Sicurezza mobile: le buone pratiche

I telefoni cellulari hanno cambiato profondamente la nostra vita negli ultimi 15 anni, e sono diventati uno strumento inseparabile sia nella nostra vita privata, sia al lavoro. Gli smartphome mantengono i lavoratori connessi al proprio ufficio e garantiscono l’accesso in tempo reale ai dati aziendali, aumentando l’efficienza e la produttività.

La diffusione di reti mobili ad alta velocità, avvenuta in particolare negli ultimi 5 anni, ha fatto circolare una grande quantità di dati personali sensibili su terminali mobili: rubriche, email, sms,documenti, agende, accessi a reti aziendali, tabulati telefonici, oltre alla localizzazione GPS.

Un’indagine condotta di recente da TrendMicro ha rivelato come molti utenti di smartphone trascurino o ignorino i rischi per la sicurezza legati all’uso dei propri smartphone per un numero crescente di applicazioni che potrebbero potenzialmente dare origine a problemi per la sicurezza. Queste includono la navigazione su web, l’instant messaging e il VoIP.

Molti utenti ritengono che i propri cellulari siano più sicuri dei computer, il che è stato vero sino ad ora; le cose potrebbero cambiare in futuro, dal momento che gli hacker stanno spostando la propria attenzione verso i dispositivi mobili: attacchi di malware, di phishing e di spam che vedono per oggetto i cellulari sono in forte aumento, per non contare i rischi legati alla semplice perdita o ai furti.

Secondo una stima del Ponemon Institute, ogni anno nel mondo sono smarriti o rubati oltre 800.000 dispositivi mobili contenenti dati sensibili, incluse chiavette USB, hard disk portatili, laptop e telefoni cellulari. Più di 250.000 smartphone sono smarriti ogni anno solo negli aeroporti americani, quasi 100.000 nella metropolitana di Londra, dai 10.000 ai 15.000 nei taxi ogni mese. Ogni smartphone perduto contenente dati di lavoro, costa, in termini di esposizione a terzi e perdita dei dati, circa 2000 euro. Nonostante questo, meno di un quarto dei possessori di smartphone ha un programma antivirus installato sul proprio cellulare.

Le buone prassi

I CIO si trovano quindi costretti ad affrontare nuove sfide legate all’uso degli smartphone all’interno delle aziende. È quindi importante adottare policy rigorose per la sicurezza. Ecco di seguito un elenco di buone prassi per rendere gli smartphone aziendali un puro strumento di produttività e non un tallone d’Achille per l’azienda:

1. Determinate i requisiti per la sicurezza della vostra organizzazione. Esattamente come avviene per i laptop e i notebook usati in azienda, gli smartphone contengono spesso dati aziendali e sono in grado di accedere alla rete aziendale. Dal momento che questi dispositivi sono usati sempre più spesso come un’estensione o una sostituzione dei PC desktop o dei laptop, dovrebbero essere gestiti e protetti in modo da garantire lo stesso livello di sicurezza dei PC.
2. Identificate chi accede o chi sta cercando di accadere alla rete aziendale attraverso uno smartphone. Definite chi possiede i terminali mobili usati all’interno della vostra organizzazione e chi è responsabile del contratto relativo al cellulare. Gli smartphone possono essere di proprietà del singolo dipendente (caso più frequente nelle aziende di dimensioni medio-piccole); oppure possono essere di proprietà dell’azienda. In quest’ultimo caso è più semplice controllarne l’uso e i contenuti. Determinate inoltre quali dati siano o debbano essere memorizzati sullo smartphone. Una volta note queste informazioni, è possibile stabilire la configurazione richiesta per garantire un livello di sicurezza adeguato.
3. Determinate i sistemi di back-office a cui è necessario fornire l’accesso, in base alle esigenze del personale. Questi possono includere la casella email aziendale, siti intranet o applicazioni specifiche utilizzate in azienda.
4. Stabilite più gruppi di utenti e i livelli di sicurezza applicati a ciascun gruppo, stabilendo quali gruppi di utenti abbiano o meno accesso alle risorse e alle applicazioni aziendali.
5. Monitorate i tentativi di accesso alla rete aziendale e bloccate qualsiasi accesso a meno che il dispositivo che tenta di accedere non abbia installato un client gestionale opportuno. Individuate in ogni istante quale dispositivo mobile sia connesso alla rete
6. Usate password e tecniche crittografiche per proteggere i dati aziendali.
7. Usate dei tool che vi permettano di cancellare da remoto i dati memorizzati negli smartphone smarriti o rubati.
8. Separate i dati personali da quelli aziendali. Memorizzate i dati aziendali, incluse le email e le applicazioni, in un’area dedicata dello smartphone.
9. Mantenete le policy per la sicurezza il più possibile semplici, onde minimizzare i possibili errori umani.