Il lunedì un dipendente lavora da casa, il mercoledì da un ufficio cliente, il venerdì magari dal treno. Lo smart working (o "lavoro agile", per usare il termine corretto) è ormai una modalità operativa strutturale per moltissime PMI, non più un'eccezione concessa per emergenza. Il problema è che molte aziende hanno costruito il proprio accesso remoto in fretta, senza chiedersi davvero quale fosse la strada più sicura.
Le opzioni tecniche sul tavolo sono sostanzialmente tre: VPN aziendale, desktop remoto e applicazioni cloud/SaaS. Non sono alternative equivalenti: cambiano il modo in cui i dati si muovono, dove restano fisicamente, e quanto è facile per un tecnico gestirle e per un malintenzionato attaccarle. Vediamo come funzionano davvero e come scegliere quella giusta per la tua azienda.
PERCHÉ LA MODALITÀ DI ACCESSO CONTA COSÌ TANTO
Quando un dipendente lavora da casa, il computer si trova fuori dal perimetro che l'azienda controlla direttamente: niente firewall aziendale davanti, niente rete segmentata, spesso lo stesso router usato da smart TV, console e dispositivi di altri familiari. Il modo in cui quel PC "entra" nei sistemi aziendali determina quanto questo scenario resta un rischio contenuto oppure diventa una porta aperta.
Non esiste una risposta valida per tutte le aziende: dipende dal tipo di lavoro svolto, dal numero di persone coinvolte, dall'infrastruttura già presente in azienda e dal budget disponibile. Per questo conviene partire dal capire davvero come funziona ciascuna opzione, prima di sceglierla per abitudine o perché "si è sempre fatto così".
VPN AZIENDALE: IL TUNNEL VERSO L'UFFICIO
La VPN (Virtual Private Network) crea un canale cifrato tra il dispositivo dell'utente e la rete dell'azienda. Una volta connessi, il PC di casa "entra" virtualmente nella rete interna: può vedere le cartelle condivise, stampare sulle stampanti d'ufficio, accedere al gestionale come se fosse in sede.
È la soluzione più flessibile perché estende l'intera rete aziendale, ma proprio per questo è anche quella che richiede più attenzione. Se il PC di casa è infetto da un malware, quel malware si trova improvvisamente connesso alla rete aziendale con gli stessi permessi dell'utente. È uno degli scenari più comuni con cui un attacco ransomware, iniziato su un singolo laptop domestico poco protetto, riesce a propagarsi fino ai server centrali.
Una VPN aziendale ben configurata prevede autenticazione a più fattori, aggiornamenti costanti del client, segmentazione della rete (l'utente vede solo ciò che gli serve, non tutto) e un firewall capace di monitorare il traffico che passa dal tunnel. Un semplice router di fascia consumer non basta a garantire questo livello di controllo: serve un apparato pensato per il traffico aziendale.
DESKTOP REMOTO: I DATI RESTANO IN AZIENDA
Il desktop remoto funziona in modo diverso e, dal punto di vista della sicurezza, spesso più semplice da governare. Invece di portare la rete aziendale a casa, si porta l'immagine del PC (o di un server) di ufficio sullo schermo dell'utente. Il dipendente vede il proprio desktop di lavoro, apre i file, usa i programmi installati, ma i dati non lasciano mai fisicamente l'infrastruttura aziendale: restano sul server, protetti dietro il firewall e dai backup dell'azienda.
Questo riduce drasticamente la superficie di attacco: anche se il PC di casa fosse compromesso, l'aggressore vedrebbe solo un flusso video e input di tastiera/mouse, non un canale diretto verso file e cartelle. È anche comodo dal punto di vista operativo: basta un browser o un piccolo client leggero, non serve installare software pesante sul computer personale del dipendente, e il collegamento funziona bene anche da connessioni domestiche non velocissime.
Un esempio concreto: con le nostre soluzioni Skyhorizon e Skyroom il dipendente accede al proprio ambiente di lavoro via browser, senza installare nulla sul PC di casa: nessun file scaricato, nessuna copia locale, postazione di lavoro identica ovunque ci si colleghi.
CLOUD E SAAS: LAVORARE GIÀ FUORI DALL'UFFICIO
La terza strada è quella delle applicazioni cloud: posta elettronica, suite Microsoft 365, gestionali web-based, strumenti di collaborazione. In questo caso non si "entra" da nessuna parte: si lavora direttamente su un servizio che vive già su server esterni, accessibile con un semplice login da qualunque dispositivo con una connessione internet.
È il modello più immediato da usare, ma sposta il tema della sicurezza tutto sull'identità dell'utente: se qualcuno ruba la password (o, peggio, se non è attiva l'autenticazione a più fattori), può accedere a email, documenti e dati aziendali da qualsiasi parte del mondo, senza dover passare da nessun tunnel o firewall aziendale. Per questo un approccio "cloud-first" va sempre accompagnato da policy di accesso rigorose, un modello che si avvicina molto ai principi dello zero trust: non fidarsi mai automaticamente di un accesso solo perché arriva con le credenziali giuste, ma verificarlo sempre.
QUALE SCEGLIERE? UN CONFRONTO DIRETTO
Non esiste un vincitore assoluto: ogni approccio ha punti di forza e limiti diversi, spesso complementari.
| Criterio | VPN aziendale | Desktop remoto | Cloud / SaaS |
|---|---|---|---|
| Dove restano i dati | Si spostano verso il PC di casa | Restano sul server in azienda | Restano nel data center del provider |
| Rischio se il PC di casa è infetto | Alto: la rete aziendale è raggiungibile | Basso: solo immagine schermo/input | Medio: dipende dai permessi dell'account |
| Facilità di configurazione iniziale | Media/complessa | Media | Semplice, quasi immediata |
| Adatta a | Accesso completo a risorse interne (server, gestionali legacy) | Postazioni di lavoro complete, software specifico installato | Email, produttività, applicativi già web-based |
| Punto debole principale | Il dispositivo dell'utente diventa parte della rete | Serve un server/infrastruttura adeguata in azienda | Sicurezza dipende quasi solo dalla password/MFA |
Nella pratica, molte PMI non scelgono "una" soluzione ma una combinazione: desktop remoto per chi usa software gestionale installato in ufficio, cloud/SaaS per posta e collaborazione quotidiana, e una VPN più selettiva (magari solo per il reparto IT o per accessi specifici) invece che aperta a tutta l'azienda.
GLI ERRORI PIÙ COMUNI NELLO SMART WORKING
Errore 1: VPN "always-on" per tutti, senza segmentazione
Dare a ogni dipendente accesso VPN completo a tutta la rete, anche a chi userebbe solo la posta, moltiplica inutilmente il rischio. Ogni account VPN in più è una porta in più da proteggere.
Soluzione: segmentare gli accessi in base al reale bisogno lavorativo, non concedere "tutto a tutti" per comodità.
Errore 2: nessuna autenticazione a più fattori
Una password, per quanto lunga, è un singolo punto di fallimento: basta un phishing riuscito per comprometterla.
Soluzione: attivare l'MFA su ogni accesso remoto, che si tratti di VPN, desktop remoto o applicazioni cloud. È il singolo intervento con il miglior rapporto tra sforzo e protezione ottenuta.
Errore 3: Wi-Fi domestico non protetto
Router del provider con password di fabbrica, firmware mai aggiornato, rete unica condivisa con tutti i dispositivi di casa: sono la normalità in molte abitazioni, e diventano il primo anello debole quando ci si collega al lavoro da lì.
Soluzione: una password robusta e univoca sul router di casa, aggiornamenti attivi, e dove possibile una rete separata per il dispositivo di lavoro, con lo stesso principio con cui in ufficio si separa la rete ospiti da quella aziendale.
Errore 4: nessun controllo su dove finiscono i file scaricati
Con una VPN o un accesso cloud mal configurato, un dipendente può scaricare documenti aziendali sul proprio PC personale, magari condiviso con altri familiari, senza che nessuno se ne accorga.
Soluzione: privilegiare, dove possibile, soluzioni come il desktop remoto che per natura evitano il download locale dei file, oppure applicare policy di gestione dispositivi (MDM) sugli account cloud.
Attenzione: il ransomware che colpisce le aziende è in costante evoluzione e sfrutta sempre più spesso proprio gli accessi remoti mal protetti come porta d'ingresso. Un accesso remoto sicuro non è un dettaglio tecnico: è una delle difese più concrete che un'azienda può mettere in campo. Va inoltre ricordato che, in caso di violazione di dati personali, il GDPR prevede sanzioni che possono arrivare fino al 4% del fatturato annuo: un motivo in più per non trattare la sicurezza degli accessi remoti come un optional.
CHECKLIST: IL TUO SMART WORKING È DAVVERO SICURO?
Verifica lo stato della tua azienda rispondendo a queste domande:
- ☐ Ogni accesso remoto (VPN, desktop remoto, cloud) richiede l'autenticazione a più fattori?
- ☐ Gli accessi VPN sono segmentati in base al ruolo, non aperti a tutta la rete?
- ☐ I dispositivi personali usati per lavorare hanno un antivirus/endpoint protection attivo e aggiornato?
- ☐ Esiste una policy scritta su dove è possibile (o non possibile) salvare i file aziendali?
- ☐ Il Wi-Fi domestico dei dipendenti chiave è stato quantomeno verificato o consigliato dall'IT aziendale?
- ☐ Chi lascia l'azienda perde immediatamente ogni accesso remoto residuo?
- ☐ Sai, in caso di incidente, quali dati sarebbero esposti da ciascun tipo di accesso remoto attivo?
Se hai risposto "no" a più di due domande, probabilmente il tuo smart working funziona, ma non è ancora sicuro quanto potrebbe essere.
IN SINTESI
VPN, desktop remoto e cloud non sono in competizione tra loro: sono strumenti diversi per esigenze diverse. La VPN estende la rete aziendale fin dentro casa del dipendente e va usata con attenzione e segmentazione. Il desktop remoto mantiene i dati sempre in azienda ed è spesso la scelta più equilibrata tra sicurezza e comodità per chi usa software installato. Il cloud/SaaS è immediato ma sposta tutta la responsabilità della sicurezza sull'identità dell'utente, quindi va sempre accompagnato da MFA e policy di accesso rigorose.
In sintesi: non esiste "la" soluzione giusta in assoluto, ma quella giusta per come lavora davvero la tua azienda. Il punto di partenza è sempre lo stesso: capire dove vanno a finire i dati quando qualcuno lavora da fuori ufficio, e proteggere quel percorso con la stessa serietà con cui si protegge la sede fisica.
Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.