Mobile Security 101

Ciò che dovete sapere sulla Mobile Security

Mobile security per i dispositivi mobili: tutto ciò che devono sapere i senior manager

I dispositivi mobili di ultima generazione, come gli iPad e i telefoni Android, possono fare meraviglie per gli utenti mobili; sono anche in grado di aumentare il livello di produttività e innovazione di un'azienda. Ma, se non vengono gestiti correttamente, i nuovi dispositivi possono generare un notevole incremento dei costi di amministrazione, nonché un significativo rischio di perdita dei dati e danni d'immagine. Questo articolo fornisce consigli chiari e pratici su come accertarsi che i dispositivi mobili siano un vantaggio, piuttosto che un pericolo, per la vostra azienda.

Le normative

Finora, gli standard di compliance si sono concentrati principalmente sui PC tradizionali, ma gli enti di vigilanza stanno prendendo in sempre maggiore considerazione i dispositivi mobili. E oggi gli occhi sono puntati su tutti i tipi di dispositivi mobili che contengano dati di natura sensibile. È quindi essenziale risolvere immediatamente i problemi di sicurezza e operativi inerenti ai dispositivi mobili, piuttosto che rischiare multe e sanzioni dovute alla perdita dei dati.

Non dimenticate che agli enti di vigilanza non importerà se i dati sensibili siano stati violati per colpa di un laptop o di un dispositivo mobile. Agli occhi della legge potrebbero non esservi differenze, ma i controlli di sicurezza per i laptop sono ben diversi da quelli applicati ad altri dispositivi mobili.

I rischi alla sicurezza

È opinione diffusa che i problemi più seri per le piattaforme mobili provengono da malware e attacchi informatici estremamente complessi. Sebbene le minacce, come ad es. il malware, siano senza dubbio in aumento (dopotutto siamo in molti a utilizzare i cellulari al posto dei laptop per gran parte della giornata), è anche vero che al momento la minaccia più seria viene presentata dalla perdita dei dati.

La maggior parte dei casi di violazione dei dati sui dispositivi mobili è generalmente dovuta a problemi di sicurezza elementari: password deboli (o inesistenti), mancata cifratura dei dati, attacchi di phishing o di altre tecniche di ingegneria sociale, nonché mancato aggiornamento del dispositivo stesso (che lo rende vulnerabile anche agli attacchi più semplici). Acquisire una buona padronanza dei concetti di base e accertarsi di formattare i dispositivi quando vengono smarriti sono precauzioni che devono assumere la più alta priorità, sia allo scopo di ridurre al minimo l'effettivo rischio di perdita dei dati, sia per soddisfare i requisiti degli enti di vigilanza.

L'impatto della consumerizzazione

Con l'innescarsi del processo di consumerizzazione (l'utilizzo dei dispositivi personali a scopo lavorativo), cresce il rischio che i reparti IT si trovino a gestire cinque volte il numero di piattaforme, a un costo cinque volte più elevato. È un lusso che la maggior parte dei budget IT non si può permettere. Ma per gran parte delle organizzazioni non è un'opzione fattibile neanche bloccare i nuovi dispositivi mobili di tendenza. Accertatevi che qualsiasi controllo o procedura di sicurezza che adottiate fornisca il supporto di una vasta gamma di piattaforme; ciò vi aiuterà a evitare un boom dei costi relativi alle tecnologie informatiche, nonché a proteggere il vostro investimento di pari passo con l'aggiornamento dei dispositivi.

Pensare a breve termine

Nel settore dell'informatica, siamo abituati a pensare in termini di cicli triennali, per massimizzare gli utili e minimizzare i costi. Sfortunatamente, in questo caso una strategia triennale potrebbe essere una pessima idea.

Il mercato della mobile security cambia molto rapidamente. Al contrario dei tradizionali PC, i dispositivi mobili vengono aggiornati praticamente ogni tre mesi. Per i dispositivi mobili, si consiglia ai reparti IT di implementare e iterare una strategia a breve termine, piuttosto che cercare di pianificarne una per un periodo di 3 anni.

Tre priorità di mobile security

I dispositivi mobili fanno ormai parte della nostra vita. Accertatevi quindi che dati, sistemi e utenti rimangano protetti. Ecco tre priorità principali per qualsiasi tipo di organizzazione:

1. Implementare le acceptable use policy

Verificare che l'intera azienda sia in possesso di informazioni inequivocabili sulle acceptable use policy e che i dipendenti sappiano quali sono i dispositivi consentiti e i requisiti per poterli utilizzare a scopo lavorativo. Gli utenti possono rappresentare l'anello più debole di un dispositivo consumer. Accertarsi che riflettano attentamente prima di ogni clic, per proteggere i vostri dati e i loro.

2. Implementare un’efficace protezione dei dispositivi

Controllare di essere in possesso di tutte le tecnologie necessarie per l'implementazione di policy relative a complessità della password, cifratura e stato delle patch. Verificare inoltre di essere in grado di individuare o formattare i dispositivi in caso di furto o smarrimento. Sono disponibili più tool di quanto si creda. Prendere in considerazione i tool di gestione offerti dai vendor di soluzioni di sicurezza. E seguire le guide alla configurazione fornite dai vendor dei dispositivi stessi, per implementare le dovute best practice. Molti di questi dispositivi possono essere dotati di più funzioni di sicurezza di quanto si immagini.

3. Dimostrare la compliance alle normative

Accertarsi che il tool di gestione dei dispositivi mobili utilizzato sia in grado di fornire report di compliance che possano essere mostrati agli enti di vigilanza in caso di smarrimento di un dispositivo. La struttura di policy di sicurezza e relativi processi deve includere anche i dispositivi mobili, per poter dimostrare la presenza di controlli di base.

La cosa più importante è tenere d'occhio il mercato dei dispositivi mobili e le nuove tecnologie. Tutto cambia rapidamente. E chi dorme non piglia pesci.

Con le giuste strutture, potete adeguarvi a questi dispositivi e accoglierli a braccia aperte, invece di bloccarli.