Da una parte i dipendenti scelgono i device e le App che ritengono più produttivi, siano essi autorizzati o meno dall’azienda. Dall’altra l’IT aziendale deve trovare tecnologie per garantire la protezione dei dati sensibili societari, in un quadro in cui separare strumenti personali e professionali è sempre più difficile. È questo il punto di partenza di un recente report di Forrester Research, dal titolo “The State Of Enterprise Mobile Security, Q2 2015”, recentemente ripreso da ZeroUno. Un’analisi che descrive lo scenario della sicurezza mobile in ambito business, e suggerisce le soluzioni per far fronte alle criticità più evidenti.
Un panorama complesso su varii fronti: BYOD, device, App
Nella gestione della mobile security, scrive Forrester, una prima criticità è il BYOD (Bring Your Own Device): il 61% dei dipendenti europei e nord americani utilizza il proprio smartphone per lavoro, e il 56% fa lo stesso con il tablet. I lavoratori pretendono di scegliere i dispositivi che vogliono per svolgere la propria attività professionale, anche a dispetto delle direttive corporate, ma il 53% di loro vorrebbe che la protezione dei dati aziendali sensibili su questi stessi device fosse gestita dall’azienda.
Una seconda criticità è l’aumento delle tipologie di piattaforme – Android e iOS soprattutto, ma anche Windows e BlackBerry – con cui i Sistemi Informativi devono confrontarsi, ciascuna con differenti interfacce Api, profili di sicurezza, caratteristiche tecnologiche. Una terza sono le Mobile App: il 40% delle persone in Europa e Nord America che utilizzano tablet o smartphone per lavoro ha acquistato almeno un’applicazione business al di fuori del portfolio aziendale. La diversificazione delle App è ancor più complessa da gestire vista la frequenza dei loro aggiornamenti.
L’urgenza di trovare soluzioni adeguate è forte: il 22% degli incidenti rilevati dai Security manager si lega a device mobili persi o rubati, in uno scenario in cui la mobility continua a crescere: il 71% dichiara che la spesa in tablet aumenterà di almeno il 5%, quella in smartphone del 59%, e il 45% considera altamente prioritario incrementare il budget per le Mobile App.
Proteggere i dati senza possedere i dispositivi: soluzioni strategiche e tecnologiche
Rispetto a tutte queste criticità dell’Enterprise Mobility, Forrester propone alcune best practice:
Controllare il flusso dei dati. Non potendo sperare di limitare le tipologie di device, le aziende devono trovare il modo di proteggere i propri dati sensibili senza possedere e controllare direttamente smartphone e tablet. Il suggerimento è quindi di puntare su tecnologie capaci di controllare il flusso dei dati in ogni sua “tratta”: tra un device mobile e l’altro, e tra questi e i sistemi aziendali di back end o il mondo esterno.
Andare oltre le funzionalità standard. Più di un terzo delle imprese utilizza o prevede di utilizzare tecnologie di sicurezza mobile. Ma sono per lo più soluzioni “di base”, per il controllo degli accessi e la mitigazione dei danni di perdita dei device. Forrester esorta a usare funzioni più avanzate, come sistemi per la crittografia del dispositivo, applicazioni “Wrapping” (che aggiungono ulteriori livelli software per la gestione della sicurezza applicativa senza modificare le applicazioni), sistemi per il filtraggio delle URL.
Sistemi MDM con sicurezza integrata. Le aziende non si accontentano più dei tradizionali sistemi di Mobile device management (MDM): dal 2013, gli IT decision maker che li considerano una “top priority” sono scesi dal 71% al 41%. Si tratta di soluzioni già ampiamente implementate, che faticano a fornire un efficace governo della forte variabilità di device, sistemi operativi e aggiornamenti. Forrester segnala però che esistono sistemi MDM con particolari funzionalità di sicurezza integrate che, se implementati correttamente, potrebbero rendere il problema più gestibile.
Approccio multilivello. Riuscire a implementare una tecnologia per il controllo del livello applicativo, una per quello del sistema operativo e una per la rete, può offrire forti garanzie. È anche utile scegliere tecnologie integrabili con le tradizionali soluzioni end-point o fare in modo che tramite lo stesso motore di policy (software per creare e monitorare le regole d’accesso alle risorse di rete e dati aziendali) siano gestibili sia le soluzioni desktop/laptop sia quelle MDM.
Autenticazione biometrica. Si può cercare infine di spingere su tecniche di autenticazione biometrica facendo leva sulla popolarità che hanno nel mondo consumer: se le persone hanno già esperienze positive possono superare le perplessità legate alla privacy. Forrester suggerisce di sfruttare il trend e “capitalizzarlo” inserendo questo tipo di tecnologie anche nell’ambito lavorativo.
