Tra le principali misure ICT che ogni azienda dovrebbe avere in essere c’è innanzitutto una policy di sicurezza e una security governance che si occupino di indirizzare e supervisionare le strategie di cybersecurity a tutela dei dati sensibili. Il punto focale sono ovviamente i sistemi di digitalizzazione e i software quotidianamente impiegati per portare avanti i diversi processi di business, sia come sistemi centralizzati che come accessi da remoto dei dipendenti, magari attraverso la navigazione web o la propria posta elettronica. In questi casi le procedure di sicurezza base dovrebbero essere antimalware di frontiera, aggiornamenti continui degli stessi software e degli antivirus, ma anche la richiesta di autenticazione per gli accessi e soluzioni di backup dei dati. La situazione si fa più complessa quando i dipendenti accedono ai sistemi aziendali o trattano dati sensibili durante una trasferta di lavoro.
Per definire le best practice che un viaggiatore d’affari dovrebbe mettere in atto i occasione di una trasferta bisogna innanzitutto chiarire un presupposto; bisogna assumere la consapevolezza che esistono diversi profili di business traveller i quali trattano dati di natura ben diversa e che quindi richiedono dei trattamenti altrettanto distinti. Ad esempio, la forza commerciale maneggia dati aziendali come strategie di marketing, definizione di costi, lista di clienti e partnership e via dicendo; mentre i responsabili aziendali si servono della proprietà intellettuale dell’impresa in merito a formulazioni e tecniche di produzione di prodotti o servizi, delle attività di ricerca, ecc. Se invece pensiamo ai referenti HR o al personale tecnico in trasferta, questi si servono rispettivamente dei dati personali legati alla privacy dei dipendenti e informazioni sensibili relativamente ad architetture, disegni tecnici e di produzione dei prodotti o dei servizi. Esistono comunque delle best practice che ogni risorsa alle prese con il business travel dovrebbe conoscere e applicare in automatico.
I principali pericoli per la cybersecurity dei business traveler
Qualunque viaggiatore d’affari potrebbe trovarsi a dover affrontare una minaccia alla sicurezza dei propri dispositivi digitali. Dal furto delle credenziali alle infezioni da malware, fino all’intercettazione delle comunicazione e al furto del dispositivo stesso. Per menti esperte non è difficile impossessarsi delle informazioni accessibili da un dispositivo, soprattutto se su questo sono salvate tutte le password. Infatti, anche nel caso di furto il danno non è legato al valore dell’oggetto ma alle informazioni che esso potrebbe contenere. Inoltre, con delle adeguate antenne, è possibile intercettare le comunicazioni trasmesse via Wi-Fi fino a quattro chilometri introducendosi tramite un Access Point che possa pubblicare un nome Wi-Fi identificativo ingannevole.
La durata della trasferta è un altro fattore rilevante nell’ottica della cybersecurity. Infatti, un dispositivo che non possa eseguire tempestivamente gli aggiornamenti antivirus potrebbe rendere particolarmente vulnerabile ad attacchi il dispositivo del dipendente in viaggio. Un’altra minaccia proviene dai social media. Talvolta, ingenuamente, il business traveller pubblica sui propri profili social spostamenti e scopi della propria trasferta. Ebbene questo genere di informazioni, apparentemente innocuo, potrebbe in realtà prestare il fianco a malintenzionati. Ma attenzione anche ai piani alti. Lo Spear Phishing, un “upgrade” del tradizionale phishing sul web, punta ad intrufolarsi nelle operazioni web di figure aziendali apicali che possono gestire fondi e detengono informazioni altamente sensibili.
Le best practice che ogni dipendente in trasferta deve mettere in pratica
Le minacce, come abbiamo visto, sono tante e possono provenire da ogni angolo del web e ad ogni livello di riservatezza. Esistono però delle best practice che possono prevenire ognuno degli interventi malevoli più sopra elencati.
Per ridurre il rischio del furto di un dispositivo, e dunque dell’accesso alle informazioni da esso accessibili, è innanzitutto fondamentale che l’azienda disciplini in una policy l’uso dei dispositivi in mobilità e preveda interventi di training e awareness per un corretto utilizzo dei dispotici da parte del personale. Ad esempio, i business traveller dovrebbero essere abituati ad accentuare l’attenzione verso potenziali allegati o link malevoli; così come è di fondamentale importanza infondere una disciplina sull’uso responsabile delle piattaforme social, anche personali. Allo stesso tempo bisogna prevedere un’architettura di sicurezza che minimizzi i dati sensibili da remoto e che preveda una cifratura dei dispositivi. Per evitare che si inciampi in un Wi-Fi ingannevole, l’utente deve a prescindere diffidare da reti che non richiedano l’autenticazione; anche se ci si collega a servizi aziendali è importante verificare sempre che ci sia un protocollo sicuro che richieda l’autenticazione dell’utente e che preveda la cifratura delle comunicazioni.
Nel caso di una trasferta prolungata che tenga lontani a lungo dalla protezione aziendale, è fondamentale valutare i rischi con attenzione. In occasione della scadenza, si dovrebbe verificare la possibilità di usufruire di un collegamento VPN, una rete virtuale privata che tuteli l’anonimato delle comunicazioni, per procedere all’aggiornamento del dispositivo.
Puntare sulle corrette norme di utilizzo dei dispotici in occasione dei viaggi di lavoro non deve però distogliere l’attenzione dai protocolli di intervento in caso di accesso ai dati sensibili da parte di non autorizzati. Infatti, è importante che siano previsti casi di infrazione o “mobile attack” nella gestione di rischio. Allo stesso tempo, per prevenire o intervenire tempestivamente, è necessario prevedere un’attività di audit costante sulle attività e sulle comunicazioni digitali eseguite dal personale, ad ogni livello.