Tratto dallo speciale:

Politiche di sicurezza “mobile”

di Stefano Nicastro

scritto il

Suggerimenti pratici per mitigare i rischi di sicurezza in ambienti di rete Wireless e mobile.

Nell’articolo precedente abbiamo descritto i principali rischi di sicurezza per le aziende che adottano strumenti tecnologici Wireless. In questo articolo prenderemo invece in esame alcune politiche di sicurezza per mitigare i rischi.

=>Leggi le basi della sicurezza WiFi

Estendere le misure idonee di sicurezza alla frontiera della tecnologia mobile è un obbligo di legge per i soggetti che ricadono all’interno dell’applicabilità del D.Lgs 196/03 in materia di privacy, e tali misure devono essere riportate all’interno del Documento Programmatico della Sicurezza da parte delle aziende obbligate a redigerlo:

=> Scopri chi è esonerato dal DPS

Le aziende devono elaborare una strategia per la mobile security basata su una varietà di dispositivi e di infrastrutture. È necessario tenere nella dovuta considerazione la molteplicità di access point (leggi come configurarlo correttamente): oggi ormai ogni singolo utente ha più modalità di accesso alla rete aziendale (laptop, smartphone, PDA, etc) da più punti di accesso (Wi-Fi, telefono cellulare, ADSL). Questa proliferazione di dispositivi e di modalità di accesso rende necessaria l’adozione di tecniche di accesso sicuro (es. VPN) e di politiche per la “correzione” dei dispositivi che agiscano in via preventiva (es. aggiornamento degli Antivirus).

È altresì necessario che siano resi sicuri tutti gli accessi ai dispositivi portatili, comprese le comunicazioni locali (Bluetooth, IRDA, Wireless) che possono costituire dei facili exploit per malware o utenti malintenzionati.

È indispensabile che si scelgano le tecnologie più adeguate dal punto di vista della protezione dei dispositivi: un sistema operativo che registra localmente la password di accesso in chiaro non è sicuro.

Dal BYOD al CYOD => Scopri come cambia la sicurezza in azienda

Infine è necessario poter contare sulle capacità di log dei dispositivi mobili. L’utilizzo sempre più diffuso di memorie flash e memory card ad alta capacità aumenterà a partire dal prossimo futuro i rischi per i dati. Le aziende dovrebbero al più presto pretendere che i propri dipendenti, e chiunque a qualunque titolo si trovi a maneggiare i dati aziendali, utilizzi soltanto supporti protetti in cui i dati siano cifrati.

Tutte queste raccomandazioni andrebbero recepite, adottate e tracciate all’interno dei piani di sicurezza, non solo per ottemperanza agli obblighi di legge, ma per consentire che le politiche stabilite oggi siano rivedute periodicamente e corrette alla luce dei risultati e dell’evoluzione sia delle strategie e degli infrastrutture aziendali sia della tecnologia mobile.

=> Leggi di più sulla sicurezza mobile

WiMax, WiMesh, 3G+ sono dietro l’angolo, e la politica di sicurezza stabilita oggi non può ignorare le sfide che verranno da queste, ed altre, nuove tecnologie mobili.

Tenendo presenti i principi della mobile security esposti più sopra, passiamo ad una rassegna di alcuni accorgimenti implementativi che possono risultare decisivi per l’efficacia della mitigazione dei rischi. Li esaminiamo nella pagina successiva.

Efficacia della rule base dei firewall

Le sessioni di comunicazione verso i dispositivi mobili è bene che siano iniziate dall’interno, se possibile. In questo modo il firewall può meglio controllare l’origine della sessione.

Laddove questo non è possibile, allora è assolutamente raccomandato rendere sicure le connessioni con i dispositivi remoti con tecniche di tipo VPN (es. IPsec oppure SSL). Tuttavia questa implementazione può essere ostica per diverse ragioni: carico elaborativo richiesto sul terminale per supportare un VPN Client, necessità di un tuning sui time-out di sessione per evitare di rendere di difficile esecuzione le connessioni stesse. A sua volta, un timeout più lungo può indebolire la sicurezza della connessione, ma questo può essere il prezzo necessario da pagare.

Garanzia della confidenzialità, integrità ed autenticità nelle comunicazioni

La cifratura (3DES o AES) è lo strumento normalmente associato con le VPN, a tutela della confidenzialità. L’integrità dei dati è facilmente verificabile all’interno del processo di cifratura/decifratura. L’autenticità è un problema più sentito per le comunicazioni di questo tipo, in quanto non sempre è possibile fare ricorso a meccanismi di strong authentication (es. RSA) basati su token. Si ripiega spesso sull’impiego di un segreto pre-condiviso tra le due entità coinvolte nella comunicazione (es. handset e firewall).

Riservatezza dei dati sui dispositivi

La riservatezza locale è uno degli aspetti più sottovalutati della mobile security. L’accesso al dispositivo deve essere concesso soltanto previa presentazione di credenziali. La password policy aziendale dovrebbe poter essere estesa anche a questi dispositivi, e una gestione centralizzata degli account, che consenta di impostare la scadenza delle password, dovrebbe essere implementata. Inoltre le password, se registrate localmente, dovrebbero sempre essere cifrate. I dati inoltre dovrebbero non poter essere trasferiti se non attraverso la rete aziendale. Supporti di memoria rimovibili dovrebbero non essere abilitati. Se non si riesce a rendere sicura la comunicazione via Bluetooth, allora esso dovrebbe essere disabilitato.

Protezione da malware

Nel breve periodo la minaccia da virus informatici dovrà essere presa in seria considerazione anche per i dispositivi mobili. La diffusione di malware può essere inibita attraverso l’impiego di antivirus specifici per la mobilità.