proteggiamo le nostre attività dalla crescente minaccia della criminalità informatica".

Robert Herjavec, fondatore della società di sicurezza informatica e informatica The Herjavec Group

Procedure consigliate per garantire la sicurezza dei team remoti

L'elemento umano può minare i più potenti sistemi di sicurezza del mondo. Ecco perché è importante che ogni dipendente comprenda il rischio di violazione dei dati e segua rigorosamente i protocolli di sicurezza a livello aziendale. La formazione sulla sicurezza dei dati dovrebbe iniziare durante il processo di onboarding di un nuovo assunto. Sottolineare l'importanza della sicurezza informatica nella fase iniziale aiuta a promuovere buone pratiche di sicurezza e rende i dipendenti consapevoli delle proprie azioni. Inoltre, le aziende dovrebbero istruire tutti i dipendenti su nuovi protocolli, rischi per la sicurezza e migliori pratiche su base regolare organizzando corsi di formazione, inviando promemoria informativi e utilizzando moduli di formazione online. Di seguito abbiamo delineato alcune best practice di sicurezza per aiutare a mantenere al sicuro le informazioni dei dipendenti e i dati aziendali sensibili.

Creare e applicare una politica di sicurezza del lavoro a distanza

La tua organizzazione dovrebbe disporre di una politica di sicurezza del lavoro a distanza completa che aiuti a salvaguardare la negligenza dei dipendenti, le violazioni, gli hack e altre minacce esterne. Questa politica dovrebbe delineare chiaramente cosa è e non è accettabile quando si inviano e si ricevono file, si comunica con persone all'interno e all'esterno dell'organizzazione e si gestiscono dati aziendali sensibili.

Evita di utilizzare hotspot Wi-Fi non protetti

Le reti WiFi non sicure che trovi spesso negli spazi pubblici sono una miniera d'oro virtuale per gli hacker che cercano di rubare informazioni private. Di solito è possibile accedere a una rete Wi-Fi non protetta senza alcun tipo di funzionalità di sicurezza come password o login. Al contrario, una rete Wi-Fi protetta richiede che un utente accetti termini legali, registri un account o digiti una password prima di connettersi. Tuttavia, anche le reti pubbliche protette possono essere rischiose, quindi i dipendenti dovrebbero utilizzarle con cautela.

Attenzione al phishing. I phisher cercano di indurre i dipendenti a fare clic su un collegamento che potrebbe causare una violazione della sicurezza. I collegamenti dannosi possono contenere virus o malware incorporati in essi. Spesso questi collegamenti vengono visualizzati in una finestra pop-up, un'e-mail da una fonte non attendibile o qualsiasi altra forma di comunicazione che non hai avviato. Consiglia ai dipendenti di non fare mai clic su collegamenti sospetti o di aprire allegati da un indirizzo e-mail che non riconoscono.

Crea password complesse

La password debole di un dipendente può compromettere non solo i dati personali del dipendente, ma anche i dati sensibili dell'intera azienda. Ogni anno, data di lancio pubblica un elenco delle prime 50 password peggiori e ogni anno password come "123456" e "password" sono in cima alla lista. Le password devono essere lunghe almeno otto caratteri e includere lettere, numeri e almeno un carattere speciale. Evita di usare il tuo nome, nomi di animali domestici, nomi di bambini, compleanni di bambini e tutto ciò che le persone possono trovare facilmente sul tuo profilo sui social media. Infine, le password dovrebbero essere aggiornate ogni uno o tre mesi per ridurre il rischio che il tuo account venga violato.

Usa l'autenticazione a più fattori

L'autenticazione a più fattori (MFA) combina due o più credenziali indipendenti per accedere a un account o accedere ai dati. Ciò può includere il nome e la password di un utente con una verifica aggiuntiva come un'impronta digitale, una domanda di sicurezza o un codice di verifica inviato in un messaggio di testo al cellulare di un dipendente. L'autenticazione a più fattori crea una difesa a più livelli che rende più difficile per gli hacker irrompere nei dispositivi informatici, nel database o nella rete aziendale. Se un fattore è compromesso, i criminali informatici hanno ancora almeno un'altra barriera da violare prima di accedere con successo ai dati privati.

Prestare attenzione ai download di software

Molti dipendenti credono ingenuamente che il download di software da un marchio affidabile sia sicuro, ma Internet è pieno di siti che offrono download di software mascherati da marchi noti. Questi download dannosi possono contenere malware, trojan, spyware, worm o altri tipi di virus. Avere una politica di download in atto e assicurarsi che ogni dipendente comprenda il protocollo per il download di software sul proprio laptop e dispositivi intelligenti. Per ridurre il rischio, l'IT può anche limitare i download sui dispositivi aziendali.

Blocca virtualmente e fisicamente dispositivi, server e archiviazione dati

I dipendenti devono bloccare i propri dispositivi ogni volta che li lasciano incustoditi, soprattutto quando lavorano in spazi pubblici. Ciò significa bloccare lo schermo quando ti allontani e assicurarti che il dispositivo fisico non possa essere rubato. Assicurati che l'impostazione "blocco automatico quando inattivo" dei dispositivi sia abilitata e che i programmi siano impostati per un timeout aggressivo quando non vengono utilizzati. Oltre ai dispositivi di lavoro dei dipendenti, anche le sale server e le posizioni di archiviazione dei dati che contengono informazioni sensibili devono essere bloccate in modo sicuro.

Salta al contenuto