Gestire la connettività per una forza lavoro distribuita su continenti e fusi orari è una delle sfide più significative delle moderne operazioni IT. Se i vostri dipendenti si trovano in aree geografiche diverse, connetterli in modo sicuro ai sistemi e agli strumenti di cui hanno bisogno non può essere risolto con una soluzione puntuale o un approccio standardizzato. Ciò significa che i team IT devono pianificare attentamente l'infrastruttura, le politiche di sicurezza in fase di implementazione e operare in diversi ambienti di rete, mantenendo al contempo un'esperienza utente ottimale.

Cosa serve realmente per accedere da remoto a livello globale?

Per le organizzazioni che prendono sul serio la sicurezza della connettività distribuita, accesso remoto per team globali È un argomento che merita un'attenta pianificazione piuttosto che soluzioni improvvisate e raffazzonate nel tempo.

In effetti, l'accesso remoto per un team geograficamente distribuito non è la stessa cosa di consentire ad alcuni dipendenti di lavorare da casa di tanto in tanto. Poiché i dispositivi degli utenti finali si trovano spesso tra il team IT e parte dell'infrastruttura principale, la distanza geografica rende già difficile la risoluzione dei problemi, ma quando gli utenti si trovano in molti paesi, le differenze nell'affidabilità di Internet tra le giurisdizioni, le differenze normative tra le stesse giurisdizioni e il supporto di dispositivi con sistemi operativi o specifiche locali diversi, complicano ulteriormente il mantenimento della supervisione aziendale.

Il primo passo consiste in una valutazione onesta delle esigenze dell'organizzazione. Ciò significa mappare la posizione degli utenti, i sistemi a cui è necessario accedere, la frequenza di accesso e il livello di latenza o degrado delle prestazioni tollerabile per ciascun caso d'uso. Ad esempio, le esigenze di uno sviluppatore con sede a Singapore che accede a un server di build a Francoforte sarebbero molto diverse da quelle di un analista finanziario in Brasile che scarica report da un'applicazione cloud. Entrambi necessitano di un accesso sicuro e affidabile, ma l'architettura sottostante può variare considerevolmente.

L'accesso remoto tra team globali è un'area che richiede un'attenta pianificazione, e non può essere affrontata con soluzioni ad hoc improvvisate nel tempo, per le organizzazioni che prendono sul serio la sicurezza della connettività distribuita.

Scegliere l'architettura di accesso più adatta

Scegliere l'architettura di accesso più adatta

Al centro dell'accesso remoto globale c'è una decisione architetturale: il traffico deve essere instradato attraverso un'infrastruttura centralizzata o si deve adottare un approccio più distribuito in cui le connessioni sono vicine ai luoghi in cui si trovano effettivamente gli utenti?
Gli approcci tradizionali, che instradano tutto il traffico remoto attraverso un data center centralizzato, funzionano bene per le piccole organizzazioni o se queste presentano flussi di traffico prevedibili. Tuttavia, questo modello introduce problemi di latenza che incidono significativamente sulla produttività, soprattutto con l'aumento degli utenti globali. Ad esempio, un utente di Tokyo che instrada il proprio traffico attraverso un data center di Chicago potrebbe subire ritardi che si accumulano rapidamente nel corso di un'intera giornata lavorativa.

La soluzione alternativa, disponibile nelle tecnologie moderne, consiste in punti di presenza distribuiti combinati con infrastrutture di accesso basate su cloud o configurazioni split-tunnel che instradano il traffico non sensibile (utilizzo generale di Internet) e le connessioni in entrata sensibili attraverso controlli centralizzati, lasciando il resto del traffico in uscita localmente. Ciascuna soluzione presenta dei compromessi in termini di sicurezza, costi, prestazioni e complessità amministrativa.

Valutazione delle opzioni relative a tunnel e protocolli

La sicurezza e le prestazioni delle connessioni di accesso remoto sono intrinsecamente legate ai protocolli sottostanti. Le implementazioni globali spesso presentano perdita di pacchetti, collegamenti ad alta latenza e transizioni di rete mobile, pertanto i team IT dovrebbero testare questi scenari per individuare le soluzioni migliori.

Ma altri fattori pratici che influenzano l'usabilità quotidiana includono gli standard di crittografia, i requisiti per l'autenticazione e il comportamento di riconnessione dopo interruzioni di rete. Ciò che funziona bene con una connessione cablata in ufficio potrebbe avere prestazioni molto scarse per un utente connesso tramite rete cellulare in un'area con copertura discontinua, a seconda della progettazione del protocollo.

Considerazioni sulla sicurezza per ambienti distribuiti

Fornire accesso remoto a un'intera forza lavoro dislocata a una certa distanza dall'ambiente locale comporta una superficie di attacco molto più ampia rispetto a un tipico ambiente on-premise. Gli utenti si connettono da reti che l'azienda non può controllare, da dispositivi che potrebbero non essere conformi alle politiche di sicurezza aziendali (BYOD) e, potenzialmente, da paesi con scenari di minaccia differenti.

Ciò significa adottare un approccio di sicurezza a più livelli. Questo include garantire requisiti di autenticazione rigorosi, effettuare controlli sullo stato di salute dei dispositivi, segmentare le reti e monitorare i comportamenti per identificare tentativi di accesso anomali, indipendentemente dalla loro origine. L'autenticazione a più fattori dovrebbe essere la norma, non un'opzione aggiuntiva.

Il National Institute of Standards and Technology (NIST) ha pubblicato delle linee guida autorevoli sulle migliori pratiche di sicurezza per il telelavoro, che i team IT possono utilizzare come quadro di riferimento per valutare e rafforzare le proprie configurazioni di accesso remoto. Queste linee guida includono dettagli sui metodi di autenticazione, sulla sicurezza dei dispositivi client e sui requisiti di crittografia, nonché sullo sviluppo di una policy, rappresentando un utile riferimento per le organizzazioni sia nella fase di implementazione che in quella di verifica del proprio approccio.

I controlli di accesso devono essere conformi al principio del minimo privilegio; ovvero, agli utenti deve essere concesso solo il livello di accesso strettamente necessario. Tuttavia, quando si tratta di team globali, la situazione si complica rapidamente: i dipendenti in diverse aree del mondo svolgono mansioni diverse, le normative che regolano l'accesso ai dati sono differenti e, in definitiva, il loro profilo di rischio è proporzionale alla sensibilità dei sistemi a cui devono accedere.

Considerazioni sulla sicurezza per ambienti distribuiti

Gestione degli endpoint transfrontalieri

Estendere l'accesso remoto a livello globale è forse una delle sfide più complesse per la sicurezza degli endpoint. Le organizzazioni devono scegliere tra fornire dispositivi gestiti dall'azienda a tutti i dipendenti che lavorano da remoto, consentire loro di utilizzare i propri dispositivi (BYOD) o adottare una combinazione di entrambi gli approcci.

I diversi modelli comportano diverse implicazioni per la sicurezza. I dispositivi gestiti forniscono ai team IT gli strumenti per imporre standard di configurazione, distribuire patch, implementare la protezione degli endpoint e cancellare da remoto i dati dai dispositivi in caso di smarrimento o compromissione. I sistemi non gestiti, al contrario, implicano incertezza riguardo al software installato, all'aggiornamento costante del sistema operativo e all'applicazione di eventuali protocolli di threat intelligence.

Una soluzione intermedia essenziale, adottata dalle organizzazioni con personale dislocato in aree geografiche in cui la spedizione di hardware gestito è impraticabile, eccessivamente costosa o poco pratica, senza compromettere la sicurezza, può essere implementata per imporre che i dispositivi personali soddisfino un livello minimo di sicurezza, passività e controlli di integrità prima di concedere l'accesso.

Affidabilità e prestazioni della rete nelle diverse regioni

La qualità di Internet può variare notevolmente a seconda dell'area geografica. Le regioni con un'infrastruttura a banda larga robusta avranno un'esperienza sostanzialmente diversa rispetto a quelle in cui la connettività è lenta, più costosa o meno affidabile. Questa variabilità deve essere presa in considerazione dai team IT che progettano soluzioni di accesso remoto globali, anziché presumere che tutti gli utenti abbiano lo stesso livello di connettività.

La compressione dei dati, l'ottimizzazione dei protocolli, lo streaming a bitrate adattivo per le applicazioni di condivisione dello schermo e le strategie di caching (minore trasferimento di dati durante le operazioni comuni) sono alcune tecniche per migliorare le prestazioni in ambienti di rete complessi. Alcune organizzazioni implementano infrastrutture regionali per ridurre la distanza di andata e ritorno per gli utenti situati in aree con elevata latenza.

L'agenzia per la sicurezza informatica responsabile delle infrastrutture federali ha elaborato delle linee guida federali sul lavoro da remoto che affrontano sia gli aspetti di sicurezza che quelli operativi dell'accesso remoto su larga scala, fornendo un utile punto di riferimento anche per le organizzazioni non federali che progettano i propri programmi.

Gestione scalabile di identità e accessi

Identità per una forza lavoro globale: un sistema di gestione delle identità e degli accessi deve essere sufficientemente robusto da supportare utenti che lavorano in diverse regioni, integrarsi con i sistemi HR che gestiscono i cambi di ruolo e la cessazione dei rapporti di lavoro, e supportare meccanismi di autenticazione che funzionino in modo affidabile in tutte le aree geografiche.

Il single sign-on riduce al minimo il carico di autenticazione per gli utenti, fornendo al contempo ai team IT un unico punto di controllo. Quando un dipendente cambia ruolo o lascia l'organizzazione, l'accesso può essere aggiornato o revocato in un unico punto, anziché dover aggiornare manualmente ogni singolo sistema a cui l'utente aveva accesso.

Per le organizzazioni con dipendenti che operano in settori regolamentati o in paesi che richiedono una specifica localizzazione dei dati, la gestione delle identità deve anche considerare dove risiedono e vengono gestiti i dati di autenticazione. Questi aspetti possono avere un impatto significativo sulle decisioni architetturali, soprattutto quando un'azienda inizialmente presumeva che un unico provider di identità globale potesse servire senza problemi gli utenti in diverse aree geografiche senza particolari accorgimenti.

Accesso privilegiato e controlli amministrativi

In tutti gli ambienti, gli account privilegiati utilizzati per ottenere un accesso elevato a sistemi, configurazioni o dati sensibili dovrebbero essere dotati di controlli aggiuntivi. Ciò è particolarmente importante per i team globali, poiché l'accesso privilegiato da una posizione geografica inaspettata può rappresentare un campanello d'allarme per una possibile compromissione.

I controlli di accesso basati sul tempo, la registrazione delle sessioni delle operazioni privilegiate e gli avvisi per gli accessi da posizioni e orari anomali sono potenziali misure di mitigazione che le organizzazioni dovrebbero prendere in considerazione. L'accesso amministrativo all'infrastruttura principale dovrebbe seguire percorsi specifici, con un monitoraggio ancora più rigoroso rispetto a quello per l'accesso degli utenti.

Definizione e gestione delle politiche globali di accesso remoto

La tecnologia rappresenta solo metà dell'equazione. Sebbene questi sistemi possano essere tecnicamente progettati pensando alla sicurezza, senza politiche che specifichino come l'accesso remoto viene concesso, utilizzato, monitorato e revocato, risultano inadeguati dal punto di vista pratico.

La politica di accesso remoto in vigore a livello aziendale deve stabilire quali dispositivi sono autorizzati, quali condizioni di rete bloccheranno un dispositivo di connessione, come viene eseguita l'autenticazione, quali azioni gli utenti possono e non possono eseguire durante le sessioni remote, come possono essere segnalati gli incidenti e quando scatta la terminazione rapida dell'accesso.

La formazione è un'estensione della politica aziendale stessa. I dipendenti di diverse regioni hanno bisogno di chiarezza sulle aspettative nei loro confronti, su come identificare le minacce alla sicurezza (non solo fisiche) e su quali misure adottare in caso di sospetto di un problema. In un contesto lavorativo globale, i materiali formativi dovranno essere localizzati anche in base alla lingua e al contesto normativo, mentre le modalità di erogazione dovranno tenere conto delle esigenze di lavoro in fusi orari e turni diversi.

Monitoraggio e risposta agli incidenti in diversi continenti.

Quando un'organizzazione ha dipendenti che lavorano in tutti i fusi orari, è letteralmente sempre operativa. Di conseguenza, il monitoraggio della sicurezza non può limitarsi al solo orario lavorativo. Per i team IT e di sicurezza, è fondamentale avere visibilità sull'attività di accesso remoto 24 ore su 24, 7 giorni su 7, con un sistema automatizzato integrato per il rilevamento delle anomalie e la risposta, a qualsiasi ora del giorno.

L'aggregazione dei log, l'analisi comportamentale e gli avvisi automatici garantiscono l'identificazione rapida di qualsiasi attività sospetta. In tal caso, coordinare una risposta tempestiva attraverso diversi fusi orari diventa una vera sfida che deve essere considerata nelle procedure di gestione degli incidenti.

Disporre di percorsi di escalation chiari, responsabilità di reperibilità e procedure di intervento predefinite significa che, quando qualcosa va storto, la soluzione arriverà in pochi minuti anziché in ore – e questa è una differenza importante, dato che gli utenti potrebbero trovarsi dall'altra parte del mondo.

Domande frequenti

Qual è la principale sfida alla sicurezza che una forza lavoro globale crea quando si abilita l'accesso remoto?

Oppure, ancora, forse il rischio maggiore è rappresentato dall'accesso non autorizzato tramite credenziali compromesse o endpoint non sicuri. Gli aggressori hanno la possibilità di sfruttare gli utenti che si connettono da reti non controllate dall'organizzazione, con un'autenticazione a più fattori debole o assente. Il rafforzamento dell'autenticazione e la sicurezza degli endpoint dovrebbero essere requisiti fondamentali per un'organizzazione, non un optional.

Come dovrebbe il corso IT Teams gestire l'accesso per i dipendenti che lavorano da remoto in paesi con connessioni Internet scadenti?

Valutare le specifiche problematiche di accesso in ciascuna regione e adattare le soluzioni di conseguenza. Tra le possibili opzioni figurano: infrastrutture regionali per ridurre la latenza, selezione del protocollo più adatto alle esigenze di reti con elevata latenza o con perdite di pacchetti, supporto per il lavoro offline e la sincronizzazione sicura, nonché la distribuzione di contenuti memorizzati nella cache, ove applicabile. Una soluzione pensata per ambienti ad alta larghezza di banda non è necessariamente in grado di soddisfare tutti gli utenti a livello globale.

Quando e con quale frequenza un'organizzazione dovrebbe rivedere periodicamente la propria politica globale di accesso remoto?

Le politiche di accesso remoto devono essere aggiornate almeno una volta all'anno e ogni qualvolta si verifichi un cambiamento significativo nell'organizzazione, come l'ingresso in nuovi mercati, la modifica della tecnologia di accesso, il verificarsi di incidenti di sicurezza o l'introduzione di requisiti normativi dovuti alle operazioni in una determinata giurisdizione. Le politiche che non vengono aggiornate costantemente non rispecchiano i comportamenti reali e l'attuale panorama delle minacce.

Un accesso remoto globale efficace dipende da molto più della semplice connettività. Combinando un'architettura sicura, una solida gestione delle identità, la protezione degli endpoint, il monitoraggio continuo e politiche chiare, le organizzazioni possono supportare i team distribuiti riducendo al minimo i rischi per la sicurezza, garantendo la conformità e offrendo esperienze utente affidabili in tutto il mondo.

Argomenti più immersivi legati alla tecnologia

Metamandrill.com fornisce informazioni esplicative e pratiche sulle tecnologie immersive e argomenti correlati, come realtà aumentata, realta virtuale, mondi virtuali e giochi, dispositivi e attrezzi, interviste ai fondatori, informazioni sull'evento, e Spiegatori e guide.