La sicurezza mobile in azienda

di Marco Mattioli

scritto il

Come garantire la massima sicurezza ai dispositivi mobili utilizzati nella propria azienda. Dalla gestione centralizzata dei servizi ai più moderni antivirus per BlackBerry, Symbian e Windows Mobile

La comunicazione mobile aziendale ha subito da qualche anno a questa parte un notevole impulso, dovuto alla crescente disponibilità di palmari e smartphone dalle prestazioni avanzate ed allo sviluppo di software client-server multipiattaforma.

Se da un lato la prospettiva di poter interagire con la propria sede lavorativa implica un evidente incremento della produttività, dall’altro subentrano dei potenziali rischi legati all’integrità ed alla sicurezza dei dati. Si passa infatti da messaggi di posta elettronica con semplici indicazioni operative o decisioni tempestive a documenti contenenti informazioni sensibili, per finire a transazioni per l’aggiornamento remoto di archivi.

I confini di una rete dati non sono quindi più delineabili nell’ambito delle mura delle sedi aziendali, ma si espandono verso l’esterno con la flotta di dispositivi mobili come ulteriori punti di accesso alle risorse disponibili.

Risulta quindi particolarmente importante per le moderne PMI praticare politiche mirate alla ricerca di componenti software in grado di offrire la massima protezione sui diversi fronti di comunicazione tra i client mobili e server remoti centrali. Ciò per limitare disagi e danni economici ingenti, provocati da perdite di dati ed intromissioni indesiderate.

I principali sistemi operativi oggi utilizzati in ambiti professionali – li abbiamo analizzati anche in un altro articolo di PMI – sono Symbian, Windows Mobile e BlackBerry. In questo articolo vogliamo proporre un’analisi, seppur forzatamente limitata, delle principali soluzioni rese disponibili dalle case madri e da software house di terze parti in tema di sicurezza. In un prossimo articolo vedremo invece quali sono le soluzioni di assistenza tecnica e supporto remoto. Partiamo da Nokia.

Nokia propone Intellisync Mobile Suite come pacchetto aziendale per eccellenza, costituito da applicazioni che risiedono su un server utilizzabili singolarmente o parallelamente per individuare la configurazione più congeniale alle esigenze interne. Si tratta quindi di un sistema flessibile e modulare per rendere accessibili diversi generi d’informazione.

Le sue principali peculiarità sono di essere disponibile anche per i dispositivi basati sui sistemi operativi di Microsoft e RIM e di supportare i server Exchange, Lotus Domino e GroupWise. Sul piano della pura sicurezza, Intellisync fa applicare criteri di protezione per il blocco dei terminali, in riferimento ad eventuali furti o smarrimenti, che non sono poi tanto improbabili. Inoltre, la registrazione delle attività remote contribuisce a creare dei log sulle operazioni svolte durante una giornata lavorativa, che risultano utili per individuare tentativi di attacchi esterni da parte di virus o malware.

Nokia Mobile VPN consente di accedere al gateway della rete Intranet dell’impresa attraverso avanzati algoritmi di crittografia. La soluzione include un client compatibile con i terminali delle serie 60/80 e Security Service Manager, pensato per la fase iniziale di installazione e di successiva gestione degli aggiornamenti e dei criteri di sicurezza con autenticazione certificata. Gli amministratori ed i responsabili IT godono dunque di un potente tool per estendere la tecnologia VPN IPsec a dispositivi mobili in modo protetto, scalabile e trasparente per gli utenti.

BlackBerry Enterprise Solution è la proposta di RIM per l’accesso wireless alle informazioni aziendali secondo diversi servizi. Particolare attenzione è stata rivolta alla sicurezza mediante crittografia AES e triplo DES per favorire la riservatezza e l’integrità delle comunicazioni. Permette poi di definire e applicare ai dispositivi le impostazioni di protezione in modalità wireless e di bloccarli o cancellarne i dati se vengono smarriti o rubati. In abbinamento a Microsoft Exchange offre anche il supporto S/MIME (Secure/Multipurpose Internet Mail Extensions) per crittografare e firmare i messaggi tra mittenti e destinatari.

BlackBerry Mobile Data System (MDS) è un framework ottimizzato per lo sviluppo di applicazioni aziendali per Enterprise Solution, che utilizza il collaudato modello di recapito basato sulla tecnologia wireless push BlackBerry con relative funzioni avanzate di protezione. Il supporto per il token RSA securID per la doppia autenticazione aggiunge un altro controllo sull’accesso dei contenuti informativi.

Figura 1: BlackBerry Mobile Data System

BlackBerry Mobile Data System

Microsoft Exchange ActiveSync è un protocollo che consente agli utenti di sincronizzare i dispositivi mobili con Exchange Server. In questo modo, agli utenti viene consentito l’accesso a un’ampia gamma di dati, quali i messaggi di posta elettronica, il calendario, i contatti, le attività, la messaggistica vocale o fax, nonché di rispondere a riunioni od inviti.

Il protocollo, originariamente ottimizzato per dialogare con reti a larghezza di banda ridotta, è basato su HTTP e XML. Si può comunque attivare la crittografia SSL (Secure Sockets Layer) per le comunicazioni tra il server ed il client mobile. L’autenticazione è basata su un certificato autofirmato, un certificato di un’infrastruttura a chiave pubblica (PKI) od un certificato commerciale fornito da terze parti. Essa può essere utilizzata con altre funzionalità di protezione, quali la pulitura locale del dispositivo e una password per trattare il dispositivo mobile come se fosse una smartcard.

La chiave privata ed il certificato per l’autenticazione del client vengono memorizzate nel dispositivo. Se un utente non autorizzato tenta di ignorare la password, tutti i dati inseriti sono ripuliti, tra i quali il certificato e la chiave privata stessi. Come ulteriore misura di protezione è possibile distribuire il metodo di autenticazione a due fattori RSA SecurID nel server Exchange.

Novell GroupWise Mobile Server potenziato da Intellisync si offre come ulteriore alternativa per la sincronizzazione remota sicura dei più importanti dati aziendali con numerosi dispositivi operanti con i principali sistemi operativi mobili. Anche in questo caso è rivolta particolare attenzione alle problematiche della sicurezza, con l’adozione delle crittografie SSL, AES con chiavi a 128 bit e TDES e la possibilità di azzerare da remoto tutti dati nel caso si smarrisca un terminale.

Sono poi disponibili numerosi pacchetti prodotti da terze parti sempre dedicati allo scambio di dati tra i device mobili ed i computer aziendali, cercando di rispettare i consueti criteri di sicurezza. Rove Mobile Admin può essere preso in considerazione come valido esempio di tale disponibilità.

Si tratta di un’applicazione costituita da due moduli, uno da installare sul lato server e l’altro su quello client. I server supportati sono quelli operanti con MS Windows, Lotus Domino, Novell, RIM, Oracle, Citrix, HP e VMware, mentre i device mobili appartengono a BlackeBerry, Windows Mobile, Nokia, Sony Ericsson, Motorola e Palm, abbracciando in pratica ogni sistema. Gli amministratori di rete possono quindi contare su un insieme di caratteristiche per la gestione remota di svariate attività, proteggendosi con autenticazione e crittografia che possono anche essere basate su VPN e HTTPS.

Per completare l’analisi non vanno naturalmente sottovalutati gli inconvenienti derivanti da virus e malware, che pur essendo meno invasivi e diffusi rispetto agli ambienti desktop vanno comunque prevenuti. Per Symbian e Windows CE esistono pacchetti come F-Secure Mobile Security, che si propone di evitare danni causati da worm, trojan o intrusioni durante il collegamento a hotspot pubblici grazie alla presenza di un firewall. La protezione del sistema avviene in tempo reale, con scansione automatica della memory card ed aggiornamenti per le tipologie di virus.

Ancora per Symbian e Windows Mobile, Symantec propone in alternativa Norton Smartphone Security, che aggiunge un filtro antispam per SMS provenienti da mittenti sconosciuti. Il motore di protezione deriva da quello per i sistemi desktop e cerca di snidare in modo efficace anche gli spyware. Viene inoltre attivata una protezione da codici maligni che cercano di passare via e-mail, Web, Wi-Fi e Bluetooth. LiveUpdate consente di aggiornare automaticamente l’applicazione e le definizioni dei virus.

SMobile Systems con il programma VirusGuard allarga la compatibilità anche alle piattaforme BlackBerry e Palm. È caratterizzato da un’interfaccia amichevole e si carica automaticamente in memoria ad ogni boot del dispositivo per attivare la protezione in tempo reale.

L’aspetto del quale tenere conto è che questi programmi operino in background senza richiedere eccessive risorse di sistema e lasciando quindi lavorare gli utenti in tutta tranquillità.