Nell’articolo precedente abbiamo descritto i principali rischi di sicurezza per le aziende che adottano strumenti tecnologici Wireless. In questo articolo prenderemo invece in esame alcune politiche di sicurezza per mitigare i rischi.

Estendere le misure idonee di sicurezza alla frontiera della tecnologia mobile è un obbligo di legge per i soggetti che ricadono all’interno dell’applicabilità del D.Lgs 196/03 in materia di privacy, e tali misure devono essere riportate all’interno del Documento Programmatico della Sicurezza.

• Le aziende devono elaborare una strategia per la mobile security basata su una varietà di dispositivi e di infrastrutture.
• È necessario tenere nella dovuta considerazione la molteplicità di access points: diventerà sempre più probabile che un singolo utente abbia più modalità di accesso alla rete aziendale (laptop, smartphone, PDA, etc) da più punti di accesso (Wi-Fi, telefono cellulare, ADSL). Questa proliferazione di dispositivi e di modalità di accesso rende necessaria l’adozione di tecniche di accesso sicuro (es. VPN) e di politiche per la “correzione” dei dispositivi che agiscano in via preventiva (es. aggiornamento degli Antivirus).
• È altresì necessario che siano resi sicuri tutti gli accessi ai dispositivi portatili, comprese le comunicazioni locali (Bluetooth, IRDA, Wireless) che possono costituire dei facili exploit per malware o utenti malintenzionati.
• È indispensabile che si scelgano le tecnologie più adeguate dal punto di vista della protezione dei dispositivi: un sistema operativo che registra localmente la password di accesso in chiaro non è sicuro.
• Infine è necessario poter contare sulle capacità di log dei dispositivi mobili. L’utilizzo sempre più diffuso di memorie flash e memory card ad alta capacità aumenterà a partire dal prossimo futuro i rischi per i dati. Le aziende dovrebbero al più presto pretendere che i propri dipendenti, e chiunque a qualunque titolo si trovi a maneggiare i dati aziendali, utilizzi soltanto supporti protetti in cui i dati siano cifrati.

Tutte queste raccomandazioni andrebbero recepite, adottate e tracciate all’interno dei piani di sicurezza, non solo per ottemperanza agli obblighi di legge, ma per consentire che le politiche stabilite oggi siano rivedute periodicamente e corrette alla luce dei risultati e dell’evoluzione sia delle strategie e degli infrastrutture aziendali sia della tecnologia mobile.

WiMax, WiMesh, 3G+ sono dietro l’angolo, e la politica di sicurezza stabilita oggi non può ignorare le sfide che verranno da queste, ed altre, nuove tecnologie mobili.

Tenendo presenti i principi della mobile security esposti più sopra, passiamo ad una rassegna di alcuni accorgimenti implementativi che possono risultare decisivi per l’efficacia della mitigazione dei rischi. Li esaminiamo nella pagina successiva.