L’hackeraggio subito in questi giorni dalla Regione Lazio – dove l’attacco sarebbe partito dal pc di un dipendente in smart working, utilizzato di notte dal figlio – ci offre lo spunto per tornare a parlare di sicurezza nei sistemi delle aziende. Se le vittime di una violazione di questa portata sono i server della pubblica amministrazione, è facile immaginare quanta strada ci sia ancora da fare in termini di cultura della cyber security nell’ecosistema delle PMI italiane. Budget ridotti e mancanza di competenze non consentono una valutazione lucida del rapporto costi/benefici di una corretta gestione dei propri sistemi. Per formare le aziende su questi temi, abbiamo realizzato un ciclo di webinar gratuiti (accessibili da questa pagina). Vediamo intanto quali lezioni possiamo imparare da questa vicenda. 

Progettazione dei sistemi Zero trust 

“Un buon processo tiene conto dell’imperfezione delle persone. Progettate in modo da produrre buoni risultati anche quando le persone commettono errori”. Questa frase di Ray Dalio, fondatore di Bridgewater Associates e guru di Wall Street, sintetizza bene la filosofia “Zero trust”. I sistemi aziendali vanno progettati in modo che siano sicuri “by design”, per usare un termine ricorrente nella comunicazione di Microsoft 365. Gli strumenti offerti dalla suite – dalla posta su Outlook alla piattaforma di collaborazione Teams, per citare i più usati – integrano funzionalità di cyber security avanzate, partendo da un semplice presupposto. Le persone possono commettere errori ed essere vittima di attacchi hacker ogni giorno. Sono i sistemi a doverlo evitare. Ad esempio, attivando gli strumenti di Modern Workplace di Microsoft 365 è possibile stabilire diritti di accesso a determinati utenti e non ad altri. Si possono impostare regole chiare da applicare su tutti i device dei dipendenti in remoto, in modo semplice, in conformità alle normative sul GDPR. 

Lo smart working non è il problema 

Tra i primi provvedimenti presi dalla Regione Lazio c’è stato quello di mettere limiti allo smart working dei propri dipendenti. Una scelta che riflette ulteriormente una miopia culturale alla base. Il problema non è lo smart working. Il lavoro da remoto è già la normalità in tutte le organizzazioni. E può essere svolto in totale sicurezza, con grandi vantaggi in termini di produttività. Oggi più che mai dobbiamo lavorare sulla corretta configurazione dei sistemi aziendali, per rendere lo smart working sicuro. Accedere ai dati aziendali deve poter essere in ogni azienda un processo semplice, fluido e senza rischi. Per farlo, bisogna affidarsi ad esperti IT certificati. 

Manutenzione e aggiornamento continui 

Quando i processi aziendali e la quotidianità del lavoro d’ufficio partono da una configurazione “Zero trust”, basata sul cloud – come nel caso di Microsoft 365 – la sicurezza dei sistemi fa un salto di qualità. Le funzionalità di protezione integrate, infatti, vengono continuamente aggiornate in automatico e gli strumenti di collaborazione sono disponibili sempre nella versione più recente. Questo comporta anche una riduzione notevole dei costi, sia a livello di manutenzione, sia in termini di rischio economico scongiurato, in caso di violazione dei dati.