Fabio Rizzotto, Idc Research Director, Idc ItaliaMa quanti grattacapi procura il fenomeno del bring your own device (Byod) ai responsabili del sistemi informativi e, in particolare, a quelli della sicurezza! Ha ben detto Fabio Rizzotto, It Research Director di Idc Italia, nell’intervento di apertura della recente Idc Security Conference 2012: “La consumerizzazione dell’It mette a dura prova il compito dei Cso (Chief security officer) e dei Ciso (Chief information security officer)”.
Perché? Cerchiamo di analizzarlo. Alle problematiche connesse con l’integrazione con le infrastrutture It aziendali dei device eterogenei degli utenti interni e dei visitatori esterni delle aziende (fornitori, clienti, partner, consulenti ecc.) si somma il fatto che tali dispositivi rappresentano ulteriori canali attraverso i quali possono penetrare malware e altre minacce di violazione della security dei dati e delle applicazioni corporate. Non a caso negli ultimi due anni gli attacchi da parte di hacker e criminali informatici hanno ripreso vigore. Intervenendo al Security Summit 2012, Paolo Giudice, segretario generale del Clusit (Associazione Italiana per la Sicurezza Informatica) ha infatto affermato: “Nel 2010 e 2011 si è registrato un aumento esponenziale degli attacchi e già nei primi quattro mesi del 2012 gli attacchi hanno superato quelli di tutto il 2011”. Il trend interessa tutto il pianeta e l’Italia, come dimostra il Rapporto sulla sicurezza Ict realizzato dal Clusit e presentato all’evento, soffre degli stessi problemi.
Paolo Giudice, segretario generale del Clusit“Abbiamo analizzato quasi 900 casi – ha aggiunto Giudice – e scoperto che le minacce ora si rivolgono a tutti i settori, compresi il commercio e l’industria, e non più solo alla finanza e alla pubblica amministrazione. Crescono le attività di spionaggio e di guerra elettronica. Ma il fenomeno più rilevante è la capacità della cybercriminalità internazionale di lavorare sempre meglio. Nel 2011 si stima che il cybercrime abbia realizzato 10 miliardi di dollari, generando danni diretti e indiretti per quasi 400 miliardi di dollari”.
Un approccio orientato alla governance e alla compliance
L’allarme lanciato dal segretario generale del Clusit ha fatto eco ad un’altra affermazione di Rizzotto: “I continui attacchi e tentativi di violazione dei sistemi informativi aziendali non sono più un’eventualità, ma la normalità”, ha sottolineato l’It Research Director di Idc. “Le aziende ormai non possono più chiedersi se gli attacchi arriveranno, semmai possono domandarsi quando”. Da una parte, questo trend ha portato a una crescita degli investimenti aziendali nella security: “Dai 27,31 miliardi di dollari del 2010 il giro d’affari generato da questo settore – ha rivelato Rizzotto – è balzato a 29,99 miliardi nel 2011 e Idc stima che sfiorerà i 32,82 miliardi nel 2012”. Dall’altra parte, la presenza continua e crescente di rischi, nota l’analista, “porta le organizzazioni a passare sempre di più da un approccio alla sicurezza orientato alla protezione a uno di governance e compliance”.
Non potrebbe essere diversamente, del resto, visto che la consumerizzazione dell’It comporta, per evitare il più possibile dei rischi, l’adozione di una serie di misure che solo in parte sono di natura tecnologica. Prima dell’It consumerization, i sistemi informativi aziendali erano in un certo senso più facili da difendere. Gli utenti utilizzavano esclusivamente i pc delle loro postazioni di lavoro, connessi a una Lan. Gli amministratori di rete dovevano gestire un numero più limitato di apparati di sicurezza (soprattutto firewall) e preoccuparsi che i desktop e qualche laptop in uso ai manager e al personale sul campo disponessero di un software antivirus aggiornato. I cellulari aziendali, fino a qualche tempo fa, non avevano le stesse possibilità di accesso a Internet di cui dispongono gli attuali smartphone e quindi ponevano problematiche di protezione limitate o nulle. I Blackberry, ovvero i primi smartphone a essere adottati in modo massivo dalle imprese, offrivano un elevato livello di security in quanto il sistema di posta elettronica utilizzato è di tipo proprietario, ovvero accessibile tramite i normali carrier telefonici ma gestito, a livello di traffico e sicurezza, centralmente da Rim. Con il fenomeno bring your own device, i responsabili dei sistemi informativi e della security si trovano di fronte a dispositivi con caratteristiche tecnologiche diverse – ovvero sistemi operativi differenti: Symbian, Apple iOS, Windows Mobile (oggi Windows Phone), Google Android, più altre feature differenti tipiche del singolo device – ma soprattutto oggetti utilizzati sia per il lavoro sia nella vita personale. Con conseguente commistione di dati, applicazioni, e così via. Il Byod ormai è un trend inarrestabile e che vede le aziende e gli utenti in una tipica situazione “win win”: questi ultimi sono contenti di poter utilizzare un device che si sono scelti con criteri personali; le aziende riconoscono che un lavoratore contento presta la sua opera più volentieri, che la possibilità per l’utente di accedere in ogni momento e in ogni luogo ai dati e alle applicazioni aziendali aumenta la produttività, e infine che con il bring your own device diminuiscono le spese per l’acquisto dei dispositivi, la loro manutenzione e la loro dismissione a fine vita. Questo, ovviamente, a meno che non sia l’azienda ad acquistare lo smartphone e/o il tablet preferito dall’end user e a intestarsi l’abbonamento telefonico.
Il giusto equilibrio tra utente, azienda e legislazione
Andrea Mariotti, Senior Manager del dipartimento It Risk & Assurance di Ernst & YoungFin qui i vantaggi. Ma come sempre, c’è anche il rovescio della medaglia. Che deve essere accettato da tutti. Il dispositivo personale usato anche a supporto dell’attività lavorativa deve essere messo in sicurezza. Come ha fatto notare Andrea Mariotti, Senior Manager del dipartimento It Risk & Assurance di Ernst & Young: “Le aziende devono adottare un approccio metodologico per l’analisi dei rischi connessi all’utilizzo dei dispositivi personali. Devono capire se stanno offrendo solo un servizio di connettività a Internet e alla posta elettronica o anche la possibilità di svolgere determinati processi che implicano il trattamento di dati di clienti”. Insomma, i dipartimenti It e di sicurezza devono innanzitutto “classificare bene i dati che possono diventare residenti sui device, o transitare da essi, e quindi individuare i modelli più appropriati per la gestione dei rischi”. Mariotti ha ricordato, infine, che i dispositivi mobili presentano aree di rischio particolari legate, per esempio, a “utilizzi errati da parte degli utenti” e, più in connessione con lo strumento, al fatto che questi device sono quasi sempre “always on”, e quindi bersagli più facili per virus, hacker e sistemi di sniffing”. Come se tutto ciò non bastasse, queste tecnologie sono sempre più spesso integrate con sistemi che consentono la geolocalizzazione. Ignorare o utilizzare questa funzionalità senza un’adeguata informativa all’utente, può sfociare in un’accusa di violazione dell’articolo 4 dello Statuto dei Lavoratori che vieta il controllo a distanza dell’attività lavorativa.
Del resto, proprio alla possibilità di effettuare determinate azioni da remoto sui dispositivi tipici del Byod è legata la possibilità di includerli fra gli strumenti idonei a essere utilizzati in un contesto business, ottemperando alle misure previste dalle normative in materia di privacy e altre ancora. Grazie all’utilizzo di sistemi per il Mobile Device Management (Mdm) è possibile, fra le altre attività, effettuare l’upgrade delle soluzioni di sicurezza installate sui device, modificare determinate configurazioni, eseguire il wiping (cancellazione) dei dati memorizzati in caso di furto, smarrimento o dismissione dell’apparato, e svolgere altre attività di asset management. L’identificazione del device e quella dell’utente, infine, svolgono un ruolo fondamentale nella governance della sicurezza in un ambito Byod. Non a caso, fra le soluzioni di sicurezza più richieste sulla spinta di questo fenomeno spiccano quelle di Identity access management (Iam). Il Pin di quattro cifre normalmente utilizzato dagli utenti di cellulari serve solo per accedere alla Sim e ai servizi dell’operatore telefonico. Sullo smartphone o sul tablet usato per fini aziendali andrebbe concordato anche l’uso di una password di almeno otto caratteri – come previsto dalla normativa sulla privacy – per poter accedere alle applicazioni e alla memoria interna, altrimenti chiunque potrebbe accedere ai sistemi aziendali o, con un cavetto Usb, scaricare dati confidenziali su un Pc. Magari prima che intervenga la soluzione di wiping o blocco temporaneo del device. Solo con un’adeguata implementazione di soluzioni di sicurezza a bordo dei dispositivi, in azienda o sul cloud (alternativa molto interessante per le Pmi che non hanno risorse interne da dedicare alla security), e una esaustiva informazione dell’utente su come utilizzare il proprio device, il Byod può rappresentare un’opportunità e non una minaccia per il business.
