La tua azienda è sicura? Tutti i rischi dei dispositivi mobile

La gestione della sicurezza mobile implica un controllo di ogni aspetto dell'ecosistema delle comunicazioni aziendali (quindi: dispositivi e connessioni), riuscendo contemporaneamente a non assorbire completamente le risorse IT e a non ostacolare l'attività dei dipendenti. In altri termini si tratta di garantire l'adeguata sicurezza, minimizzando i rischi, per consentire all'azienda di costruire un vantaggio competitivo e contemporaneamente di mantenere l'efficienza dei costi. In uno scenario ideale una strategia di sicurezza adeguata prevederebbe il supporto di qualsiasi dispositivo/sistema operativo, facilitando così la vita a quei dipendenti che preferiscono utilizzare i propri dispositivi sul posto di lavoro. L'azienda può scegliere se gestire tutto internamente o demandare la complessità di gestione ad un partner esterno, liberando risorse IT da destinare alle attività di business.

Ovviamente la tecnologia e le procedure di sicurezza non sono sufficienti per contenere il problema. E' fondamentale un approccio che preveda la valutazione del rischio e che costruisca le politiche necessarie in risposta. Le aziende dovrebbero valutare e individuare i rischi per la sicurezza associati alla pianificazione di eventuali modifiche alle infrastrutture della mobilità, valutando i meccanismi di controllo esistenti e individuando le eventuali lacune nel profilo di rischio aziendale. La chiave è identificare le vulnerabilità esistenti e i tipi di minaccia previsti. Questo richiede una valutazione di chi potrebbe lanciare un attacco e del modo in cui l'attacco potrebbe essere effettuato, dell'impatto che avrebbe e di quali meccanismi di controllo si possono mettere in atto per contrastare le nuove ed emergenti minacce.

Demandare la complessità di gestione ad un partner esterno libera risorse IT da destinare alle attività di business.

La gestione e protezione del dispositivo dovrebbe essere la più completa possibile, a prescindere dal sistema operativo e dal proprietario (azienda o lavoratore). Il contenuto dei dispositivi dovrebbe essere controllabile da remoto (in rispetto delle norme sulla privacy) e altrettanto da remoto il dispositivo dovrebbe essere aggiornabile. I reparti IT dovrebbero inoltre installare nuove applicazioni e gestire le credenzali e gli account. Nel momento in cui il dispositivo esce dal dominio aziendale (quando viene perso o rubato) è necessario poterlo bloccare e ripulire da remoto. Chi avalla politiche BYOD dovrebbe inoltre adottare una gestione "dual persona": l'IT può intervenire su tutto ciò che riguarda le attività e i dati aziendali ma non può in alcun modo intervenire sui dati personali presenti nel telefono.

Il momento di massima vulnerabilità è comunque quando i dati transitano da e verso i dispositivi mobile. Finché un dispositivo resta nel perimetro delle connessioni aziendali il problema è facilmente risolvibile con un opportuno controllo del traffico e le usuali precauzioni e contromisure che si adottano anche per i dispositivi fissi. Quando il dispositivo viene usato al di fuori delle connessioni aziendali è anzitutto opportuno formare i dipendenti ad un uso sicuro e responsabile dei dispositivi, che può essere incoraggiato e agevolato dall'uso di browser in linea con la politica aziendale, dall'impiego di una rete privata virtuale e da soluzioni di criptatura del traffico. Un insieme di aspetti che devono però essere trasparenti all'utente, il quale è chiamato semplicemente ad usare il dispositivo e non a preoccuparsi di tutti gli aspetti tecnici della sicurezza.

Il panorama della mobilità continua ad evolversi ed è difficile prevedere tecnologie e minacce del futuro anche prossimo.

È necessario anche che le aziende applichino politiche di navigazione del web e di filtraggio dei contenuti. Sintonizzare l'accesso sulle esigenze dell'azienda attraverso regole fatte su misura per singoli individui o gruppi di utenti è facile. Si tratta di fornire una continua sicurezza informatica attiva, bloccando malware, virus e botnet per proteggere la rete. Bisogna monitorare e identificare le nuove minacce, per dare alle aziende la sicurezza che i loro dati siano protetti ventiquattr'ore su ventiquattro.

A fronte di tutto ciò è opportuno inoltre considerare che il panorama della mobilità continua a evolversi e diventa, di conseguenza, difficile riuscire a prevedere quali dispositivi saranno o vorranno essere utilizzati, tra sei mesi o un anno, da parte dei dipendenti. La strategia multipiattaforma implica la gestione di una vasta gamma di sistemi back-end eterogenei, con server aziendali in-house separati per ciascuna piattaforma. L'hardware e il software di ogni piattaforma richiedono manutenzione e aggiornamenti continui per poter garantire la miglior protezione, ma è necessario anche un continuo aggiornamento "culturale" sulle minacce informatiche.