Covid-19 e Smartworking: alcuni nostri consigli per passare alla Fase 2

Pandemia Covid-19 e Smartworking: come è cambiato il modo di lavorare nelle aziende.

In questo periodo di pandemia per tutti noi è cambiato il modo di lavorare.

Le aziende hanno dovuto attivarsi in breve tempo per rispondere alla esigenza di lavorare da casa, quantomeno per le attività che consentono questo tipo di possibilità.

In un primo momento, che si potrebbe definire “Fase 1”, i CIO e gli IT Manager si sono concentrati sull’aspetto operativo, cercando di rendere fruibili da casa le applicazioni utilizzate in azienda, prestando quindi il maggior impegno all’accesso.

Le difficoltà in questa fase sono state molteplici, dall’utilizzo di PC personali per sopperire alla mancata disponibilità di dispositivi mobili aziendali, alla creazione di profili vpn, all’installazione e configurazione dei client VPN, alle linee Internet non sempre adeguate per larghezza di banda o congestione delle reti.

Un momento iniziale così frenetico ci ha colti impreparati e non sempre ha lasciato spazio adeguato ai tre principi cardini della sicurezza ovvero confidenzialità, integrità e disponibilità delle informazioni.

Ora che le funzionalità basiche di connessione da remoto sono state attivate, è arrivato il momento di concentrarsi sull’aspetto relativo alla sicurezza, che potremmo definire “Fase 2”, con un approccio che può essere declinato secondo questi aspetti:

  • dove si trova l’applicazione
    • in cloud
    • nel data center aziendale
  • il PC o dispositivo utilizzato per collegarsi da casa è
    • personale
    • aziendale

Le applicazioni in cloud sono nativamente predisposte per essere accedute da remoto, ma ora più che mai è fondamentale verificare di aver considerato gli aspetti di sicurezza degli accessi e di protezione dei servizi esposti.

Posta elettronica, ERP, CRM, BPM, PDM, sono esempi di servizi fruibili on premise o in cloud, ma se un servizio on premise è acceduto dall’interno dell’azienda, la sicurezza deve essere meno rigida che se lo stesso è esposto pubblicamente su internet.

Spesso l’accessibilità ai servizi aziendali è consentita in sicurezza esclusivamente dall’interno delle aziende, tramite tunnel cifrati (IPsec o SSL), oppure tramite linee dedicate (MPLS). La necessità di estendere la possibilità di accesso ad utenti che si trovano in smartworking e quindi all’esterno dell’azienda ed hanno a disposizione un linea Internet privata, oppure il tethering dal proprio dispositivo mobile, innesca l’esigenza di evolvere la propria infrastruttura in modo da poter gestire queste nuove modalità di accesso con un adeguato livello di sicurezza.

Un altro concetto da considerare per rendere sicuro il lavoro in mobilità è la gestione da remoto del PC dato in dotazione allo smartworker che ora si trova connesso a Internet senza le protezioni perimetrali presenti in azienda, quindi i rischi che possa venire compromesso crescono notevolmente.

Oltre all’aspetto tecnico si aggiunge anche un aspetto psicologico, rappresentato dall’idea di far uscire i propri dati dall’azienda.

In questo caso occorre valutare il migliore compromesso nella gestione del rischio, garantendo l’operatività. Il rischio è rappresentato dalle minacce che provengono dalla rete tramite web ed email, oltre alle vulnerabilità alle quali PC, Tablet e Smartphone sono continuamente esposti.

Alcuni consigli

Gestione del collegamento in sicurezza

Con Fortinet è possibile dotare l’utente remoto di un appliance firewall specifico per ambiente Small office / Home office, in grado di offrire un livello di sicurezza al pari del firewall aziendali. Con questi Firewall è possibile gestire più linee contemporaneamente (es xDLS e LTE), impostare policy di sicurezza, applicare politiche di QoS per poter gestire al meglio applicazioni come Video, Voce, dati, ecc. in base alla priorità desiderata.

Oltre al firewall, Fortinet offre anche switch ed Access Point integrati con il firewall in modo da creare una rete domestica integrata estendendo quindi la superficie di protezione al pari di come avviene in azienda.

Fortinet PartnerGestione della connessione remota tramite autenticazione a due fattori.

Con Fortinet è possibile attivare delle funzioni che elevano il livello di riconoscimento dell’utente alle applicazioni e risorse di rete. E’ possibile attivare un Single Sign-on (SSO) per applicazioni Web o in cloud o risorse network oltre ad un doppio livello di autenticazione tramite token (app sullo smatphone). Questo è possibile tramite l’integrazione di una soluzione virtuale come FortiAuthenticator e FortiToken.

Nel caso di PaloAlto il livello del multifactor autentication è possible tramite integrazione con altre soluzioni come ad esempio Microsoft Authenticator oppure DUO MFA.

Palo Alto Silver PartnerSSL VPN

Per consentire ad un client un accesso sicuro alle risorse aziendali è possibile tramite SSL VPN. Il traffico verso l’azienda viene cifrato ed il firewall centrale lo analizza tramite regole predefinite.

Nel caso di Fortinet il client prende il nome di FortiClient ed è gratuito.

Nel caso di PaloAlto il client è ottenibile tramite l’attivazione della subscription GlobalProtect sul firewall aziendale.

SSL WebVPN.

Il firewall in questo caso Fortinet può pubblicare delle applicazioni raggiungibili dall’esterno tramite portale SSL Web personalizzabile. In questo modo è possibile pubblicare un totale sicurezza applicazioni eseguendole quindi tramite un comune browser. Questa soluzione diventa molto interessante nel caso si utilizzi un dispositivo (PC, Tablet ecc) personale dove non si vuole fare installazione di client VPN e Agent antimalware quindi tools enterprise.

Le applicazioni possono essere es RDP, VNC, SSH session ovvero tools che permettono di collegarsi ad un PC remoto che potrebbe essere il PC dell’ufficio, oltre ad altre applicazioni come SMB/CFS e FTP per la condivisione di file.

Protezione del client remoto

Per poter proteggere il client da remoto esistono soluzioni molto valide, un consiglio potrebbe essere BitDefender.

La soluzione BitDefender protegge il PC basandosi su analisi comportamentali e machine learning oltre ad avere un elevata visibilità essendo in OEM su oltre 150 vendor di sicurezza.

Il consiglio è quindi proteggere il client in smartworking fuori dalla azienda in modo efficace ed in modalità remota tramite una console in cloud.

Una funzione molto importante è l’EDR (EndPoint Detection and Response) in grado di rilevare delle anomalie nei processi ed applicazioni locali al PC in questo modo è possibile analizzare in tempo reale situazioni di anomalia spesso silenti.

E’ possibile attivare la funzione di Patch Management per gestire in modo semplice e da remoto le vulnerabilità tramite costanti aggiornamenti anche delle applicazioni di terze parti.

Un’altra funzionalità molto efficace è la gestione centralizzata della funzione Disk Encryption del disco locale del PC in ottemperanza al GDPR.

Migliorare il livello di sicurezza delle Email

In questo periodo il phishing è aumentato sfruttando l’onda del Covid-19, della paura che suscita e della continua rincorsa alle informazioni in merito.

I siti web compromessi sono in aumento come è in aumento anche la tecnica del Business Email Compromise dove si tenta di impersonificate la mail di C-level per ottenere informazioni confidenziali o denaro.

E’ importate verificare se la propria soluzione di email security presenta un adeguato livello di protezione.

Un aiuto potrebbe essere un test gratuito che prevede l’inoltro di 17 email che tentano di sfruttare le tecniche di attacco più recenti. Il tool è possibile trovarlo al link sotto.

https://docs.libraesva.com/email-security-tester/?&referral=vmsistemi

VM Sistemi si rende disponibile a fornire consigli sulla base della propria esperienza per poter evolvere la sicurezza con cui quotidianamente lo smartworker svolge le proprie mansioni da remoto.

Mirko Severi
VM Sistemi – Sales Account

Related Posts

Pin It on Pinterest