In che modo il lavoro a distanza influisce sulla segnalazione degli incidenti di sicurezza

La possibilità per i dipendenti di lavorare da remoto offre molti vantaggi, dal migliore equilibrio tra lavoro e vita privata a minori spese a una maggiore produttività. Ma una forza lavoro ampiamente dispersa può rappresentare al tempo stesso alcune grandi sfide per i team di sicurezza, non ultimo il modo in cui il lavoro remoto influisce sulla segnalazione degli incidenti di sicurezza. Con le aziende sempre più abituate a implementare tecnologie e processi di sicurezza più in sintonia con il lavoro remoto di massa, la segnalazione degli incidenti ha il potenziale per diventare un grosso ostacolo.

Oltre a introdurre e gestire protocolli come procedure di autorizzazione e accesso all’identità appropriate per il remote working, i team di sicurezza devono anche rivedere e adeguare i criteri di reporting per riflettere la natura del lavoro remoto o esporre le proprie organizzazioni a minacce alla sicurezza significative.

Avere una forza lavoro remota può creare un sovraccarico di incidenti di sicurezza semplicemente a causa della diversità delle reti create da una moltitudine di configurazioni domestiche o remote degli utenti, al contrario di un ambiente di ufficio in cui tutti sono sulla stessa rete, sostiene l’analista senior di Forrester Paddy Harrington. “Una cosa è gestire 12 reti perché hai 12 uffici, ma se hai 1000 dipendenti, 900 dei quali sono remoti, hai 912 reti di cui occuparti. Ciò significa che gli incidenti, compresi quelli che vengono segnalati, varieranno molto di più perché la rete domestica di ognuno è diversa”. E questo può portare a uno “stress da allerta” per i team di sicurezza se viene segnalata anche solo una frazione degli incidenti.

Nuove sfide per la segnalazione degli incidenti

I fattori operativi, comportamentali e tecnologici possono avere tutti un impatto sulla segnalazione degli incidenti di sicurezza informatica per una forza lavoro remota, introducendo una nuova serie di sfide incentrate principalmente sulla comunicazione e la collaborazione. Secondo Taharka Beamon, SOC manager di Reed Exhibitions, i dipendenti negli uffici tradizionali utilizzano in genere l’help desk locale come primo punto di contatto per la segnalazione degli incidenti, “con molte persone che preferiscono visitare il team IT di persona per spiegare comportamenti imprevisti o potenzialmente dannosi sul proprio computer”.

Ciò diventa problematico se un sistema remoto è compromesso e il dipendente non è in grado di utilizzarlo per segnalare un incidente, né può camminare lungo il corridoio fino all’ufficio di supporto IT più vicino, aggiunge Jason Hicks, CISO sul campo di Coalfire.

Senza canali di comunicazione convenienti e compatibili con il remoto e istruzioni per tutte le eventualità, è probabile che le aziende soffrano di poche segnalazioni da parte dei lavoratori al di fuori dell’ufficio, che potrebbero ritardare e quindi dimenticare di segnalare del tutto un potenziale incidente di sicurezza, afferma Jonathan Wrolstad, senior threat intelligence manager di ExtraHop. Entrano in gioco anche fusi orari diversi tra forze di lavoro più disperse, che possono portare a ritardi nei tempi di segnalazione e risposta, afferma Mirza Silajdzic, analista di sicurezza informatica presso VPNOverview.

Il lavoro a distanza influenza il comportamento dei dipendenti in materia di sicurezza

Il lavoro a distanza influisce e cambia anche il comportamento e la consapevolezza del personale sulla sicurezza informatica, cosa che secondo Richard Jones, CISO globale di Orange Cyberdefense, può influire sulla segnalazione degli incidenti. “Luoghi formali come un ufficio con struttura e organizzazione forniscono ai dipendenti una routine stabilita e confini chiari per ciò che è legato al lavoro e ciò che non lo è. Rimuovete questo perimetro e i dipendenti potrebbero avere difficoltà a mantenere l’elemento umano vitale della protezione della sicurezza, perché le persone si adattano all’ambiente circostante e le responsabilità non sono più così nette e precise quando si lavora da casa. Pertanto, ciò che il personale potrebbe pensare di segnalare come un incidente di sicurezza continuerà a cambiare nel tempo”.

“La mancanza di connessione mentale o fisica con un ufficio significa anche che i dipendenti potrebbero essere tentati di minimizzare la gravità di una potenziale violazione e non apprezzare appieno la rilevanza o l’applicazione delle policy aziendali all’interno dell’ambiente domestico”, afferma Keiron Holyome, VP UK, Europa orientale, Medio Oriente e Africa di Blackberry. Gli utenti remoti potrebbero anche essere più riluttanti a segnalare un incidente di sicurezza a causa di un senso di imbarazzo. “La vergogna informatica  (una sorta di riluttanza a segnalare una violazione a causa dell’imbarazzo o della paura delle conseguenze) può significare che le potenziali minacce vengono ignorate o non comunicate volontariamente”.

Anche la segnalazione e la risposta agli incidenti di sicurezza basati su sistemi ed endpoint possono essere influenzate negativamente dal lavoro remoto, afferma Immanuel Chavoya, esperto emergente di rilevamento delle minacce di SonicWall. “Ad esempio, se il sistema ha contrassegnato la macchina di un utente per un’intrusione di malware, potrebbe esserci un certo ritardo nel team di sicurezza in grado di apportare gli aggiornamenti necessari, mentre, di persona, l’ingegnere della sicurezza può accedere immediatamente al dispositivo e intraprendere qualsiasi azione necessaria”. Una delle principali sfide alla sicurezza per un’azienda con lavoratori remoti è l’impossibilità di visualizzare tutti gli endpoint nel sistema, cosa che inibisce l’operazione di rilevamento della sicurezza di base necessaria per la segnalazione e la risposta, aggiunge Chavoya.

Scarsa reportistica e perdita di fiducia dei clienti

I rischi di un processo di segnalazione ostacolato a causa del lavoro a distanza sono significativi. Quando gli incidenti non vengono segnalati, le segnalazioni vengono ritardate/comunicate erroneamente o le azioni/risposte di follow-up sono ostacolate, si possono lasciare esposte le vulnerabilità e/o far guadagnare tempo agli aggressori nel sistema prima che il team di sicurezza possa rilevare e contenere minacce e attività dannose, avverte Chavoya. Ciò può non solo esacerbare la gravità degli incidenti e degli attacchi, ma può anche danneggiare sia la reputazione di un’azienda, sia la sua capacità di soddisfare determinate norme sulla protezione dei dati che stabiliscono regole ferree in materia di divulgazione. Ciò potrebbe portare a una perdita di fiducia dei clienti e a ingenti sanzioni pecuniarie.

È quindi fondamentale che i team di sicurezza aggiornino le loro policy e i loro processi di reporting per tenere conto delle implicazioni di sicurezza del lavoro remoto. “La tendenza del lavoro domestico e ibrido è destinata a rimanere, quindi è molto pericoloso per i team di sicurezza fare affidamento su politiche e processi progettati per un’epoca passata in cui la maggior parte, se non tutti, i dipendenti lavoravano in un ambiente di ufficio controllato”, afferma Holyome. Tuttavia, i team devono affrontare le nuove strategie con un’attenta considerazione in modo da non introdurre minacce maggiori. “Con le risorse già messe a dura prova dall’aumento della frequenza e della complessità delle attività informatiche, un’ulteriore pressione sul tempo e sulle competenze per implementare policy su una forza lavoro distribuita (l’adattamento della formazione e l’applicazione delle politiche tra i dipendenti remoti) può creare vulnerabilità e rischi“.

Efficaci policy di segnalazione degli incidenti di sicurezza

Garantire un’efficace segnalazione remota degli incidenti di sicurezza è fondamentale per stabilire canali e processi di comunicazione chiaramente definiti, documentati e facili da usare per consentire ai dipendenti di raggiungere il personale IT e di sicurezza, afferma Beamon. “Le policy interne sulla manutenzione e l’aggiornamento puntuale delle informazioni di contatto documentate per i team IT e di sicurezza sono fondamentali. I team hanno la responsabilità aggiuntiva di garantire che i dipendenti dispongano delle informazioni di contatto per il personale IT e di sicurezza.“

I dipendenti dovrebbero anche essere incoraggiati a salvare le informazioni di contatto per i team IT e di sicurezza sul cellulare aziendale per l’uso in caso di emergenza. Nel complesso, i team devono rivedere regolarmente quanto siano accessibili i loro processi di segnalazione degli incidenti per coloro che non lavorano in ufficio, afferma Holyome. “I dipendenti possono comunque mettersi in contatto con il team IT se sono esclusi dal software aziendale a causa della violazione? L’azienda consente alle persone a tutti i livelli dell’organizzazione di segnalare i problemi liberamente e senza timore di recriminazioni?”

La formazione e la sensibilizzazione aiutano a mantenere i dipendenti al sicuro

Anche la formazione e la sensibilizzazione sono strumenti importanti e dovrebbero comprendere l’importanza di segnalare anche potenziali incidenti e sottolineare i maggiori rischi per la sicurezza che i lavoratori remoti devono affrontare. “Per i dipendenti che lavorano da casa, una cadenza di comunicazioni regolari su argomenti di sicurezza può mantenere questo argomento in primo piano”, afferma Holyome. “In particolare, l’educazione sulle tattiche di phishing e sullo sfruttamento da parte dei criminali informatici delle funzioni di chat interne più utilizzate dai dipendenti remoti contribuirà ad aumentare la consapevolezza delle minacce a cui prestare attenzione nella vita lavorativa quotidiana”.

Gli stessi team di sicurezza devono comprendere le principali minacce che la loro forza lavoro remota deve affrontare e fornire indicazioni chiare su come appaiono gli incidenti di sicurezza e su come dovrebbero essere segnalati, afferma Wrolstad. “La sicurezza non è al primo posto per la maggior parte dei lavoratori, ai quali devono essere quindi ricordate spesso le minacce chiave e come queste appaiono, in modo che possano riconoscerle durante la giornata lavorativa. I team di sicurezza devono mettersi nei panni dei loro utenti remoti e descrivere i potenziali rischi per la sicurezza in modo che i loro utenti possano riconoscerli”.

Prendere in considerazione il livello di minaccia

Infine, i team di sicurezza devono anche pensare a come dare priorità alla segnalazione e alla risposta agli incidenti in base ai livelli di minaccia del lavoro remoto. “Una rinnovata attenzione dovrebbe essere rivolta ad alcune parti dell’infrastruttura delle organizzazioni e in particolare alle VPN, che sono state utilizzate per decenni da molte organizzazioni ma che oggi sono diventate ancora più importanti in quanto utilizzate quotidianamente da una grande percentuale di dipendenti per accedere alle reti e alle risorse aziendali”, afferma Beamon. “Per i team interni, una vulnerabilità o un incidente segnalato relativo alla VPN e alla connettività di rete remota dovrebbe avere un livello di priorità elevato£.

Wolf ritiene inoltre che sia necessaria una maggiore attenzione alle differenze tra incidenti di sicurezza interni ed esterni. “È importante distinguere se si tratta di un incidente di sicurezza interno o esterno perché l’approccio verso l’indagine sui dipendenti non sarebbe lo stesso delle minacce esterne”.