← TORNA AGLI ARTICOLI

SMART WORKING SICURO: VPN, DESKTOP REMOTO O CLOUD?

Il lunedì un dipendente lavora da casa, il mercoledì da un ufficio cliente, il venerdì magari dal treno. Lo smart working (o "lavoro agile", per usare il termine corretto) è ormai una modalità operativa strutturale per moltissime PMI, non più un'eccezione concessa per emergenza. Il problema è che molte aziende hanno costruito il proprio accesso remoto in fretta, senza chiedersi davvero quale fosse la strada più sicura.

Le opzioni tecniche sul tavolo sono sostanzialmente tre: VPN aziendale, desktop remoto e applicazioni cloud/SaaS. Non sono alternative equivalenti: cambiano il modo in cui i dati si muovono, dove restano fisicamente, e quanto è facile per un tecnico gestirle e per un malintenzionato attaccarle. Vediamo come funzionano davvero e come scegliere quella giusta per la tua azienda.

PERCHÉ LA MODALITÀ DI ACCESSO CONTA COSÌ TANTO

Quando un dipendente lavora da casa, il computer si trova fuori dal perimetro che l'azienda controlla direttamente: niente firewall aziendale davanti, niente rete segmentata, spesso lo stesso router usato da smart TV, console e dispositivi di altri familiari. Il modo in cui quel PC "entra" nei sistemi aziendali determina quanto questo scenario resta un rischio contenuto oppure diventa una porta aperta.

Non esiste una risposta valida per tutte le aziende: dipende dal tipo di lavoro svolto, dal numero di persone coinvolte, dall'infrastruttura già presente in azienda e dal budget disponibile. Per questo conviene partire dal capire davvero come funziona ciascuna opzione, prima di sceglierla per abitudine o perché "si è sempre fatto così".

VPN
Rete Privata Virtuale
Crea un tunnel cifrato tra il PC di casa e la rete aziendale: è come essere fisicamente in ufficio, con vantaggi e rischi che ne derivano.
RDP
Desktop Remoto
Ti colleghi al PC o server dell'ufficio tramite browser o client: i dati restano in azienda, a casa arriva solo l'immagine dello schermo.
SaaS
Cloud / SaaS
Lavori direttamente dentro applicazioni cloud (posta, gestionali web, Microsoft 365): i dati vivono già fuori dall'ufficio, in un data center.

VPN AZIENDALE: IL TUNNEL VERSO L'UFFICIO

La VPN (Virtual Private Network) crea un canale cifrato tra il dispositivo dell'utente e la rete dell'azienda. Una volta connessi, il PC di casa "entra" virtualmente nella rete interna: può vedere le cartelle condivise, stampare sulle stampanti d'ufficio, accedere al gestionale come se fosse in sede.

È la soluzione più flessibile perché estende l'intera rete aziendale, ma proprio per questo è anche quella che richiede più attenzione. Se il PC di casa è infetto da un malware, quel malware si trova improvvisamente connesso alla rete aziendale con gli stessi permessi dell'utente. È uno degli scenari più comuni con cui un attacco ransomware, iniziato su un singolo laptop domestico poco protetto, riesce a propagarsi fino ai server centrali.

Una VPN aziendale ben configurata prevede autenticazione a più fattori, aggiornamenti costanti del client, segmentazione della rete (l'utente vede solo ciò che gli serve, non tutto) e un firewall capace di monitorare il traffico che passa dal tunnel. Un semplice router di fascia consumer non basta a garantire questo livello di controllo: serve un apparato pensato per il traffico aziendale.

DESKTOP REMOTO: I DATI RESTANO IN AZIENDA

Il desktop remoto funziona in modo diverso e, dal punto di vista della sicurezza, spesso più semplice da governare. Invece di portare la rete aziendale a casa, si porta l'immagine del PC (o di un server) di ufficio sullo schermo dell'utente. Il dipendente vede il proprio desktop di lavoro, apre i file, usa i programmi installati, ma i dati non lasciano mai fisicamente l'infrastruttura aziendale: restano sul server, protetti dietro il firewall e dai backup dell'azienda.

Questo riduce drasticamente la superficie di attacco: anche se il PC di casa fosse compromesso, l'aggressore vedrebbe solo un flusso video e input di tastiera/mouse, non un canale diretto verso file e cartelle. È anche comodo dal punto di vista operativo: basta un browser o un piccolo client leggero, non serve installare software pesante sul computer personale del dipendente, e il collegamento funziona bene anche da connessioni domestiche non velocissime.

Un esempio concreto: con le nostre soluzioni Skyhorizon e Skyroom il dipendente accede al proprio ambiente di lavoro via browser, senza installare nulla sul PC di casa: nessun file scaricato, nessuna copia locale, postazione di lavoro identica ovunque ci si colleghi.

CLOUD E SAAS: LAVORARE GIÀ FUORI DALL'UFFICIO

La terza strada è quella delle applicazioni cloud: posta elettronica, suite Microsoft 365, gestionali web-based, strumenti di collaborazione. In questo caso non si "entra" da nessuna parte: si lavora direttamente su un servizio che vive già su server esterni, accessibile con un semplice login da qualunque dispositivo con una connessione internet.

È il modello più immediato da usare, ma sposta il tema della sicurezza tutto sull'identità dell'utente: se qualcuno ruba la password (o, peggio, se non è attiva l'autenticazione a più fattori), può accedere a email, documenti e dati aziendali da qualsiasi parte del mondo, senza dover passare da nessun tunnel o firewall aziendale. Per questo un approccio "cloud-first" va sempre accompagnato da policy di accesso rigorose, un modello che si avvicina molto ai principi dello zero trust: non fidarsi mai automaticamente di un accesso solo perché arriva con le credenziali giuste, ma verificarlo sempre.

QUALE SCEGLIERE? UN CONFRONTO DIRETTO

Non esiste un vincitore assoluto: ogni approccio ha punti di forza e limiti diversi, spesso complementari.

Criterio VPN aziendale Desktop remoto Cloud / SaaS
Dove restano i dati Si spostano verso il PC di casa Restano sul server in azienda Restano nel data center del provider
Rischio se il PC di casa è infetto Alto: la rete aziendale è raggiungibile Basso: solo immagine schermo/input Medio: dipende dai permessi dell'account
Facilità di configurazione iniziale Media/complessa Media Semplice, quasi immediata
Adatta a Accesso completo a risorse interne (server, gestionali legacy) Postazioni di lavoro complete, software specifico installato Email, produttività, applicativi già web-based
Punto debole principale Il dispositivo dell'utente diventa parte della rete Serve un server/infrastruttura adeguata in azienda Sicurezza dipende quasi solo dalla password/MFA

Nella pratica, molte PMI non scelgono "una" soluzione ma una combinazione: desktop remoto per chi usa software gestionale installato in ufficio, cloud/SaaS per posta e collaborazione quotidiana, e una VPN più selettiva (magari solo per il reparto IT o per accessi specifici) invece che aperta a tutta l'azienda.

GLI ERRORI PIÙ COMUNI NELLO SMART WORKING

Errore 1: VPN "always-on" per tutti, senza segmentazione

Dare a ogni dipendente accesso VPN completo a tutta la rete, anche a chi userebbe solo la posta, moltiplica inutilmente il rischio. Ogni account VPN in più è una porta in più da proteggere.

Soluzione: segmentare gli accessi in base al reale bisogno lavorativo, non concedere "tutto a tutti" per comodità.

Errore 2: nessuna autenticazione a più fattori

Una password, per quanto lunga, è un singolo punto di fallimento: basta un phishing riuscito per comprometterla.

Soluzione: attivare l'MFA su ogni accesso remoto, che si tratti di VPN, desktop remoto o applicazioni cloud. È il singolo intervento con il miglior rapporto tra sforzo e protezione ottenuta.

Errore 3: Wi-Fi domestico non protetto

Router del provider con password di fabbrica, firmware mai aggiornato, rete unica condivisa con tutti i dispositivi di casa: sono la normalità in molte abitazioni, e diventano il primo anello debole quando ci si collega al lavoro da lì.

Soluzione: una password robusta e univoca sul router di casa, aggiornamenti attivi, e dove possibile una rete separata per il dispositivo di lavoro, con lo stesso principio con cui in ufficio si separa la rete ospiti da quella aziendale.

Errore 4: nessun controllo su dove finiscono i file scaricati

Con una VPN o un accesso cloud mal configurato, un dipendente può scaricare documenti aziendali sul proprio PC personale, magari condiviso con altri familiari, senza che nessuno se ne accorga.

Soluzione: privilegiare, dove possibile, soluzioni come il desktop remoto che per natura evitano il download locale dei file, oppure applicare policy di gestione dispositivi (MDM) sugli account cloud.

Attenzione: il ransomware che colpisce le aziende è in costante evoluzione e sfrutta sempre più spesso proprio gli accessi remoti mal protetti come porta d'ingresso. Un accesso remoto sicuro non è un dettaglio tecnico: è una delle difese più concrete che un'azienda può mettere in campo. Va inoltre ricordato che, in caso di violazione di dati personali, il GDPR prevede sanzioni che possono arrivare fino al 4% del fatturato annuo: un motivo in più per non trattare la sicurezza degli accessi remoti come un optional.

CHECKLIST: IL TUO SMART WORKING È DAVVERO SICURO?

Verifica lo stato della tua azienda rispondendo a queste domande:

  • ☐ Ogni accesso remoto (VPN, desktop remoto, cloud) richiede l'autenticazione a più fattori?
  • ☐ Gli accessi VPN sono segmentati in base al ruolo, non aperti a tutta la rete?
  • ☐ I dispositivi personali usati per lavorare hanno un antivirus/endpoint protection attivo e aggiornato?
  • ☐ Esiste una policy scritta su dove è possibile (o non possibile) salvare i file aziendali?
  • ☐ Il Wi-Fi domestico dei dipendenti chiave è stato quantomeno verificato o consigliato dall'IT aziendale?
  • ☐ Chi lascia l'azienda perde immediatamente ogni accesso remoto residuo?
  • ☐ Sai, in caso di incidente, quali dati sarebbero esposti da ciascun tipo di accesso remoto attivo?

Se hai risposto "no" a più di due domande, probabilmente il tuo smart working funziona, ma non è ancora sicuro quanto potrebbe essere.

IN SINTESI

VPN, desktop remoto e cloud non sono in competizione tra loro: sono strumenti diversi per esigenze diverse. La VPN estende la rete aziendale fin dentro casa del dipendente e va usata con attenzione e segmentazione. Il desktop remoto mantiene i dati sempre in azienda ed è spesso la scelta più equilibrata tra sicurezza e comodità per chi usa software installato. Il cloud/SaaS è immediato ma sposta tutta la responsabilità della sicurezza sull'identità dell'utente, quindi va sempre accompagnato da MFA e policy di accesso rigorose.

In sintesi: non esiste "la" soluzione giusta in assoluto, ma quella giusta per come lavora davvero la tua azienda. Il punto di partenza è sempre lo stesso: capire dove vanno a finire i dati quando qualcuno lavora da fuori ufficio, e proteggere quel percorso con la stessa serietà con cui si protegge la sede fisica.

Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.

VUOI UNO SMART WORKING DAVVERO SICURO?

Ti aiutiamo a capire quale soluzione di accesso remoto è più adatta alla tua azienda e a configurarla in sicurezza, senza complicarti la vita.

Richiedi Consulenza Scopri Desktop Remoto
APPROFONDIMENTI E COPERTURA TERRITORIALE — SUPPORTO E ASSISTENZA LOCALE +

Servizi e Prodotti IT per PMI

Il supporto e l'assistenza locale di Digital Combines raggiungono tutte le PMI della provincia di Verona. Operiamo con tecnici certificati per assistenza remota e on-site, interventi di emergenza, manutenzione preventiva, consulenza IT e formazione.

I nostri servizi includono anche: Installazione server Linux/Windows, Virtualizzazione, Reti aziendali certificate Cisco, Centralini VoIP, Siti Web ottimizzati SEO, e l'esclusiva AI locale Dr. Watson. Forniamo supporto tecnico sistemistico on-site e da remoto, garantendo continuità operativa e costi certi.

Partner Tecnologici

Collaboriamo con i leader del settore: Microsoft (Azure, 365), Cisco, Bitdefender, Netgate (pfSense), OVH Cloud, Aruba Business, Cloudflare, Adobe, Winblu, Ubuntu, Debian, FreeBSD, Samsung Pay, Stripe, PayPal.

Copertura Territoriale: 98 Comuni della Provincia di Verona

Il nostro team opera capillarmente in tutto il territorio veronese, garantendo interventi rapidi nei seguenti comuni: Affi, Albaredo d'Adige, Angiari, Arcole, Badia Calavena, Bardolino, Belfiore, Bevilacqua, Bonavigo, Boschi Sant'Anna, Bosco Chiesanuova, Bovolone, Brentino Belluno, Brenzone sul Garda, Bussolengo, Buttapietra, Caldiero, Caprino Veronese, Casaleone, Castagnaro, Castel d'Azzano, Castelnuovo del Garda, Cavaion Veronese, Cazzano di Tramigna, Cerea, Cerro Veronese, Cologna Veneta, Colognola ai Colli, Concamarise, Costermano sul Garda, Dolcè, Erbè, Erbezzo, Ferrara di Monte Baldo, Fumane, Garda, Gazzo Veronese, Grezzana, Illasi, Isola della Scala, Isola Rizza, Lavagno, Lazise, Legnago, Malcesine, Marano di Valpolicella, Mezzane di Sotto, Minerbe, Montecchia di Crosara, Monteforte d'Alpone, Mozzecane, Negrar di Valpolicella, Nogara, Nogarole Rocca, Oppeano, Palù, Pastrengo, Pescantina, Peschiera del Garda, Povegliano Veronese, Pressana, Rivoli Veronese, Roncà, Ronco all'Adige, Roverchiara, Roveredo di Guà, Roverè Veronese, Salizzole, San Bonifacio, San Giovanni Ilarione, San Giovanni Lupatoto, San Martino Buon Albergo, San Mauro di Saline, San Pietro di Morubio, San Pietro in Cariano, San Zeno di Montagna, Sanguinetto, Sant'Ambrogio di Valpolicella, Sant'Anna d'Alfaedo, Selva di Progno, Soave, Sommacampagna, Sona, Sorgà, Terrazzo, Torri del Benaco, Tregnago, Trevenzuolo, Valeggio sul Mincio, Velo Veronese, Verona, Veronella, Vestenanova, Vigasio, Villa Bartolomea, Villafranca di Verona, Zevio, Zimella.