Oggi, molte persone usano tablet, smartphone e altri dispositivi per il mobile computing che contengono almeno alcuni dati inerenti il lavoro, quali le liste di contatti, le password dell’account o e-mail confidenziali con i file allegati.
Nonostante questi dispositivi possano sfruttare collegamenti in continuo miglioramento, per la gran parte non sono sicuri e possono rappresentare un significativo rischio per le reti e i dati business.
Questo rischio può essere ridotto stabilendo anzitutto policy di sicurezza delle informazioni, che riguardano sia i dispositivi mobili personali dei dipendenti sia quelli di proprietà dalle aziende.
Business a rischio
Quando un dispositivo mobile viene perso o rubato, tutti i dati confidenziali che contiene sono in pericolo. La legge richiede alle aziende di informare gli individui che le informazioni riservate possono essere trafugate. E i dipendenti che violano le normative industriali possono incorrere in pesanti sanzioni. Ma molte aziende non riescono a definire in modo preciso quali siano i dati memorizzati in dispositivi mobili persi o rubati.
Un numero crescente di persone si avvale di tablet e smartphone per accedere alle reti e alle applicazioni business. In genere, le applicazioni mobili più comunemente usate sono l’e-mail, l’instant messaging, l’accesso ai database aziendali, l’automazione della forza vendite, i servizi sul campo, il CRM e le applicazioni ERP e di supply chain.
Le aziende prive di specifiche applicazioni mobile si potrebbero comunque trovare a dover fronteggiare un’esposizione ai rischi del mobile attraverso le applicazioni tradizionali. Per esempio, molti impiegati sincronizzano le e-mail dell’azienda su PDA o inoltrano messaggi sugli smartphone. Di conseguenza, se uno di questi dispositivi viene perso o rubato può essere utilizzato per accedere senza autorizzazione a una rete riservata e alle applicazioni in essa contenute.
Inoltre, molti dispositivi mobili attuali supportano interfacce wireless multiple, le quali creano nuovi vettori di attacco. I telefoni cellulari con Bluetooth possono essere usati da un attacker per recuperare la lista dei contatti e degli impegni. Un tablet può trasformarsi in un bridge Wi-Fi per le reti aziendali. Se usate correttamente, le interfacce wireless possono aiutare la produttività, ma sono assolutamente necessarie misure di sicurezza per impedirne l’abuso o per evitare un attacco.
Policy di sicurezza
Per tenere sotto controllo questi rischi, le aziende devono definire quali dispositivi mobili sono permessi e in che circostanze. Dovrebbero essere imposti limiti sull’accesso alle applicazione e alla rete, alla memorizzazione e al trasferimento dei dati business. Dovrebbero essere richieste misure e polcy di sicurezza, stabilendo processi per controllarle e farne rispettare la conformità.
Queste decisioni dovrebbero essere documentate in un documento per la sicurezza dei dispositivi mobili, una definizione convenzionale delle regole a cui i possessori di tali dispositivi devono attenersi quando accedono ai sistemi e ai dati business. Tali politiche potrebbero includere le seguenti sezioni:
1. Obiettivo. Identificate l’azienda, la divisione organizzativa e l’intento di business della policy. Per esempio, scopo della policy può essere impedire la rilevazione di dati aziendali confidenziali una volta trasferiti o memorizzati sui tablet e sui telefoni cellulari, indipendentemente da chi possiede quei dispositivi.
2. Proprietà e autorità. Identificate chi si occupa della creazione della policy e della sua manutenzione (team di sviluppo), chi è responsabile del controllo della policy e della sua applicazione (team di conformità) e chi è responsabile dell’approvazione della policy e deve gestirne l’amministrazione (team depositario della politicy).
3. Portata. Identificate gli utenti/gruppi e i dispositivi che devono aderire alla policy quando si tratta di accedere alle reti business, ai servizi e ai dati. Catalogate i modelli di dispositivi mobili e le versioni minime di sistemi operativi permesse per accedere o memorizzare i dati business. Identificare le divisioni organizzative a cui sono o meno consentite le predette operazioni. Per esempio, potreste proibire il data storage su dispositivi non approvati o potreste richiedere agli utenti di registrare i dispositivi personali prima di usarli per il business.
4. Valutazione di rischio. Identificate i dati e la comunicazione di business coperti dalla policy, ovvero i vostri asset aziendali che potrebbero essere esposti al rischio rappresentato dai dispositivi mobili. Per ogni asset, stabilite le potenziali minacce e gli effetti che potrebbero avere sul business, prendendo in considerazione sia le probabilità sia i costi. Per esempio, quando un dispositivo mobile viene perso, la sostituzione dell’hardware rappresenta solo una piccola parte dell’impatto globale. Se la vostra valutazione del rischio ha determinato che i dati all’interno di un dispositivo mobile hanno più valore del dispositivo in sé, potreste focalizzarvi come massima priorità sul backup e sulla riservatezza.
5. Misure di sicurezza. Identificate le misure e le pratiche di sicurezza mobili raccomandate e necessarie, comprese
- Attivazione dell’autenticazione per controllare l’uso dei dispositivi persi o rubati
- Crittografia di file/cartelle per impedire la rilevazione non autorizzata di dati
- Backup e restore per proteggersi dalla perdita dei dati business o dal loro danneggiamento
- Comunicazione sicura per arrestare l’intercettazione e l’accesso backdoor alla rete
- Firewall mobili per inibire gli attacchi wireless contro i dispositivi
- Antivirus mobile e ID per rilevare e impedire la compromissione del dispositivo
- Autorizzazione dell’interfaccia e delle applicazioni all’installazione di programmi di controllo, all’uso della rete, alla sincronizzazione e al data trasfer da e verso i dispositivi di storage rimovibili.
- Per esempio, la vostra politica potrebbe affidare a un mandatario l’autenticazione, specificando la lunghezza e la complessità minime per le password e tutte le applicazioni che sono escluse dall’autenticazione (come per esempio accettare le chiamate in arrivo senza digitare una password). La vostra policy può anche definire un processo per il reset della password mobile, operazione conveniente ma anche sicura per tutti quegli utenti che non possono ritornare facilmente in ufficio.
6. Uso consentito. Definite cosa devono fare gli utenti fa per aderire alla politcy, compresi le procedure richieste per la registrazione del dispositivo, il download di software sicuro e l’installazione e le politiche di configurazione e aggiornamento. Elencate le best practice che gli utenti sono tenuti a seguire, incluse le attività vietate. Se gli utenti capiscono cosa possono e non possono fare e perché, saranno più propensi ad aderire alla policy dichiarata.
7. Processo di deployment. Definite come progettare l’implementazione e la verifica della vostra politicy mobile di sicurezza. È buona norma cominciare con una prova: prendete sia il vostro software mobile di sicurezza sia le procedure definite e provateli su un piccolo gruppo di utenti. Molte policy di sicurezza falliscono perché si dimostrano poco pratiche da mettere in opera o da usare. Se lavorerete a questi aspetti prima di richiedere a tutti i potenziali interessati di seguire la vostra policy, aumenterete l’adesione volontaria e l’efficacia generale. Nel vostro processo di deployment, non dimenticate di includere l’addestramento per gli amministratori e gli utenti.
8. Auditing e obblighi. L’adesione volontaria è un elemento molto positivo, ma non basta per avere una reale gestione del rischio di business. Le policy efficaci assicurano la conformità attraverso il controllo e gli obblighi. Per esempio, potete adottare un sistema mobile di security che verifichi se c’è un tool di sicurezza correttamente configurato ogni volta che un PDA o un telefono viene sincronizzato col PC. Assicuratevi di considerare tutti i punti di entrata della rete (per esempio, server di e-mail, gateway delle VPN, access point Wi-Fi, cradle collegati ai pc) e definite un processo che possa fronteggiare una mancata conformità o un’intrusione. Alcuni sistemi mobili di sicurezza possono resettare i dispositivi che sono stati rubati o che sembrano sotto attacco, ma la vostra policy dovrebbe definire chiaramente le circostanze in cui potrebbe essere avviata questa operazione perché è potenzialmente distruttiva.