Volete condividere in “modo profittevole” i vostri contatti con i vostri concorrenti? C’è un’applicazione per questo. Avete la necessità di tenere d’occhio i vostri dipendenti? Anche per questo c’è un’applicazione. State cercando di riunire tutte le vostre password per le transazioni in mobilità? Potete sicuramente trovare l’applicazione adatta.
Con la crescita dei siti per il download delle applicazioni mobili, gli utenti di iPhone e BlackBerry hanno ora a disposizione un numero senza precedenti di applicazioni di terze parti scaricabili sui loro palmari aziendali.
Secondo un recente studio condotto da Jupiter Research, entro il 2014 il download di applicazioni di telefonia mobile raggiungerà i 20 miliardi di dollari l’anno. I professionisti dinetwork management si troveranno perciò ad affrontare problematiche derivanti da una marea crescente di applicazioni mobili che andranno a toccare le reti private e le informazioni.
Con il proliferare di dispositivi mobili e di applicazioni di terze parti, nasce una serie di rischi per la sicurezza aziendale, dato che tali applicazioni possono fungere da piattaforma per la distribuzione di malware e di accesso non autorizzato alle informazioni private. Dal momento che i dipartimenti IT sono già sottoposti a una crescente pressione interna affinché consentano l’integrazione e il supporto di applicazioni di terze parti, le loro opzioni di difesa contro i vettori di eventuali rischi correlati sono decisamente limitate.
“Non c’è dubbio che, con la sempre più vasta diffusione di questi dispositivi, ci saranno persone che vorranno compiere azioni poco lecite, come prendere possesso dei dispositivi stessi, entrare in rete, rubare dati o diffondere malware” ha affermato Jack Gold, presidente e principale analista di J. Gold Associates, una società di consulenza specializzata nelle ricerche di stampo tecnologico con sede a Northborough nel Massachusetts.
Dispositivi mobili e sicurezza delle applicazioni: policy e tecnologia
Poiché molti download di applicazioni mobili di terze parti possono rapidamente compromettere la sicurezza aziendale, Apple offre attualmente app che hanno la capacità di utilizzare i dati attingendo direttamente da applicazioni enterprise quali SAP, Oracle e altri tool di sales force automation; questo panorama in rapida evoluzione richiede però la vigilanza sia a livello di policy sia di tecnologia.
Gold sottolinea che concentrarsi unicamente sulla policy è difficile a meno che non sia presente un sistema automatizzato di gestione, come Unwired Platform di Sybase o Mobile Management di Symantec, per un monitoring attivo delle policy su ogni telefono. Tuttavia, questi prodotti possono essere costosi e complessi da implementare.
“E’ facile per una società dire quali sono i dispositivi da utilizzare e avrai installate solo queste applicazioni. Ma così facendo, si limita la scelta dell’utente finale e, in ultima analisi, la sua produttività. Non c’è niente di assoluto, ma esiste una serie di variabili che sono strettamente collegate all’organizzazione individuale. Così, se un giorno il vostro Ceo vi dicesse: ‘Voglio questo dispositivo con queste applicazioni’, probabilmente non c’è molto margine di manovra”, ha sostenuto Gold.
Al fine di mantenere un maggiore controllo sui dispositivi wireless, le aziende spesso scelgono di fornire smartphone configurati direttamente dal proprio team IT. Se da un lato questo indubbiamente richiede tempo, soldi e risorse, dall’altro rende molto più facile far rispettare le policy riguardanti l’installazione e l’uso di applicazioni di terze parti. Quella di blindare i dispositivi mobili è un’azione simile quella che avviene nel mondo cablato dove i servizi inutili o che presentano un rischio significativo dovrebbe essere spenti, disabilitati o disinstallati.
Organizzazioni di grandi dimensioni, come Kraft Foods, stanno implementando un elevatissimo numero di smartphone e dispositivi mobili. Mark Dajani, senior Vp del Gis in Kraft, ha capito che i dipendenti stanno progressivamente utilizzando gli smartphone, indipendentemente dalle policy IT dell’impresa, perciò ha fatto in modo che il suo dipartimento non soltanto fornisca l’iPhone a tutti i dipendenti chiave, ma ha anche scelto di supportare i dispositivi personali.
Dajani ha preso l’iniziativa fornendo app in-house – come e-mail, calendario e contatti – e gli utenti si collegano direttamente con il Microsoft Exchange Server di Kraft. Questa scelta consente sia di avere l’accesso alle informazioni aziendali, ma anche di ottenere una sicurezza a livello aziendale. Per accedere alle risorse dell’impresa, gli utenti devono autenticarsi prima di arrivare alle risorse di rete. Invece di sprecare risorse cercando di tenere a bada i singoli dispositivi mobili, Kraft ha scelto di concentrare l’energia sul supporto piuttosto che sulla prevenzione.
Contrastare le minacce legate a un’applicazione per dispositivi mobili
Il Center for Internet Security ha creato il Security Configuration Benchmarks, una serie di best practice di configurazione di sicurezza standard che riguardano i dispositivi mobili, come l’iPhone, e la varietà di applicazioni di terze parti che questi dispositivi supportano.
Come valenza generale, il CIS consiglia alle organizzazioni di essere “pratiche e prudenti” con le policy inerenti la sicurezza delle applicazioni mobili e sul modo in cui gli utenti sono autorizzati a utilizzare tali applicazioni al fine di interagire con la rete e i suoi dati.
Per esempio, Apple ha reso molto più facile configurare l’iPhone per accedere all’e-mail aziendale e ad altri sistemi di back end (come il CRM e l’ERP), dando vita a uno scenario in cui i dati aziendali sensibili potrebbero fuoriuscire dall’impresa, senza adeguati controlli. Praticamente qualsiasi benchmark CSI può mitigare questo tipo di scenario di perdita di dati. Impostare un codice di accesso, per esempio, offre una forte protezione contro la perdita di dati. In questo senso possono rivelarsi particolarmente utili caratteristiche e funzioni come “Codice di accesso obbligatorio”, “Auto-lock Timeout” e “Cancella dati a fronte di eccessivi errori sul codice di protezione.”
Un altro vettore di minacce potenziali è la disponibilità di una rete Wi-Fi o di servizi localizzazione (GPS), da cui dipendono molti dispositivi per il trasferimento dei dati. CIS illustra come impostare i dispositivi per disattivare questi servizi, quando non è necessario.
Eppure la realtà è che i dispositivi wireless oggi possono scambiare dati via etere con maggiore facilità rispetto al passato. Per esempio, ci sono numerose applicazioni di terze parti che consentono il trasferimento wireless di file da un PC o un notebook su un dispositivo mobile. Qualcuno che cerca di scambiare un file dalla rete non ha più la necessità di collegare in un drive USB per recuperare dati sensibili.
Per ridurre il rischio di attacchi remoti su dispositivi mobili attraverso applicazioni di rete, dispositivi come l’iPhone possono essere impostati per disabilitare tutti i ricetrasmettitori e i ricevitori (modalità cosìddetta “Airplane Mode”): quando è attivata, la funzione GPS è spenta e tutti i segnali wireless (Wi-Fi, Bluetooth e cellulare) sono bloccati.
Gli utenti possono anche essere incoraggiati a configurare i dispositivi di proprietà in modo che non si connettano automaticamente a qualsiasi rete Wi-Fi a disposizione. Questa impostazione non ostacola necessariamente l’accesso alle applicazioni aziendali, come la posta elettronica o un browser, dato che è facile collegarsi a entrambi tramite cellulare, ma assicura che i dispositivi non rappresentino una via d’accesso per i pirati.
Altre organizzazioni si spingono ancora più in là nel regno delle applicazioni sicure per dispositivi mobili realizzate da terze parti. Nella più recente versione del firmware per iPhone, è stato inserito il supporto delle reti Vpn di Cisco Systems così come di Microsoft Exchange.
Tuttavia, i dipartimenti IT necessitano di più opzioni per poter sfruttare l’infrastruttura di sicurezza esistente al fine di difendersi dagli accessi non autorizzati e dalle applicazioni mobili potenzialmente pericolose che toccano anche le reti aziendali. Trust Digital ha realizzato Enterprise mobility management (EMM) il supporto software per iPhone, che permette all’It di gestire e proteggere il dispositivo prodotto da Apple a partire da una console di gestione centralizzata. “C’è sempre un 3-5% di utenti che genera caos – ha concluso Gold – ma, rispetto al passato, i professionisti It hanno ora maggiori opzioni per rendere sicuri i dispositivi mobili contro i rischi di dal crescente numero di applicazioni di terze parti”.