Lo stato della sicurezza dei dispositivi mobili nelle aziende italiane? Piuttosto preoccupante. È il responso di un'indagine di AstraRicerche per conto di Symantec Italia su 1062 dipendenti e collaboratori di aziende italiane oltre 100 addetti di tutti i settori. Si tratta di personale (manager, vendite, marketing, logistica, IT, ecc.) che accede ai sistemi informativi aziendali con terminali mobili sia personali che aziendali. Lo scenario è di una totale commistione dell'uso degli uni e degli altri per attività private e di lavoro, in un'atmosfera di poca fiducia nelle policy di mobile security dell'azienda. Poca fiducia ben giustificata, come vedremo, anche se per una visione completa del problema occorrerebbe riportare anche il punto di vista delle aziende.
Ma veniamo ai dati: come accennato, i dispositivi personali sono spesso usati per accedere a servizi aziendali e viceversa. Il 65% accede tramite browser internet all'e-mail di lavoro (e il 27,5% ad applicativi aziendali), con notebook, tablet o smartphone personali. Al contrario, il 59% accede con dispositivi aziendali all'e-mail privata, il 35,6% a social network, il 52% a sistemi di messaging. Addirittura l'accesso a cartelle personali nel cloud pubblico (per esempio Dropbox) avviene più con strumenti aziendali (38%) che privati (32,5%).
L'articolo continua alla pagina seguente
*BRPAGE*
L'articolo continua dalla pagina precedente
Download liberi (o quasi) per il 57%
Quanto al download di app – la fonte di rischi primaria per la sicurezza mobile -, solo nel 15% dei casi il device, appositamente configurato, non consente scaricamenti, e in un altro 18% è la policy aziendale che lo vieta. Ma la maggioranza (57%) può scaricare app entro certi limiti o senza limiti, con seri rischi di violazioni e di perdita di controllo dell'IT aziendale. Anche perché, se è vero che due terzi degli intervistati scaricano da fonti affidabili (app store ufficiali), non pochi si rivolgono a siti non autorizzati dopo aver disattivato il sistema di protezione del dispositivo (jailbreak): il 16% sul device aziendale, il 12% su quello personale.
“Al di là delle carenze delle aziende, questi dati mostrano che anche gli approcci più restrittivi non funzionano – osserva Marco Bavazzano, Director Security Strategist Southern Region di Symantec -. Spesso per esempio si creano app store 'privati' contenenti solo app autorizzate, ma se l'utente pensa che gli serva una certa app non autorizzata per fare meglio ciò che deve fare, la cerca e la scarica, con tutti i rischi del caso”. La difficoltà è introdurre misure di protezione che non limitino la user experience, che è la carta vincente del mobile computing: “Symantec pensa che la cosa migliore sia creare una 'bolla' di sicurezza intorno a tutto ciò che è aziendale, lasciando piena libertà per tutto il resto: Nukona, la nostra soluzione di Mam (mobile app management, ndr), funziona così”.
Il trionfo dei 'fai da te'
Tornando all'indagine, poche aziende responsabilizzano i dipendenti, dando loro azioni da svolgere per la sicurezza dei dispositivi mobili: poco più della metà degli intervistati (54%) deve avere un software antivirus installato (ma solo il 37% deve tenerlo aggiornato), poco più di un quarto (26%) deve impostare una password d'accesso, e solo il 15% ha l'obbligo di non far usare il device aziendale ad altre persone.
Molti spunti di riflessione nascono anche dal comportamento in caso di malfunzionamenti o sospette infezioni da virus del dispositivo aziendale: solo il 38,6% si rivolgerebbe all'IT aziendale, mentre il 35% proverebbe a risolvere da solo (percentuale che si alza molto al diminuire dell'età dell'intervistato), il 23% si rivolgerebbe a tecnici esterni all'azienda, il 21% a conoscenti o amici, il 13,5% a colleghi non IT, e infine il 6% non farebbe niente, sperando che il problema si risolva da solo. Per i terminali personali, anche se usati al lavoro, la tendenza al 'fai da te' (46%) aumenta: solo il 30,5% si rivolgerebbe all'IT aziendale.
Perché questi comportamenti? Il 32,6% dice che l'azienda non ha dato indicazioni chiare e formalizzate mentre il 7,4%, anche in caso di indicazioni chiare, non le seguirebbe, per le seguenti motivazioni: il 33% non vuole “sentirsi in difetto”, il 20,4% pensa che “il danno ormai è fatto”, il 19,4% teme sanzioni disciplinari e il 13% sanzioni economiche, un altro 13% pensa che l'azienda non abbia le competenze per reagire in modo adeguato, e l'11% teme che l'azienda guardi i propri file e informazioni personali.
In sintesi quindi un quadro abbastanza sconfortante, non tanto sul lato degli utenti che – è scontato – hanno come priorità la massima comodità e velocità nel fare le cose, più che la preoccupazione per i dati aziendali. Quel che impressiona sono le carenze delle aziende nel definire policy d'uso dei dispositivi mobili (e nel farle rispettare) prima ancora che nell'adottare soluzioni IT di mobile security. “Oggi è ancora raro che un'azienda abbia una policy di sicurezza per l'ambiente mobile – conclude Bavazzano -: la maggior parte si limita a estendere quella già esistente per gli altri dispositivi, senza adattarla alle specificità del mobile”.