La sicurezza dei dispositivi mobili continua a essere un problema per le aziende. Lo ricorda Patrizia Fabbri, capo redattore di ZeroUno, nell’introduzione alla Tavola Rotonda organizzata a Milano in collaborazione con MobileIron e P4I.
“Ancora oggi non vengono protetti in modo adeguato e vanno quindi a costituire una zona grigia per la sicurezza – spiega la giornalista -. Da una parte per le difficoltà nel mettere sotto controllo dispositivi che sono usati per attività sia personali sia professionali; dall’altra per la leggerezza con cui gli utenti finali tendono a trattare smartphone e pad, dimenticando le buone regole di sicurezza imparate nell’uso del pc”. C’è la falsa convinzione che uno smartphone portato in tasca o un tablet in borsa siano più al sicuro di un pc sulla scrivania.
Per Luca Bechelli, information security & cybersecurity advisor di P4I, una delle chiavi per il successo delle iniziative che riguardano la sicurezza dei dispositivi mobili è affrontare il dualismo personale-aziendale che li caratterizza.
“Un attacco a un dispositivo mobile va a colpire insieme la persona e l’azienda – spiega il consulente – creando, per esempio, danni alla carriera e conseguenze aziendali”. Citando dati Clusit ed esperienze dirette in aziende di diverso settore, Bechelli denuncia il cambiamento nelle azioni dei cybercriminali: “I target sono cambiati, nel mirino ci sono le figure apicali dell’azienda e i loro dispositivi mobili, punto di fuga più facile per le informazioni aziendali”. Almeno il 40% delle fughe di dati critici sarebbe da imputare a banali errori come, per esempio, il non capire cosa si sta facendo o digitando sul piccolo schermo. “Gli utenti hanno imparato a riconoscere nella navigazione su pc se un banner o un link li sta portando su un sito pericoloso, ma non è altrettanto facile capirlo su uno smartphone”.
Il controllo su dispositivi che sono insieme personali e aziendali
Gli strumenti tecnologici per proteggere i dispositivi mobili e i dati aziendali non sono una novità, ma per impiegarli occorre risolvere, sia dal lato utente sia lato azienda, le criticità dovute alla presenza dei dati personali e le paure (immotivate) degli utenti d’essere messi sotto controllo dal proprio datore di lavoro. “Un problema che si risolve informando – spiega Bechelli -. La tutela della privacy nei confronti degli strumenti di gestione potenzialmente invasivi è oggi contemplata sia a livello dei sistemi operativi sia delle normative. La verità è che un dispositivo protetto dall’azienda è più sicuro anche per l’uso personale”. Allo stesso modo con cui sono affrontate e risolte le problematiche sindacali conseguenti all’installazione delle telecamere di sorveglianza, “è fattibile risolvere quelle relative all’installazione dei software per la gestione della sicurezza mobile – precisa Bechelli -. Laddove l’azienda sia piccola e non abbia una rappresentanza sindacale, basta compilare un’autocertificazione presso il Centro regionale del lavoro e attendere 60 giorni”. Un percorso tutto in discesa per implementare tutele con strumenti di mobile device management (MDM) e mobile application management (MAM). “Nella nostra esperienza le resistenze si manifestano anche quando i dispositivi sono di proprietà dell’azienda – spiega Riccardo Canetta, regional sales director di MobileIron per l’area mediterranea -. A differenza del pc aziendale, gli utenti tendono a vivere negativamente l’introduzione di qualsiasi limitazione d’uso”.
Il passaggio più importante per far partire i progetti è quindi, per Canetta, dimostrare agli utenti che l’installazione di un MDM non solo non ostacola, ma aiuta a lavorare meglio. “Permette di aggiungere sicurezza senza compromettere l’esperienza dell’utente. Evitando divieti onerosi, evita che gli utenti si arrangino in proprio, girando documenti sensibili via e-mail o Dropbox su dispositivi propri, uscendo dal controllo dell’azienda”. Ovviamente l’azienda può impedire i comportamenti indesiderati con firewall, blocchi alle porte USB o altri espedienti, “Ma poi occorre gestire le eccezioni – continua Canetta -. Il nostro consiglio a CIO e CISO è quello di usare strumenti che lascino gli utenti più liberi. In questo modo si vincono le resistenze e si ottiene successo dalle iniziative. L’MDM non viola la privacy, come noi spieghiamo agli utenti finali in un comprensibile documento visuale. Le informazioni che l’azienda può raccogliere riguardano unicamente la lista delle app installate e la posizione GPS, se attiva. Non c’è modo di spiare SMS o altre informazioni personali”.
La sicurezza delle piattaforme iOS e Android
Dal punto di vista tecnico le piattaforme più usate in ambito mobile, iOS e Android, hanno fatto passi avanti sul fronte della sicurezza, sia pure non sempre sufficienti a proteggere i dispositivi dall’apparire di nuove minacce. Google e Apple sono inoltre molto attente nel salvaguardare la privacy degli utenti e non consentono all’azienda azioni come la cancellazione della memoria se il dispositivo è personale. “Con Apple, l’80% dei device è aggiornato all’ultima release iOS, un vantaggio rispetto ad Android che ha numerose varianti – spiega Canetta -. Questo non ha impedito ai dispositivi della mela di risultare vulnerabili nei mesi passati a un exploit per l’accesso di root, risolto a partire dalla versione 11.3 dell’iOS. Con le versioni 5.1 e 6 di Android le cose sono migliorate rispetto alla versione 4.4 che ancora supportiamo”. Le nuove versioni di Android hanno infatti aggiunto un set di API standard che dà al sistema la capacità di supporto nativo alla creazione di “bolle” per separare i dati aziendali da quelli personali. “Un concetto che è stato esteso sulle versioni 7 e 8 con strumenti che permettono di configurare in modo ottimale il bilanciamento tra l’uso personale e aziendale, quindi di coniugare la protezione anti-malware con la libertà dell’utente di scaricarsi le app preferite. Il motore anti-malware che abbiamo integrato nel nostro MDM usa capacità di machine learning sviluppate in collaborazione con Zimperium per monitorare il dispositivo e accorgersi di app che si comportano in modo anomalo. Questo garantisce che, qualsiasi cosa faccia l’utente, non metta a rischio il perimetro dei dati aziendale”.
La formazione? Utile a partire dal management
In occasione della Tavola Rotonda alcuni CSO/CIO hanno esposto agli esperti le loro personali esperienze. “Il successo in azienda dei dispositivi mobili deriva dal fatto che sono sempre pronti all’uso e più facili dei pc – spiega un partecipante –. Per questo abbiamo subito intuito l’importanza di spiegare come evitare rischi, oltre a prendere le misure minime per non trovarci invasi dai malware. Abbiamo cominciato dalle figure apicali dell’azienda: le più pericolose per le fughe d’informazioni importanti e alle quali non si può dire no se, per esempio, serve ottenere l’approvazione di un documento mentre sono in viaggio. Abbiamo capito che senza cultura e con norme troppo rigide, il dirigente avrebbe risolto i problemi dettando la password al telefono alla segretaria!”.
Se da una parte alzare le difese contro gli attacchi è un compito “da informatici”, la difesa delle informazioni aziendali è un’attività complessa che tocca da vicino gli utenti. Questo è l’aspetto toccato da un altro partecipante: “Anche noi siamo partiti dal top management, con la speranza di sviluppare la sensibilità necessaria per introdurre ulteriori policy di security in un contesto molto complesso, caratterizzato da circa 10.000 dispositivi in byod. Sappiamo inoltre che attacchi portati ai client usati al più alto livello gerarchico potrebbero bloccare la nostra organizzazione, rendere vane le misure oggi usate per proteggere dati critici come le anagrafiche clienti e le linee di credito accordate”.
La formazione è utile ma non sempre sufficiente, spiega Canetta: “I nuovi strumenti di produttività mobile danno la facoltà di salvare e condividere documenti con azioni immediate, ma che possono confondere chi usa le stesse app per scopi personali e aziendali. Se viene fatto un errore con uno strumento aziendale, l’azienda ne è responsabile. La tecnologia può aiutare ad evitare le azioni inconsapevoli, fermo restando la possibilità che un dipendente malintenzionato possa sottrarre dati aziendali, per esempio, fotografando lo schermo”.
Un suggerimento per affrontare il rischio residuo viene da un altro partecipante alla Tavola Rotonda. “Ci sono polizze assicurative per la cyberinsurance – spiega il manager -. È un mercato non ancora maturo che affronta gli aspetti non coperti dalle buone pratiche di sicurezza. Il premio delle polizze è correlato con i rischi che l’azienda corre, risultato di assessment specifici. Siccome gli attacchi evolvono nel tempo, la sicurezza è monitorata in modo continuo, e per garantirsi la copertura assicurativa l’azienda deve impegnarsi ad aggiornare policy e dispositivi”. I costi assicurativi possono in questo modo diventare un parametro importante per riuscire dare un valore percettibile alla sicurezza.
Best practice per la tutela dei servizi in cloud e dei collaboratori
Lo sviluppo dei servizi in cloud ha reso le tradizionali protezioni della rete aziendale una coperta corta. Far passare dal data center aziendale i dati che i dispositivi mobili scambiano con il cloud pubblico non ha senso e creerebbe colli di bottiglia. Con il proprio MDM, Mobile Iron propone un approccio che promette di rendere più sicuro e semplificare l’accesso alle comuni applicazioni in cloud come, per esempio, Salesforce o Onedrive di Microsoft. “L’accesso avviene tramite una app che, una volta registrata sul dispositivo, non chiede più le credenziali se non in seguito a una richiesta di cambio password – spiega Canetta -. Se l’utente perde il dispositivo mobile, altri possono accedere ai dati in cloud fino al cambiamento delle relative password. Questo è il motivo per cui è utile estendere la bolla aziendale protetta anche alle app che accedono a servizi cloud. In questo modo diventa possibile fare cancellazioni a distanza delle app impedendo l’accesso ai dati del cloud”.
La gestione controllata dall’MDM delle app che operano su cloud offre vantaggi sul fronte della user experience evitando di dover gestire password diverse per ogni servizio lasciando il compito a livello centrale al sistema di Active Directory. “Questa era la situazione di un nostro cliente che aveva 4200 dispositivi e 5 app – precisa Canetta -. Ad ogni cambio password il team interno doveva gestire decine di account bloccati per colpa degli errori degli utenti nell’inserimento delle nuove password”.
Un’occasione in cui si verificano perdite di dati sono i rinnovi dei parchi macchine: “È capitato in un’azienda cliente – spiega Bechelli -. Pensavano che la cancellazione dei dati sulle macchine dismesse fosse competenza del fornitore e invece nel contratto si specificava la responsabilità dell’azienda!”. Spesso le cancellazioni fatte da inesperti lasciano sui dispositivi mobili i dati degli account che vengono recuperati reistallando le stesse app. “Una situazione di questo genere si era verificata, per fortuna senza conseguenze, tra persone interne alla stessa azienda”, riporta Bechelli.
Un altro possibile problema per la messa in sicurezza dei dispositivi mobili aziendali riguarda l’impossibilità d’installare un MDM sui device di consulenti esterni oppure già gestiti dall’MDM del fornitore. In questi casi c’è la possibilità di usare un Mobile application manager (MAM), strumento che fa cose simili all’MDM con un livello di sicurezza inferiore. “Il MAM gestisce protezioni e cifrature dei dati similmente a un MDM anche se, rispetto a questo, opera al di sopra del sistema operativo e non può quindi accorgersi di jailbreak [procedura che rimuove le restrizioni software imposte da Apple nei dispositivi iOS ndr] o di altre eventuali compromissioni”, spiega Canetta. Dove è possibile l’MDM resta lo strumento d’elezione per la tutela. “La stessa Microsoft, disegnando un futuro sempre più mobile per i pc, ha integrato il client MDM in Windows 10 – precisa Canetta -. Ci vorrà del tempo, ma di sicuro vedremo una sempre maggiore convergenza nelle modalità di gestire la sicurezza su tutti i dispositivi client”.