Rodolfo Falcone di Check Point Software ci spiega come si indirizza la politica di protezione aziendale.
I dati aziendali sono sempre più mobili. Perché circolano rapidamente tra clienti, fornitori e partner. E perché spesso si trovano su dispositivi sempre più piccoli e capienti, non per forza sotto il controllo dei responsabili It.
Per Rodolfo Falcone, Country Manager di Check Point Software, si tratta di un problema che sta rapidamente andando fuori controllo.
Ad aprile 2013, ricorda Falcone, abbiamo intervistato circa 800 professionisti It in tutto il mondo sulla mobilità e sull’utilizzo dei dispositivi mobili nelle loro organizzazioni.
Il 79% ha affermato di avere riscontrato un incidente di sicurezza nel corso dei precedenti 12 mesi.
In molti casi, questi incidenti si sono rivelati molto costosi: il 42% delle aziende ha riportato che gli incidenti mobili sono costati loro oltre 100.000 dollari nel corso dell’anno, se consideriamo tempo del personale, spese legali, eventuali multe e contromisure implementate.
A fronte di questo dato, la ricerca offre anche una spiegazione: l’88% degli intervistati ha affermato che il numero di dispositivi mobili personali connessi alle reti della loro organizzazione era più che raddoppiato nel corso degli ultimi due anni.
E quei dispositivi contengono una serie di informazioni sensibili: i tipi più comuni di dati all’interno di smartphone e tablet personali erano email aziendali (88%), contatti (74%), calendari aziendali (72%) e dati sui clienti (53%).
I rischi legati alla sicurezza in movimento
Secondo Falcone i rischi potenzialmente più costosi sono tre.
1. Perdita di informazioni sui clienti.
Nella ricerca, il 53% delle aziende ha riportato che vi sono dati sensibili inerenti ai clienti sui dispositivi mobili gestiti sulle loro reti, rispetto al 47% registrato l’anno precedente.
Il 94% dei partecipanti alla ricerca ha indicato che informazioni sui clienti perse o rubate rappresentano una grave preoccupazione in un incidente di sicurezza mobile, tuttavia il 63% non gestisce le informazioni aziendali sui dispositivi personali.
La chiave per proteggere i dispositivi Byod sta nel focalizzarsi sulla protezione dei dati, non sul dispositivo. Nella gran parte dei casi, i dati hanno più valore del dispositivo stesso.
Un approccio multi-layered di protezione dei dati è importante nell’eliminare la perdita dei dati.
Per esempio, installare una soluzione di Data Loss Prevention può garantire che i dati dei clienti non vengano trasferiti in maniera inappropriata all’esterno dell’organizzazione.
2. Perdita di informazioni aziendali
Con un numero sempre maggiore di aziende che consentono, e di fatto incoraggiano, i dipendenti a utilizzare i loro dispositivi mobili personali per i compiti aziendali sulla rete aziendale, due terzi degli intervistati quest’anno hanno indicato che proteggere le informazioni aziendali è la loro più grande sfida “bring-your-own-device” (Byod).
Non si tratta solo di utilizzare tecnologie di sicurezza all’avanguardia, ma c’è anche la necessità di educare i dipendenti sull’importanza di segnalare la perdita di dispositivi e dati mobili.
Una policy che preveda crittografia e protezione dei dati mediante password può proteggere i dati dall’accesso non autorizzato di chi potrebbe disporre del dispositivo perso o rubato.
3. Perdita di informazioni sul proprietario/dipendente
I ceo delle principali corporation sono stati a lungo bersaglio dei cyber criminali. Ma poiché le tecniche di hacking diventano più sofisticate e le grandi aziende rafforzano la loro sicurezza per essere ben armate, ladri di identità e spoofer stanno prendendo di mira anche i pesci più piccoli.
I dispositivi mobili personali che contengono informazioni di altri dipendenti e/o sono attivi sulle reti aziendali sono punti di ingresso per i criminali che cercano di rubare qualsiasi cosa, dalle informazioni sulla carta di credito alla password del conto corrente bancario ai numeri della Sim card.
Questione di dati, non di dispositivi
Quindi, per Falcone, le organizzazioni come dovrebbero approcciare la protezione dei loro dati sensibili rispetto al rischio di perdita o di furto dai dispositivi mobili dei loro dipendenti?
Un ruolo importante, osserva, viene giocato qui dalla consapevolezza degli utenti rispetto alle policy aziendali di sicurezza e rispetto alle possibili conseguenze che uno smarrimento di dati potrebbe avere.
Consapevolezza che può essere elevata solo con la formazione.
Si dovrebbe dare la giusta attenzione ai dati aziendali, da identificare, isolare e crittografare ovunque essi si trovino.
In questo modo, anche se un utente ne effettua una copia sul proprio device personale, o vi accede via mail o tramite una qualche app, il rischio di smarrimento viene sensibilmente abbattuto.
Meglio ancora, se il processo di protezione dei dati può essere automatizzato come parte di una policy, in modo che questi siano protetti rispetto ad ogni circostanza, copiare file su un dispositivo mobile, inviarli via mail, e via dicendo.
Meno l’utente è consapevole della soluzione di sicurezza, ed i prodotti di nuova generazione sono molto poco intrusivi, meno interferisce con il suo workflow, e più elevata rimane la sicurezza dei dati.
Elemento chiave per le organizzazioni, dunque, è la scelta di non concentrarsi sulla gestione di una vasta serie di dispositivi personali dei dipendenti, ma solo dei dati aziendali che su essi risiedono.
Gestire i dispositivi può interferire con l’esperienza utente dei dipendenti e con la privacy da loro percepita, che può spingere le persone ad aggirare le policy definite da un’organizzazione.
Focalizzarsi solo sulla gestione dei dati aziendali semplifica le sfide del Byod, poiché il dispositivo utilizzato per accedere ai dati finisce per rivestire un’importanza minore, finché i dati risultano protetti e la persona che li utilizza dispone delle corrette autorizzazioni per farlo.
La capacità di applicare policy di sicurezza dei dati è fondamentale, perché elimina di fatto una gran parte del carico di lavoro legato alla gestione di dispositivi sempre più numerosi da parte dei team It.