E’ ormai evidente che gli ambienti lavorativi non saranno mai più gli stessi. Abbiamo assistito a una trasformazione radicale nelle best practices dei processi lavorativi, delle metodologie e della progettazione degli ambienti lavorativi che continua a stimolare un cambiamento sia delle strategie di business delle aziende sia degli ambienti lavorativi che lo supportano.
Ma cosa significa concretamente per i dipendenti? Il nuovo Intelligent Workplace Report 2020 di NTT, “Shaping Employee Experiences for a World Transformed” ha risposto a questa domanda, approfondendo le prerogative degli ambienti di lavoro di nuova concezione, dal punto di vista delle aziende, in virtù delle nuove sfide che sono chiamate ad affrontare, e delle soluzioni che meglio abilitano la flessibilità e la sicurezza richiesta oggi, in un’ottica di resilienza, per continuare a prosperare nell’attuale e complesso scenario.
Le nuove modalità operative richiedono pertanto nuove considerazioni sulla sicurezza dei dipendenti remoti e dunque nuove policy e procedure. Sulla base delle evidenze fornite dal report il 94% degli intervistati ritiene che la governance, risk e compliance (GRC) sia un fattore importante nelle strategie di workplace delle proprie organizzazioni mentre il 54, 1% sostiene che sia cruciale.
La crescita diffusa di applicazioni e piattaforme enterprise e di collaboration basate su web ha spinto molte organizzazioni a rivalutare l’utilizzo dei dati da parte dei propri dipendenti per assicurarsi che aderiscano ai requisiti GRC.
Il 76,9% delle aziende trova più difficile riuscire a individuare vulnerabilità della sicurezza IT o il rischio aziendale causato dai dipendenti che lavorano in remoto mentre l’83,2% ha rivalutato la propria strategia di security per adeguarsi alle nuove modalità lavorative generate dalla crisi sanitaria.
Il rapido cambiamento reattivo introduce un elevato numero di rischi per il business. Uno di questi include la capacità di un’organizzazione di adattare le policy e le procedure di sicurezza ai mutevoli scenari e di continuare a proteggere le informazioni aziendali e dei clienti.
Il veloce passaggio al lavoro distribuito ha di fatto reso sempre meno definito il perimetro aziendale che risulta quindi sempre più difficile da difendere. Soprattutto alla luce di un aumento significativo e sempre più ampio delle minacce e degli attacchi nei confronti di applicazioni consumer e aziendali che riteniamo possano continuare ad essere bersagli e, di conseguenza ,un pericolo per tutte quelle realtà che si affidano sempre di più alla presenza sul web per rimanere operative, come i siti di e-commerce, i portali dedicati ai clienti e i servizi web.
Nell’aprile 2020, a fronte di una più ampia diffusione del lavoro e della didattica a distanza, i cyber criminali hanno iniziato a indirizzare i propri attacchi verso applicazioni di comunicazione remota, come Zoom.
In virtù di ciò e visto il carattere di urgenza delle misure da adottare, la maggior parte delle applicazioni sono state implementate senza tener conto delle dovute misure di sicurezza, compromettendo così una situazione già critica.
Ad aggiungere ulteriore complessità dal punto di vista della sicurezza e della conformità è il maggiore utilizzo degli strumenti di collaborazione dei dipendenti (WeChat e WhatsApp, ad esempio) e dei dispositivi personali, che non sono gestiti dall’azienda e potrebbero generare ulteriori falle e conseguenti perdite di dati.
Di conseguenza, i rischi per la sicurezza sono in aumento, insieme alle crescenti preoccupazioni su questioni come l’etica e la privacy dei dati, che richiedono alle organizzazioni di determinare il modo migliore per proteggere sia il dipendente che l’azienda.
Questi cambiamenti hanno spinto a un ripensamento radicale su come proteggere l’azienda, gestire i rischi di cybersecurity di una forza lavoro distribuita e assicurare che le organizzazioni siano resilienti per affrontare l’incertezza e cambiamenti improvvisi.
Munirsi delle più recenti versioni delle applicazioni di communication e meeting e monitorarne il costante aggiornamento, continuare a distribuire patch e aggiornare i sistemi su cui si basano e porre maggiore attenzione sui controlli degli end-point contribuirebbero a rafforzare la resilienza aziendale.
La cyber-resilience è, infatti, la capacità di un’organizzazione di continuare a condurre il proprio business indipendentemente dagli eventi informatici che impattano sulle normali operazioni e include il concetto secondo cui le aziende devono prepararsi, prevenire, rispondere e recuperare con successo per proteggere il proprio status senza interruzioni o senza compromettere le normali attività.
Il ‘secure by design’, ovvero essere consapevoli della sicurezza informatica a tutti i livelli e considerare la sicurezza come elemento chiave e fondamentale dei programmi digitali, diventa dunque essenziale per affrontare queste problematiche e dovrebbe quindi essere radicato in ogni aspetto della digitalizzazione e delle strategie di workplace, dalle politiche IT e HR (politica dei dispositivi mobili, politica di lavoro flessibile), fino alla sicurezza dei dati, applicazioni, reti e modalità di archiviazione.
Le aziende devono investire in tecnologie per la sicurezza dei dipendenti remoti, ma l’accelerazione del cloud richiede un approccio più olistico – capace di incorporare la sicurezza a livello applicativo e infrastrutturale attraverso soluzioni flessibili e scalabili quali le soluzioni di Secure Access Service Edge (SASE).
Ciò significa pensare alla sicurezza in modo più personalizzato per offrire una protezione mirata e adeguata per le diverse tipologie di dipendenti sulla base dei diversi ruoli e delle diverse attività che svolgono.
Questo non può prescindere da una corretta e puntuale formazione sulle nuove applicazioni e le nuove modalità lavorative, che rappresenta una delle priorità (in essere però solo per il 42.8% delle organizzazioni): informare i dipendenti in merito agli aggiornamenti delle policy di sicurezza, a come possono essere di supporto alle proprie attività quotidiane – indipendentemente dal luogo in cui lavorano – e di quello che ci si aspetta da loro è fondamentale per garantire un comportamento dei dipendenti desiderato e, ancora più importante, il coinvolgimento attivo e responsabile nell’indirizzare le problematiche di cybersecurity.
Quando le organizzazioni sono interessate da cambiamenti devono comunicare in modo efficace le nuove regole e i processi aziendali per garantire che le operazioni possano continuare, gestendo e riducendo gli impatti sul business. Ciò include politiche e procedure di sicurezza aggiornate, procedure di segnalazione di incidenti e continui aggiornamenti sull’evoluzione degli attacchi informatici e dei rischi a cui sono esposti i dipendenti. Il nuovo Intelligent Workplace Report 2020 è disponibili qui
a cura di Salvatore Sammito, Intelligent Cybersecurity Practice Manager per NTT in Italia