In sole poche settimane, il lavoro da casa è diventato una vera e propria garanzia per la sopravvivenza di molte imprese in tutto il mondo, ma soprattutto per la salvaguardia dei posti di lavoro. I processi si adattano, la cultura dell’incontro si sta modernizzando alla velocità della luce. In quest’ottica, un aspetto di fondamentale importanza per le aziende riguarda la questione della sicurezza: quanto è sicura la telefonia in cloud? Cosa significa sicurezza nel lavoro da casa e di cosa devono essere consapevoli le aziende che vogliono entrare nel cloud con la loro organizzazione di comunicazione? Ce lo racconta Marco Pasculli, Managing Director di NFON Italia.

Il lavoro in remoto da casa può essere sicuro?

Il passaggio da un ufficio open-space al salotto di casa propria comporta sempre dei rischi. Le aziende che hanno la possibilità di continuare ad operare in modalità smart, devono essere in grado di dotare i propri dipendenti di un notebook e di auricolari, ma anche di supportarli dal punto di vista della sicurezza. Ci sono aziende che già possiedono un reparto IT ben strutturato e consolidato, in grado di estendere rapidamente la protezione offerta dalle soluzioni software di sicurezza aziendali anche ai propri dipendenti a casa. Uno dei grandi classici è la VPN. Ma guardiamo in faccia la realtà: la sicurezza non è mai garantita al 100%; si parla della massima sicurezza possibile e in questo senso dipendenti, responsabili e IT devono lavorare sinergicamente per le prossime settimane o, forse, per i prossimi mesi. Un buon consiglio è quello di stabilire un percorso di comunicazione il più breve possibile dal dipendente all’IT Manager, in modo che le cose possano essere chiarite con la massima rapidità. Comunicare è un processo imprescindibile, nessuna domanda è banale e la qualità della sicurezza si caratterizza anche per la comunicazione delle incertezze.

L’ISDN è in declino: il VoIP è più sicuro e più affidabile della comunicazione via filo di rame?

La telefonia in cloud è più sicura, anche quando si considerano aspetti come le connessioni di rete e la relativa ridondanza. Questo valeva anche ai tempi dell’ISDN, ma soltanto le grandi aziende ne erano dotate e, in confronto, oggi è molto più facile ottenere una connessione ridondante. Un’altra questione riguarda se effettivamente l’impianto telefonico nel seminterrato sia più sicuro della telefonia in cloud di un provider dotato di un’infrastruttura in alta affidabilità. Ci sono sicuramente esempi in cui nulla si è mai rotto in 30 anni di ISDN ma, altrettanto vero, è bastato un malfunzionamento elettrico perché tutto smettesse di funzionare.

Dove sono i punti di debolezza in termini di affidabilità della telefonia in cloud?

Il provider e la qualità della sua offerta, la stabilità della connessione a Internet e, in terzo luogo, l’infrastruttura di rete interna locale. E cosa significa questo per il dipendente in smart working? Di norma non deve preoccuparsi di questi aspetti, perché nel migliore dei casi ha un provider la cui soluzione è facile da usare e richiede un minimo di adattamento affinché funzioni con la massima affidabilità. Se, ad esempio, la connessione a Internet si interrompe perché la figlia di cinque anni ha versato del succo d’arancia sul router, la connessione passa automaticamente alla telefonia mobile e il dipendente può utilizzare lo smartphone aziendale per comunicare utilizzando il numero dell’ufficio. Ridondanza immediata significa anche sicurezza immediata, affinchè si possa continuare a lavorare o a telefonare. Inoltre, la telefonia in cloud è sinonimo di bassi costi telefonici grazie al VoIP.

Ci sono molti fornitori, forse anche centinaia in Europa. Come posso essere certo che il mio fornitore sia affidabile e rispetti la sua promessa?

Dipende da quanto tempo un’azienda vuole investire nel processo decisionale. Una buona informazione è un prerequisito fondamentale e l’esperienza di altre aziende può essere molto utile in questo caso, perché consente di indagare su alcuni fattori, come le tempistiche di transizione dalla telefonia classica a quella in cloud. Per prima cosa, naturalmente, un utente può guardare una mappa per vedere dove si trova il provider più vicino, ma sarebbe troppo facile. Un’azienda interessata può anche chiedere una descrizione del data center dove sono operativi i servizi cloud e i dettagli circa il rispetto delle normative di legge circa la data protection e la sicurezza informatica. Una media e grande impresa ha risorse e competenze per farlo con grande attenzione, una piccola azienda spesso si deve fidare delle indicazioni fornite tramite la pubblicità o del parere di conoscenti e colleghi del settore. Un altro approccio ancora è quello di verificare la reputazione del cloud provider su portali o media specializzati. Il provider è considerato inefficiente a causa della perdita di dati o di guasti costanti? Nell’era di Internet, questo è molto trasparente – che le aziende lo vogliano o meno.

Ad esempio, come possono le piccole e medie imprese verificare che le informazioni sulla disponibilità e l’affidabilità non siano una favola?

Tecnicamente parlando, è possibile verificare la qualità della telefonia in cloud utilizzando strumenti di misura, tuttavia, pochissime aziende sono disposte a sostenere i relativi costi e, in relazione a un’azienda di dimensioni piuttosto piccole, qui si pone la questione del buon senso. L’imprenditore dipende dalla trasparenza del cloud provider: quali informazioni fornisce, a parte la promessa di una disponibilità del servizio pari al 99,x%? Inoltre, si dovrebbe essere titubanti qualora il provider non fornisse ad esempio una fascia oraria per la manutenzione o le informazioni obbligatorie. Che differenza fa realmente per il business dell’azienda se il provider di telefonia in cloud offre una fascia oraria per la manutenzione tra le 3:00 e le 3:30 del mattino? È invece importante verificare se le interruzioni e le manutenzioni si verificano nel corso di una giornata lavorativa e il tempo che il provider impiega per ripristinare il servizio o quali scadenze assicura. Se il fornitore non fornisce informazioni su tutto questo, allora meglio starne alla larga!

Telefonia via Internet, PBX in cloud. Non sto ricevendo un rischio incalcolabile per l’azienda?

Qui spesso si confrontano mele con pere. Anche se questo è un pensiero giustificato, la questione sta diventando sempre meno rilevante nel presente e certamente non si porrà in futuro: il percorso verso il cloud è la normalità e l’infrastruttura a supporto è già adeguata a supportare questa transizione. Quindi la domanda sorge spontanea: quanto è sicura un’azienda se non passa al cloud e quali sono gli aspetti legati alla sicurezza? Crittografia, affidabilità, sicurezza dei dati e altro ancora. Ma quanti piccoli imprenditori o medie imprese sono realmente in grado di sapere dove si trovano le attuali vulnerabilità di sicurezza e installano costantemente gli ultimi aggiornamenti? Chiunque abbia il tempo, e come sappiamo il tempo è denaro. In definitiva, ogni azienda, indipendentemente dalle dimensioni e dal settore in cui opera, dovrebbe porsi la domanda di quanto tempo e denaro può o vuole investire nella sicurezza. Solo i clienti sicuri sono clienti felici, ovvero coloro che collaborano con un fornitore di servizi di alta qualità e affidabilità.

Cosa può fare l’azienda stessa in termini di sicurezza, anche per i dipendenti in smartworking?

Per cominciare, quanto più un imprenditore pensa intensamente al fornitore di telefonia in cloud e ai suoi requisiti di sicurezza durante il processo di selezione, tanto meno dovrà preoccuparsi della sicurezza successivamente. Fin dall’inizio abbiamo visto la sicurezza come elemento centrale nello sviluppo della nostra piattaforma e abbiamo investito di conseguenza in questo aspetto; un processo continuo. Un buon cloud service provider prenderà provvedimenti per identificare i problemi di sicurezza e, ad esempio, prevenire gli abusi come le frodi il più presto possibile. Le piccole e medie imprese dovrebbero rivolgersi agli esperti. Ma non deve necessariamente essere il produttore o il fornitore di servizi, può anche essere il partner IT. Anche molte system house sono specializzate in sicurezza. Se questo aspetto viene tralasciato, l’utente inesperto in materia di sicurezza ha in realtà solo la possibilità di fare affidamento sulla reputazione dell’azienda. Inoltre, dovrebbe verificare sui media e altre fonti d’informazione quanto siano importanti per il provider questioni come la protezione dei dati e quanto trasparente sia la sua comunicazione nei momenti di criticità. In questo contesto, la trasparenza è un importante fattore di fiducia che spesso viene sottovalutato. NFON, ad esempio, gestisce le interruzioni del servizio in modo molto trasparente. Un servizio appositamente allestito permette di verificare online se c’è il sospetto di un problema e lo stato di risoluzione dello stesso. Pertanto, anche la trasparenza e la relativa comunicazione è una componente essenziale della sicurezza.

Quando la sicurezza è coperta dalle responsabilità dell’azienda e quando è responsabile il fornitore? C’è una netta distinzione?

Le tecnologie cloud e le loro applicazioni stanno diventando sempre più diffuse e questo è un dato positivo. Se le responsabilità possano essere chiaramente definite e assegnate è invece un fattore piuttosto discutibile. In passato, tutto ciò che si svolgeva nella rete dell’azienda o del dipendente che lavorava da casa (quindi al di là del firewall) era di competenza dell’utente. Questo è ancora valido in linea di massima. Tuttavia, si pone la questione se un cloud provider non debba aiutare l’utente a evitare i tipici errori che commette o può commettere. Un esempio potrebbe essere costituito da utenti che disattivano esplicitamente la protezione con password dei telefoni IP. Un cloud provider dovrebbe dire “non è un mio problema, è responsabilità dell’utente”, o dovrebbe segnalarlo all’utente o, ancora meglio, garantire la massima sicurezza di propria iniziativa? In definitiva, nell’era del cloud, questa è una distinzione che va scomparendo e non c’è più una chiara separazione come in passato. Importante: la capacità di un provider di telefonia cloud di assumere il controllo della situazione e fornire informazioni trasparenti ed efficienti su obblighi e servizi può essere un’altra caratteristica di qualità del provider.

Quali requisiti minimi di sicurezza deve offrire un provider di telefonia in cloud?

Codifica vocale, funzionamento ridondante del data center e provisioning sicuro dai dispositivi finali sono gli aspetti che dovrebbero essere standard per ogni provider. Ma un ruolo determinante è giocato dai dettagli. Quanto lavoro fa realmente il provider? Quanto spesso mette in discussione la propria strategia di sicurezza, ogni quanto la aggiorna e quanto presta attenzione ai possibili errori commessi dall’utente?

Non è esagerata l’attenzione alla sicurezza? Licenze software, servizi di consulenza, aggiornamenti non sono costosi? Davvero non è importante se un dipendente discute a voce alta le strategie aziendali, le figure professionali e altri segreti sul treno o in altri luoghi pubblici tramite il telefono?

Purtroppo, questo accade molto spesso. Ogni volta che mi trovo in treno è sempre molto divertente incontrare dipendenti incuranti e quasi negligenti, ma anche amministratori delegati, consulenti e altre figure che si dilungano su informazioni dettagliate che riguardano l’azienda. Che sia una telefonata, o pagine e pagine di presentazioni stampate e lasciate sulla scrivania, o notebook non protetti dimenticati sul treno. Come manager di una società quotata in borsa, a volte faccio fatica a capire come la disattenzione possa minare la professionalità, ovvero il serio sforzo di stabilire la sicurezza informatica. Tutto questo è una triste constatazione e, nel peggiore dei casi, distrugge semplicemente tutte gli sforzi dell’azienda tesi a proteggere la sicurezza. La sicurezza informatica non si limita ciò che accade sulla propria scrivania, questo è importante e va ricordato sempre. Il comportamento dell’utente non solleva un responsabile IT dalla responsabilità di acquistare la tecnologia più sicura possibile e di offrire programmi con i quali, ad esempio, un dipendente in smart working può sentirsi al sicuro.

Oggi, i dipendenti devono avere paura di lavorare in remoto da casa?

No, fintanto che il dipendente rispetta le linee guida dell’azienda e il datore di lavoro si avvale delle giuste tecnologie. Dovrebbe semplicemente seguire le regole dell’azienda e non permettere a terzi di accedere al notebook aziendale. L’elenco dei consigli è tanto individuale quanto infinito. La cosa importante – e anche quella più semplice – è che nessuna domanda è mai troppo banale per essere fatta all’IT: fare domande aumenta la qualità della sicurezza. In ogni caso, durante le vostre ore di lavoro da casa tenete sempre il succo d’arancia di vostra figlia lontano dal notebook.

voipMarco Pasculli
Managing Director di NFON Italia