Lavoro a distanza: una riflessione e una proiezione
MGM Resorts e Estee Lauder sono state solamente le ultime di una serie di organizzazioni di alto profilo, a subire un attacco alla sicurezza dove sono stati violati milioni di file con tantissimi dati, che includevano soprattutto dettagli personali, che sono trapelati. Successivamente è subentrata la pandemia, la quale ha avuto un impatto sulla vita di tutti. In risposta, la maggior parte delle organizzazioni ha reagito come gli è stato richiesto; alcuni hanno attuato i loro piani di resilienza operativa esistenti e hanno continuato come sempre.
I dipendenti che sono rimasti in azienda, hanno dovuto adattarsi a un nuovo modo di lavorare. Con gli spazi comuni e condivisi, nei quali ora non si può stare, le operazioni sono dovute proseguire da remoto e con ciò la minaccia di gravi violazioni dei dati e guasti dell'infrastruttura è aumentata in modo significativo.
Lavorare da casa: la nuova normalità?
Si potrebbe affermare che lavorare da casa sia diventata una nuova realtà per molti, sia in risposta alle esigenze della pandemia sia come passo evolutivo nel modo in cui operiamo. I fattori abilitanti necessari per condurre pratiche di lavoro virtuali si sono dimostrati efficaci e guardando avanti, a quando usciremo dalla pandemia, potrebbe essere questa l'"occasione" per continuare ad evolvere, continuando ad adottare il modello di inizio 2020. Le principali organizzazioni tech come Twitter, Linkedin e altri hanno persino emanato politiche che obbligano tutti i dipendenti a lavorare da remoto. Questa è un'iniziativa per raccogliere talenti e dimostrare flessibilità.
Rischi aumentati e nuovi vettori di attacco
Una conseguenza diretta di questo nuovo modo di lavorare è l'enorme aumento del numero di asset connessi da postazioni remote. Ciò include anche i dispositivi personali che si connettono direttamente all'infrastruttura aziendale. Entrambe queste cose rappresentano una significativa minaccia alla sicurezza. Aumenterà l'esposizione delle organizzazioni a minacce quali malware, furto di identità e ransomware. Questo non è solo allarmismo. Basta condurre una ricerca rudimentale da qualsiasi motore di ricerca per scoprire come questo abbia influenzato le organizzazioni.
Inoltre, quasi il 40% dei decisori intervistati in un sondaggio Censuswide (per conto di Centrify) nell'agosto 2020 ha mostrato che il licenziamento dei dipendenti a causa di violazione delle politiche di sicurezza informatica è stato necessario da marzo 2020. Ciò include il personale che tenta di aggirare i protocolli di sicurezza, incluse le password e utilizzo di dispositivi personali. Lo stesso gruppo di decisori intervistati ha anche risposto che oltre la metà del 55% vorrebbe ora vietare i dispositivi personali per condurre le normali operazioni.
NQA ha indetto dei webinar durante i primi mesi della pandemia per delineare alcuni di questi rischi in modo più dettagliato e dare una prima occhiata ad alcuni dei meccanismi di risposta da considerare. Questo webinar può essere trovato QUI.
ISO 27001 e per estensione ISO 27701 impone alle organizzazioni di considerare, comprendere, controllare, testare e rivedere questi rischi rispetto al contesto della loro attività. Inoltre, il quadro di rischio delineato all'interno di questi standard garantisce che la proprietà e la supervisione della gestione appropriate siano concesse all'intero processo; molto semplicemente, se efficaci, i sistemi di gestione dovrebbero fornire visibilità dei potenziali problemi all'interno di un'organizzazione.
Sicurezza sul lavoro
Le organizzazioni con certificazione ISO 27001 hanno già il mandato per garantire che il personale sia a conoscenza delle politiche e delle pratiche. Tuttavia, il lavoro a distanza comporta sfide uniche anche all'interno dell'ambiente domenistico o non tradizionale. Le organizzazioni devono fornire ai propri dipendenti gli strumenti per contrastare le minacce che derivano dal lavoro a distanza. Questa problematica naturalmente ha preso forma durante lo scorso anno. Tutte le organizzazioni fanno molto affidamento sulle e-mail e sul Web per essere operativi, e inoltre, aumentare la consapevolezza degli indicatori di minaccia è una nuova attività obbligatoria contro la realizzazione dei risultati di tali minacce.
Da questo punto, i dipendenti possono quindi identificare i problemi e avere una chiara comprensione di come segnalarli all'entità più appropriata. Condividendo questa responsabilità e incoraggiando l'auto-responsabilizzazione a partecipare alle operazioni di sicurezza, più organizzazioni sono state efficaci nel prevenire i problemi piuttosto che dover rispondere ad essi. Ciò ha richiesto una sorta di cambiamento culturale in alcune circostanze; molto semplicemente più un'organizzazione è aperta e onesta, migliore è il quadro generale della sicurezza e meno è probabile che si verifichi un altro attacco di alto profilo o dannoso.
Come restare al sicuro lavorando da remoto
VPNQuesto non è solo un problema di ambiente domestico. Al di fuori di questa situazione di pandemia, normalmente molti di noi si collegherebbero tramite Wi-Fi pubblici da bar, hotel, aeroporti e ristoranti. Tuttavia, utilizzando queste connessioni in modo non sicuro il personale rischia di diventare un facile bersaglio per gli hacker per accedere ai dati personali.
L'uso di una rete privata virtuale (VPN) dovrebbe essere considerato quasi obbligatorio per garantire che tutte le informazioni operative siano protette. Inoltre, la soluzione VPN dovrebbe essere adeguata per il numero di utenti previsti. Una cosa che è stata appresa nell'ultimo anno è stata la mancanza di anticipazione dell'intera base di dipendenti di un'organizzazione che ha tentato di utilizzare una VPN contemporaneamente. Assicurati che l'infrastruttura sia a posto, per poterla render efficace.
L'autenticazione a due fattori (2FA) è un modo più sicuro per accedere agli strumenti e alle applicazioni di produttività. Oltre a nome utente e password, al personale verrà chiesto di verificare la sua identità con un secondo dispositivo unico per l'utente, che può essere un telefono cellulare o un tablet. Questo secondo passaggio semplice ma estremamente efficace si rivelerà difficile da battere per gli hacker che non avranno accesso diretto a entrambi i dispositivi richiesti.
Nel caso in cui un account venga compromesso, l'uso di password più complesse, che sono univoche per quel particolare account o applicazione (non replicate su più password in uso) è considerata la migliore pratica. In molti ambienti è anche considerata una buona pratica aggiornarli regolarmente. Tenere il passo con tutto ciò può essere complicato, quindi molte organizzazioni hanno introdotto un gestore di password (o vault) obbligatorio per semplificare il processo.
Phishing, Spear-phishing, Whaling & Smishing
Si spera che ormai questo messaggio sia ampiamente compreso, ma non bisogna lasciare nulla al caso. C'è stato un aumento tangibile dei tentativi di sfruttare il nuovo modello di lavoro esaminato all'interno di questo blog. Ciò include lo sfruttamento della paura del Covid, i tentativi di vendere mascherine per il viso e altri casi simili associati a Covid.
La tua organizzazione deve aumentare la consapevolezza degli attacchi hacker e condurre la formazione necessaria per essere pienamente pronti, quindi attraverso una preparazione adeguata.
Ciò include la conduzione di attacchi di phishing fittizi per capire come i dipendenti potrebbero rispondere: questa pratica è certamente rivelatrice e può evidenziare appieno la misura in cui potrebbe esistere un problema.
Applica patch e aggiornamenti software
Alcuni dei casi di aziende di alto profilo che abbiamo brevemente discusso in questo e in altri articoli hanno il loro momento fondamentale nella mancanza di aggiornamento alle soluzioni software esistenti. Quando si lavora a casa o si naviga normalmente sui propri dispositivi personali, molti di noi fanno clic sulla casella "Aggiorna browser adesso" che appare sempre.
Le patch ai problemi di sicurezza identificati oltre agli aggiornamenti e ai meccanismi di difesa, non dovrebbero essere ritardati. Le organizzazioni devono garantire di avere sia visibilità che controllo di questo processo e garantire che nulla sia lasciato al caso dai loro gruppi di utenti.
Non dimenticare la carta!
Sebbene i dati elettronici possano cadere nelle mani sbagliate, un'area significativa di violazione della sicurezza è ancora rappresentata dalla documentazione cartacea. Considera la quantità di carta che utilizzi quotidianamente e le informazioni in essa contenute che sarebbero utili a criminali e hacker. Rendi la triturazione e lo smaltimento sicuro una caratteristica del tuo ufficio. In caso contrario, assicurarsi che tutte le informazioni cartacee siano ridotte al minimo e protette in ogni momento.
In tutte le cose che abbiamo esplorato in questo blog, la tecnologia fornisce solo una soluzione parziale. L'uso di un controllo delle risorse appropriato, la gestione degli accessi, la crittografia, le soluzioni di messaggistica sicura, la revisione delle disposizioni di rete e le funzioni di backup/ripristino sono forse i controlli tecnici più comunemente riscontrati. Tuttavia, leggi più a fondo alcune delle più recenti istanze di violazione e osserva le statistiche di tutte le attività di violazione e scoprirai che l'errore umano ha ancora un ruolo significativo.
La formazione e la consapevolezza non possono essere trascurate e dovrebbero essere una base su cui costruire il quadro generale della sicurezza. La sicurezza non è responsabilità esclusiva del CEO, della direzione IT o del responsabile delle strutture; piuttosto è qualcosa di cui ogni persona ha una responsabilità. Nessuno vuole essere messo sotto i riflettori in queste difficili circostanze a causa di una violazione della sicurezza, non ultime le organizzazioni che inevitabilmente perdono la fiducia dei clienti quando vengono segnalate violazioni. Adotta i passaggi necessari per rivedere ciò che hai in atto in questo momento e chiediti: potrebbe essere migliorato?
A cura di: Barri-Jon Graham, NQA Regional Assessor