Approfondimenti

Non c’è (Mobile) business senza (Mobile) security

Malware, furti e smarrimenti minacciano l’operatività aziendale. La gestione della sicurezza dei terminali mobili diventa sempre più un fattore critico e imprescindibile

Pubblicato il 01 Mag 2008

mamomanette-123676-130318171715

Se foste un Responsabile IT consentireste ai dipendenti
della vostra azienda di accedere alle applicazioni aziendali
attraverso il proprio terminale mobile? Strumenti di tipo
Personal Digital Assistant, smartphone e altri terminali mobili
che contengono dati aziendali e business-sensitive sono sempre
più diffusi. E con il crescere di accessi in mobilità alle
informazioni aziendali sensibili la gestione della sicurezza è
sempre più fattore critico e imprescindibile, diventando fonte
di preoccupazione per coloro che devono garantirla, ma anche
per gli utenti finali, che determinano il successo (o meno)
delle tecnologie e dei servizi abilitati (leggi del
business).

I contesti di utilizzo di applicazioni in mobilità sono,
tipicamente, quello di un manager che ha la necessità di
accedere a email, agenda, contatti e a documenti aziendali,
come anche quello di un funzionario commerciale che debba
accedere alle applicazioni di forza vendita, o anche tecnici
con la necessità di gestire l’apertura/chiusura di
trouble ticket on site.

Alla necessità di nomadismo
applicativo fa però eco un grado di fiducia da parte
dell’utente finale e delle aziende circa l’utilizzo
di strumenti informatici mobili che attualmente privilegia i
pc, vista la diffusione di contromisure di sicurezza
consolidate
, mentre i terminali mobili sono
considerati più insicuri, anche per effetto della maggiore
possibilità di smarrimento e di furto. Sul piano delle
minacce, queste arrivano principalmente dai
“malware”: virus, trojans, worms, backdoors,
spyware, spam e phishing sono tutti riapplicabili ai device
mobili non solo a laptop, workstation e server ove il codice
malevolo puo’ essere trasmesso tramite email, file
sharing, vulnerabilità dei sistemi operativi, Bluetooth, Sms,
ecc.

Ad oggi esistono e sono documentate svariate centinaia di
virus su mobile device. Una volta che il device è infetto, il
malware può: diffondersi su altri device/ sistemi;
inviare dati ad altri device/ sistemi; cancellare o
modificare dati; fare download di software o modificare
applicazioni residenti; causare un attacco DOS, con le
conseguenze e gli impatti sia lato utente che aziendali che
possiamo facilmente immaginare. Senza contare che i
terminali con connessione Wi-Fi di fatto possono connettersi
direttamente sulla LAN aziendale essendo soggetti a intrusioni
via IP e quindi al furto di dati e documenti
confidenziali
. Ma anche lo smarrimento o il furto del
terminale stesso sono eventi molto comuni (innumerevoli le
survey sulle centinaia di telefoni dimenticati in un mese nei
taxi di Chicago o nelle stanze d’albergo di Londra
…). Driver non meno importanti che impongono
l’adozione di misure
di sicurezza sono le
normative specifiche, quale in Italia il D.Lgs. n° 196 del
30 giugno 2003, che garantiscono la protezione dei dati
personali e impongono una serie di contromisure cui deve essere
soggetto chi tratta i dati personali con strumenti elettronici.
Ma come si realizza la sicurezza mobile?
L’approccio definito da Accenture si rifà ad un
framework in cui sono state classificate funzionalità e
servizi che consentono di rendere sicuri i terminali mobili sia
a livello di protezione dei dati “on board” che a
livello dei flussi di comunicazione dati con i sistemi
applicativi.

Le componenti funzionali e i servizi di sicurezza si
basano su un’architettura di Mobile Device Management,
ovvero una piattaforma che consente di gestire centralmente i
terminali mobili e su cui, a partire dai building block
funzionali, sono state sviluppate una serie di applicazioni e
servizi a valore aggiunto che incrementano notevolmente la
sicurezza mobile.

La Piattaforma di Device Management abilita la fornitura
di servizi di sicurezza attraverso le seguenti componenti di
servizio: Device Lock/Unlock per la gestione del blocco del
dispositivo; Device Wipe per la gestione della cancellazione
dei dati del dispositivo; Policy management per la gestione
delle policy aziendali; Device Inventory per tenere traccia
dell’inventario hardware e software del dispositivo; File
Manager per la gestione del file system del dispositivo; Device
data encryption per la protezione dei dati del dispositivo;
Device hardening per la gestione delle attività
dell’utente; Device access control per la protezione da
accessi non autorizzati sul dispositivo; IPsec VPN per
connessioni dati sicure; Sms anti spam; Sms encryption; Real
time antivirus scanning; Content filtering.

In sostanza attraverso la piattaforma è possibile
realizzare processi di configurazione e verifica dei terminali
e mettere in atto policy aziendali che assicurino un opportuno
grado di sicurezza, come ad esempio installare e aggiornare un
antivirus o un sw di encryption dei documenti o forzare il
set-up della password del telefono se si vuole accedere alle
email aziendali.
Il framework comprende anche
l’integrazione con un sistema di SIM Management per
costruire una soluzione di sicurezza dell’- handset
completa consentendo di “cablare” su un elemento
inviolabile come la SIM un agent Java Card che abilita la
criptazione/ decriptazione delle transazioni di e-banking,
mobile payment, degli SMS, etc, sfruttando la compliance alla
tecnologia OTA (Over The Air) della piattaforma. La piattaforma
diventa così abilitante per la costruzione e la gestione di
servizi mobili di sicurezza, quali:
Mobile Asset
provisioning: OMA settings, email configuration, Mobile
connections configuration;
Value Added Services:
Ebanking, mobile payment, Antivirus, Personal Firewall,
Encryption;
Service Configuration: network
architecture customization, self-management customer
portal.

Da sottolineare comunque che ogni strumento, tecnologia o
piattaforma deve essere integrato e gestito nell’ambito
di processi di sicurezza ben definiti aderenti a standard e
metodologie consolidate. Il Framework di Mobile Device
Management va inoltre integrato con soluzioni di sicurezza a
livello di rete e infrastrutturali, quali MMS filtering, email
scanning, content management, antispam, packet inspection,
protocol anomaly detection, DoS attack mitigation, content
level intrusion prevention system. Sono anche allo studio
strumenti evoluti di protezione dei terminali, quali
integrazione di tecnologie di riconoscimento biometrico
(retina, fingertip) o integrazione di soft-token per la strong
authentication. Infine, oltre a soluzioni, piattaforme e
processi, va comunque diffusa la cultura aziendale
dell’utilizzo in sicurezza dei terminali mobili secondo
policy opportune e gestendo la user awareness, che rimane
ancora una delle più efficaci forme di protezione
. La
sicurezza mobile genera benefici tangibili quali incremento di
revenue, sales e produttività, e benefici intangibili che
impattano sulla qualità dei servizi, sull’immagine
dell’azienda, sugli eventuali danni legali e sulla
customer satisfaction.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2