La sicurezza dei sistemi e delle reti informatiche in azienda non è più da tempo un problema che si limita al perimetro aziendale. Va, infatti, ben oltre e riguarda una protezione dei dati, che deve estendersi a seconda dei dispositivi e delle applicazioni che vengono utilizzate. Se, infatti, i responsabili IT si sono sempre dovuti confrontare con pericoli e minacce ai sistemi aziendali relativi alle macchine presenti negli uffici, con il diffondersi del fenomeno della mobility e la proliferazione delle App il loro compito si è notevolmente complicato. Furto di dati sensibili e informazioni confidenziali, appropriazione di identità digitali sono solo alcune delle attività malevole perpetrate attraverso virus e malware che si diffondono a macchia d'olio in azienda.

 

Mobile e App: quali pericoli?

I dipendenti scelgono i device che ritengono più produttivi per il proprio lavoro, siano essi autorizzati o meno dall'azienda, e utilizzano le applicazioni business che reputano migliori, anche se ciò significa acquistarle privatamente: è un tendenza ormai in atto da anni e sta alle divisioni IT trovare le tecnologie e i servizi in grado di garantire la protezione dei dati sensibili tenendo conto del fatto che imporre una suddivisione tra strumenti personali e professionali è una strada sempre meno percorribile. A questo proposito, si sente molto spesso parlare di BYOD (Bring Your Own Device). Tuttavia, sono diversi gli approcci che permettono di aumentare la produttività del dipendente, ecco i principali:

BYOD: il Bring Your Own Device è l'approccio più popolare. Ai dipendenti viene garantita la piena responsabilità di scegliere e acquistare i device che preferiscono, come smartphone o tablet. Molto diffuso tra le PMI, ha il vantaggio di ridurre al minimo i costi di hardware e servizi IT al prezzo, però, di un aumento dei rischi legati alla sicurezza dei dati aziendali e dell'impossibilità (o quasi) di avere un controllo sulle configurazioni e gli aggiornamenti.

CYOD: con il Choose Your Own Device, invece, le aziende lasciano al dipendente la possibilità di scegliere tra un elenco di dispositivi approvati. I device potranno essere acquistati dal dipendente o dall'azienda, in ogni caso ci sarà la garanzia di un aggiornamento tecnologico (soprattutto software di sicurezza) costante. I contro sono rappresentati dall'eventuale insoddisfazione degli utenti, costretti a scegliere device magari non in linea con i loro desiderata.

COBO: Corporate Owned, Business Only, indica quel modello (poco diffuso, per la verità) di supporto del mobile in azienda che si fonda sull'utilizzo per finalità esclusivamente lavorative di un dispositivo personale.

COPE: le grandi aziende sono sempre più inclini a supportare un modello  COPE (Corporate Owned, Personal Use), che permette ai dipendenti di utilizzare anche per finalità personali e private il device acquistato e gestito per conto loro dall'azienda. Questo offre alle aziende un maggior controllo sui device mobile, che si risolve anche in un presidio più stretto degli aspetti legati alla data protection.

Ma è possibile definire alcune regole di base per proteggere i dati sensibili in azienda assecondando le strategie BYOD? Secondo l'analista Forrester Research sì. Eccole:

Controllare il flusso dei dati. Le aziende devono trovare il modo di proteggere i propri dati sensibili senza possedere e controllare direttamente smartphone e tablet utilizzati per accedervi. Il suggerimento degli analisti è quindi, quello di puntare su tecnologie capaci di controllare il flusso dei dati in ogni sua "tratta": tra un device mobile e l'altro e tra questi e le risorse aziendali di back end o il mondo esterno.

Andare oltre le funzionalità "di base". Secondo Forrester, oltre 1/3 delle imprese utilizza o prevede di adottare tecnologie di sicurezza mobile, ma si limita soprattutto a funzionalità legate al controllo degli accessi e alla mitigazione dei danni derivati dalla perdita dei device. Andrebbero, invece, incrementate funzioni più avanzate, come sistemi per la cifratura del dispositivo, applicazioni di wrapping (soluzioni che aggiungono ulteriori livelli software per la gestione della sicurezza applicativa, senza apportare alcuna modifica alle applicazioni) o sistemi per il filtraggio delle URL.

Approccio multilivello. Implementare una tecnologia pensata per il controllo del livello applicativo, una per quello del sistema operativo e una per la rete può offrire maggiori garanzie di protezione. È anche utile scegliere sempre tecnologie integrabili con le tradizionali soluzioni endpoint o fare in modo che tramite lo stesso motore di policy (software che consente di creare, monitorare e far rispettare le regole su come accedere alle risorse di rete e ai dati aziendali) siano gestibili sia le soluzioni desktop/laptop sia quelle mobile (MDM, Mobile Device Management).

Autenticazione biometrica. L'azienda potrà promuovere l'adozione di misure di autenticazione biometriche facendo leva sulla popolarità che hanno ottenuto nel mondo consumer: se le persone hanno già esperienze positive nel loro utilizzo potranno superare più facilmente le perplessità legate alla privacy. Forrester suggerisce di sfruttare il trend e capitalizzarlo, inserendo questo tipo di tecnologie anche nell'ambito lavorativo.

Application governance. Include aspetti quali l'individuazione di business case (processi business per il cui supporto sarebbe opportuno sviluppare applicazioni mobile), la definizione di priorità di sviluppo, il budgeting (lo stanziamento di investimenti) e la sponsorship (chi sostiene la necessità e appoggia gli sforzi di sviluppo).

Ecco come proteggere (al meglio) gli endpoint

Quali possono essere le misure di protezione degli endpoint su cui puntare l'attenzione? Considerato che sempre più spesso i device usati in mobilità o in ambienti domestici (siano essi pc, laptop, smartphone o tablet) contengono dati business-critical, una buona soluzione è la Full Disk Encryption (cifratura del disco rigido). Questa prassi consente di prevenire i rischi legati alla perdita o al furto dei dispositivi e garantisce l'ottemperanza a regole di compliance. L'adozione di soluzioni Host Intrusion Prevention System (HIPS) implementa anche a livello di device i controlli che normalmente vengono svolti dai sistemi di sicurezza network based. Si tratta di una misura peraltro indispensabile nel momento in cui i client si connettono a hotspot Wi-Fi pubblici. Nel caso, invece, in cui uno stesso dispositivo venga utilizzato da persone diverse, è da prendere in considerazione la File Level Encryption (cifratura a livello di singoli file).

Queste soluzioni sono efficaci nel rendere inaccessibili i dati o bloccare l'intrusione di hacker nei dispositivi che si collegano a Internet attraverso connessioni non sufficientemente protette. Ma cosa fare se il lavoratore ha già scaricato un file infetto?

La soluzione, in questi casi, è il sandboxing e consiste nel creare all'interno del client un'area isolata nella quale far girare un'applicazione sconosciuta per analizzarne il comportamento. Si tratta di una tecnica particolarmente adatta a contrastare gli zero-day exploit, in attesa che gli anti-malware tradizionali vengano aggiornati. Un altro controllo proattivo è il whitelisting. Mentre il blacklisting – approccio caratteristico degli anti-malware e dei firewall signature-based – è reattivo, il whitelisting permette ai dispositivi di connettersi a risorse web che hanno una buona reputazione di sicurezza.

Un'altra misura proattiva è la gestione delle patch di sicurezza (patch management), ovvero un processo di aggiornamento del software installato sul dispositivo gestito in modo strategico e pianificato, non lasciato alla discrezione dell'utente.

 

6 settembre 2017