Home Prodotti Sicurezza Sicurezza mobile: le cose da tenere d’occhio

Sicurezza mobile: le cose da tenere d’occhio

La sicurezza mobile è oggi in cima alla lista delle preoccupazioni di ogni azienda: E per una buona ragione: quasi tutti i lavoratori ora accedono abitualmente ai dati aziendali dagli smartphone, e questo significa tenere le informazioni sensibili fuori dalle mani sbagliate è un puzzle sempre più intricato.

La posta in gioco, basti dire, è più alta che mai: il costo medio di una violazione dei dati aziendali è di 21.155 dollari al giorno, secondo un rapporto del Ponemon Institute.

Mentre è facile concentrarsi sul sensazionale tema del malware, la verità è che le infezioni da malware mobili sono incredibilmente rare nel mondo reale. La probabilità di essere infettati è minore di quella di essere colpiti da un fulmine, secondo una stima.

Questo grazie sia alla natura del malware mobile sia alle protezioni intrinseche incorporate nei sistemi operativi mobili. I rischi più realistici per la sicurezza mobile si riscontrano in alcune aree facilmente trascurate, che si prevede diventeranno sempre più pressanti solo nel corso del prossimo anno.

Perdita di dati. La perdita di dati è ampiamente considerata una delle minacce più preoccupanti per la sicurezza aziendale nel 2018. Ciò che rende il problema particolarmente sconcertante è che spesso non è per sua natura nefasto, ma che gli utenti prendono inavvertitamente decisioni sconsiderate su quali app sono in grado di vedere e trasferire le loro informazioni.

La sfida principale è come implementare un processo di analisi delle applicazioni che non travolga l’amministratore e non frustri gli utenti. Per questo il suggerimento è di ricorrere a soluzioni di difesa dalle minacce mobili (Mtd). Queste utility eseguono la scansione delle app per individuare il “comportamento di perdita” e possono automatizzare il blocco dei processi problematici.

Naturalmente, anche questo non sempre coprirà le perdite che si verificano a causa di un errore palese dell’utente – qualcosa di semplice come trasferire i file aziendali su un servizio pubblico di archiviazione cloud, incollare informazioni riservate nel posto sbagliato o inoltrare un’ e-mail a un destinatario non intenzionale. Per questo tipo di perdite, gli strumenti per la prevenzione della perdita di dati (Dlp) possono essere la forma di protezione più efficace. Tale software è concepito espressamente per prevenire l’ esposizione di informazioni sensibili, anche in scenari accidentali.

Social engineering. Secondo il Data Breach Investigations Report 2017 di Verizon, il 90% delle violazioni dei dati osservate dalla divisione Enterprise Solutions di Verizon sono il risultato del phishing. Mentre solo il 7% degli utenti cade per tentativi di phishing, Verizon dice che queste persone tendono a essere recidivi: l’azienda stima che in un’organizzazione, il 15% degli utenti vittime del phishing ricadranno nell’errore almeno una volta entro lo stesso anno.

Inoltre, numerose ricerche suggeriscono che gli utenti sono più vulnerabili al phishing da dispositivi mobili rispetto ai desktop – di ben tre volte, secondo uno studio Ibm. Questo anche perché un telefono è dove le persone sono più propensi a vedere per la prima volta un messaggio. La linea di demarcazione tra lavoro e personal computing continua a confondersi.

Sempre più lavoratori stanno visualizzando diverse caselle di posta in arrivo insieme su uno smartphone e quasi tutti conducono una sorta di business personale online durante la giornata lavorativa. Un dispositivo mobile è sicuro solo quanto la rete attraverso la quale vengono trasmessi i dati. In un’epoca in cui siamo tutti costantemente connessi alle reti Wi-Fi pubbliche, questo significa che le nostre informazioni spesso non sono così sicure come potremmo supporre.

Secondo la ricerca rilasciata da Wandera, i dispositivi mobili aziendali utilizzano il Wi-Fi quasi tre volte tanto quanto i dati cellulari. Quasi un quarto dei dispositivi si è connesso a reti Wi-Fi aperte e potenzialmente insicure, e il 4% dei dispositivi ha subito un attacco man-in-the-middle – in cui qualcuno intercetta intenzionalmente la comunicazione tra due parti – nell’ ultimo mese.

Se non si dispone di una Vpn, si lasciano aperte molte porte sul perimetro. Collegando il processo source-to-settle nell’approvvigionamento alla propria soluzione Erp, le aziende possono operare in modo più fluido che mai: selezionare la Vpn di classe enterprise giusta, tuttavia, non è così facile. Come per la maggior parte delle considerazioni relative alla sicurezza, è quasi sempre necessario un compromesso.

La consegna delle Vpn deve essere più intelligente con i dispositivi mobili, in quanto è fondamentale ridurre al minimo il consumo di risorse – principalmente batteria -. Una Vpn efficace dovrebbe sapere di attivarsi solo quando è assolutamente necessario non quando un utente sta accedendo a un sito di notizie, per esempio, o quando un utente sta lavorando all’interno di un’ applicazione consociuta per essere affidabile e sicura.

Dispositivi obsoleti. Smartphone, tablet e dispositivi più piccoli collegati – comunemente noti come Internet degli oggetti (IoT) – rappresentano un nuovo rischio per la sicurezza aziendale in quanto, a differenza dei tradizionali dispositivi di lavoro, in genere non offrono garanzie di aggiornamenti software tempestivi e continui.

Questo è vero in particolare sul fronte Android, dove la stragrande maggioranza dei produttori è inefficace nel mantenere aggiornati i loro prodotti – sia con gli aggiornamenti del sistema operativo e le patch di sicurezza mensili più piccole tra loro – sia con i dispositivi IoT, molti dei quali non sono nemmeno progettati per ottenere aggiornamenti in primo luogo. Anche in questo caso, una politica forte va ben oltre. Ci sono dispositivi Android che ricevono aggiornamenti continui tempestivi e affidabili. Fino a quando il paesaggio dell’ internet degli oggetti non diventerà meno selvaggio a ovest, spetterà a un’ impresa creare intorno a loro una propria rete di sicurezza.

Violazioni fisiche del dispositivo. L’ultima inaccia sembra banale ma è realistica e inquietante: un dispositivo smarrito o non presidiato può rappresentare un grosso rischio per la sicurezza, soprattutto se non ha un Pin o una password forti e una crittografia completa dei dati. In uno studio del Ponemon Institute, il 35% dei professionisti ha indicato che i loro dispositivi di lavoro non disponevano di misure obbligatorie per proteggere i dati aziendali accessibili.

Peggio ancora, quasi la metà degli intervistati ha dichiarato di non avere password, Pin o sicurezza biometrica che protegga i propri dispositivi e circa due terzi ha dichiarato di non utilizzare la crittografia. Il 68% ha indicato di aver talvolta condiviso le password tra account personali e di lavoro a cui si accede tramite dispositivi mobili.