Molti paesi stanno gradualmente allentando le restrizioni dovute al coronavirus, consentendo viaggi non essenziali e accettando visitatori provenienti da altre nazioni. Le vacanze estive, che fino a pochi mesi fa sembravano un miraggio, sono adesso una possibilità.
Quest’anno però le ferie hanno un’accezione diversa dal passato in quanto, potendo lavorare anche da remoto, in molti casi gli italiani saranno operativi dalle località turistiche.
Attualmente infatti, gli smart worker sono circa 1,8 milioni e la quasi totalità rientrerà fisicamente sul posto di lavoro solo a partire da settembre: secondo la ricerca svolta da JFC, si prevede che ben il 23,6% di questi lavorerà da remoto scegliendo però di soggiornare in una località turistica. Saranno dunque circa 424.800 gli smart worker che si sposteranno da casa, nella quasi totalità dei casi con famiglia al seguito, per trascorrere in media 42 giorni nella meta di vacanza prescelta.
Smartphone, tablet e notebook diventano dunque più che mai compagni imprescindibili per rimanere sempre connessi, ma viaggiando non mancano i rischi in termini di sicurezza: smartphone smarriti o rubati, notebook dimenticati sul taxi o in aeroporto…e così molti dati sensibili finiscono involontariamente in mano a degli sconosciuti, non sempre armati di buone intenzioni.
Ma “lavorare da una casa lontano da casa” in tutta sicurezza è possibile, basterà adottare alcuni semplici accorgimenti :
- Confrontarsi con il proprio datore di lavoro prima di partire: anche se l’azienda vi ha consentito di lavorare da casa, è importante informare i vostri referenti di eventuali viaggi o spostamenti. L’IT manager rileverà subito che il traffico di rete inizierà improvvisamente ad arrivare da un luogo diverso da quello abituale e ciò potrebbe causare spiacevoli conseguenze.
- Crittografare i dispositivi: oggi gli smartphone Android e iOS sono criptati di default, ma la sicurezza dipende comunque dall’impostazione di un codice di blocco efficace, che non possa essere decifrato facilmente da ladri e malintenzionati. Tutti i Mac possono essere criptati usando FileVault, che fa parte del sistema operativo; su Windows dipende se si possiede Windows Home o Pro/Enterprise. È consigliato chiedere al proprio team IT di assicurarsi di criptare i dispositivi secondo gli standard prima di partire.
- Gestione delle password. Il prossimo viaggio può essere l’opportunità per organizzare correttamente le proprie password, senza prendere scorciatoie. È fondamentale impostare una password forte e diversa per ogni account. Per questo motivo è consigliato avvalersi di un password manager, verificando se necessario con l’IT quali siano le policy aziendali specifiche, che potrebbero prevedere anche il backup sicuro delle password.
- Utilizzare l’autenticazione a 2 fattori ove possibile. L’autenticazione a due fattori di solito è basata su codici unici che vengono inviati al telefono o generati da un’applicazione speciale. Nonostante possa essere percepita da alcuni utenti come una seccatura, rappresenta un enorme ostacolo per i truffatori, perché non possono accedere immediatamente all’account semplicemente scoprendo la password.
- Effettuare un backup prima di partire. Conservare una copia di backup in modo sicuro a casa fa in modo che i dati non vengano persi o rubati mentre si è in viaggio e non vengano cancellati se si dovesse incorrere in un attacco di tipo ransomware. Inoltre è fondamentale criptare il backup in modo che risulti inutile qualora venisse rubato. Per qualsiasi dubbio si può chiedere aiuto al proprio team IT, che offrirà delle linee guida o anche dei requisiti sui backup.
- Utilizzare reti WiFi sicure. La rete WiFi è sicuramente molto comoda ma nasconde molte insidie, offrendo una ghiotta occasione ai cybercriminali di sferrare i loro attacchi. Per questo motivo, se il segnale è buono (e le condizioni di roaming generose), è consigliato usare il proprio cellulare come hotspot. Se è necessario avvalersi della rete WiFi pubblica o alberghiera, è suggerito utilizzare una VPN affidabile. Se non si ha la certezza che la connessione sia sicura, evitare ogni transazione finanziaria online.
Promuovere una cultura della sicurezza informatica tra i lavoratori dovrebbe essere una best practice aziendale da sempre. Ma il numero esponenziale di smart worker e mobile worker a seguito della pandemia rende la formazione necessaria.
In tale ambito, le coperture assicurative costituiscono un elemento chiave, in quanto, se le richiamate buone politiche aziendali contribuiscono a ridurre il rischio legato al settore informatico, le assicurazioni ad hoc hanno la funzione di tutelare il rischio residuo, ponendo il patrimonio aziendale al riparo dalle conseguenze dannose di un attacco informatico o un errore umano.
Tali polizze sono ancora poco diffuse in Italia: da un’indagine condotta da Ania nel 2019 (alla quale, però, hanno aderito solo 5 imprese assicuratrici rappresentative di un quarto del mercato rilevante, quindi si tratta di dati certamente sottostimati), si rilevano N. 444 contratti cyber nel 2018, con un volume di premi superiore a Euro 3.000.000 e un premio medio di circa Euro 8.000,00. La maggior parte dei contratti sono concentrati nel Nord-Ovest del territorio italiano.
Un ambito che dovrà senz’altro essere oggetto di particolare attenzione da parte di un settore – quello della cyber insurance, appunto – in crescita riguarda la valutazione del rischio che, in ambito informatico, si arricchisce di problematicità che non sono riscontrabili nei settori tradizionali quali quelli delle assicurazioni danni auto e non auto. Qui le compagnie non dispongono ancora di statistiche affidabili e hanno quindi difficoltà a giungere a un’accurata determinazione del premio e delle franchigie applicabili.
Al momento, la maggior parte delle compagnie affida la valutazione del rischio informatico a questionari che vengono sottoposti al cliente, ma che sono fortemente deficitari, anche per la necessità di eseguire test di vulnerability e penetration dai costi molto elevati e che, quindi, non possono essere imposti a tutte le aziende.
Partendo dal presupposto che il rischio zero non esiste, nel contesto di virtuose politiche di risk management un riferimento concreto ed un parametro di valutazione può essere costituito dal Framework Nazionale per la Cyber Security (FNCS), che si compone di una serie di sottocategorie e di moduli adattabili a tutte le realtà imprenditoriali così che ogni azienda possa modulare le politiche di cyber security al proprio modello di business, in tal modo definendo il proprio profilo di rischio, che può anche essere oggetto di miglioramento durante la vita del contratto di assicurazione con correlata riduzione del premio.
Da un punto di vista dei danni risarcibili, un efficace tutela assicurativa dovrà comprendere non solo i danni materiali legati per lo più alla distruzione degli strumenti informatici ma anche – e soprattutto – i danni immateriali (come la distruzione di un archivio o il danno reputazionale) che sono assai più esposti e che sono spesso coperti solo da un’autoassicurazione, ovvero l’accantonamento di un fondo ad hoc da parte dell’azienda che consente di risparmiare sul premio.
Per concludere: facendo di necessità virtù questa grave contingenza può offrire lo spunto per soluzioni sempre più moderne e innovative che sfruttino al meglio la prestazione lavorativa a distanza nel rispetto e nella tutela di tutti gli interessi coinvolti, in primis la conservazione del valore e della reputazione dell’azienda.
Integrazione dati Clusit sugli attacchi informatici (rapporti 2019 e 2020)
Nel 2018, gli attacchi ad alto impatto costituiscono il 33% del totale (erano il 31% nel 2017) e quelli di livello critico sono il 28% (erano il 21% nel 2017); il maggior numero di attacchi classificati come critici riguarda le categorie “espionage” (furto di informazioni e sabotaggi) e “Information Warfare” (manipolazione dell’informazione, incluse fake news, propaganda etc., quale mezzo di pressione nel confronto fra Stati).
Sono anche in forte crescita gli attacchi di tipo denial of services – DOS – (con 9300 casi nel 2018 che rappresentano il 32% rispetto all’anno precedente): sono gli attacchi volti ad arrestare un computer, una rete o anche solo un particolare servizio mediante l’invio di una quantità di richieste tale da mandarne in crisi il funzionamento.
Tali attacchi sono indirizzati alle pubbliche amministrazioni nel 30% dei casi e nel 17% dei casi ai servizi finanziari a insurance; I danni dei cyber attacchi in Italia sono stati quantificati in circa 3,5 miliardi di Euro per gli utenti italiani nel 2018 e in più di 2 giorni lavorativi in media per utente che sono stati impiegati per rimediare ai problemi generati.
Per la tua sicurezza contatta European Brokers: corporate@ebrokers.it
Fonte: diritto24 – ilsole24ore