Negli anni della pandemia molte aziende hanno abilitato lo smart working in fretta, con soluzioni temporanee mai più riviste. Oggi il lavoro fuori sede è strutturale, ma le difese sono spesso rimaste quelle di emergenza, ed è uno dei vettori principali di compromissione.
I tre pilastri di uno smart working sicuro
1. VPN aziendale moderna
Le VPN tradizionali (IPSec site-to-site o client classici) hanno limiti noti: utenti tutti uguali, accesso ampio una volta dentro, gestione complessa. Le architetture moderne adottano logiche Zero Trust:
- Identità verificata a ogni richiesta, non solo all'accesso.
- Accesso granulare per applicazione, non a tutta la rete.
- Verifica continua dello stato dell'endpoint.
Soluzioni come WatchGuard SD-WAN, Cisco Secure Access, FortiClient ZTNA o le opzioni cloud-native (Cloudflare, Tailscale) sono accessibili anche per PMI.
2. Autenticazione multifattore
L'MFA non è un optional. Va attivato:
- Sull'accesso VPN.
- Sulla posta elettronica (Microsoft 365, Google Workspace).
- Sul gestionale, se accessibile da remoto.
- Su tutti i pannelli di amministrazione.
Meglio app di autenticazione (token rotanti) o chiavi hardware (YubiKey) rispetto agli SMS, vulnerabili al SIM swap.
3. Endpoint protection
L'antivirus tradizionale non basta più. Servono soluzioni EDR (Endpoint Detection and Response) o XDR che:
- Rilevano comportamenti anomali, non solo firme note.
- Permettono isolamento remoto del dispositivo compromesso.
- Tracciano la catena di eventi per analisi forense.
- Sono gestite centralmente, non lasciate al dipendente.
Errori comuni nelle PMI
- RDP esposto su internet: ancora oggi vediamo aziende con porta 3389 aperta. È il regalo più grande al ransomware.
- Stessa password aziendale e personale: una violazione su un servizio personale espone subito quello aziendale.
- PC personali per lavoro: senza policy chiare e separazione, è un disastro garantito.
- Backup ignorati: i dati creati sui portatili in viaggio non rientrano nei backup centrali.
Policy aziendale chiara
La parte tecnica conta, ma una policy scritta è essenziale: cosa è ammesso fare con i dispositivi aziendali, cosa è vietato, cosa fare in caso di smarrimento del laptop, come richiedere accessi temporanei. Senza policy, ogni dipendente fa interpretazioni diverse.
Conclusione
Lo smart working è un'opportunità grande ma porta superficie d'attacco maggiore. Affrontarlo con strumenti moderni e processi chiari è un investimento, non un costo. Possiamo valutare il tuo attuale assetto di lavoro remoto e proporre miglioramenti senza stravolgimenti.