I tablet possono essere visti e trattati come smartphones e condividere con gli stessi il sistema operativo. Ma il tablet è più di un telefono soprattutto perchè voene utilizzato in modo e per fini diversi dagli utenti e questo pone naturalemente problemi nuovi a quanti dell sicurezza della loro infrastruttura informatica hanno fatto un obiettivo concreto e importante.
Birdefender: un argine al software malvagio
Ciò che conta è sicuramente ridurre o mitigare i rischi associati ai nuovi device e all'immaturità del software preposto a garantire protezione e sicurezza ambientale all'interno di ambienti IT complessi. La complessità è maggiore per aziende che hanno da tempo adottato protocolli e device standard. I tablet sono già diventati una opzione per molte aziende per introdurre innovazione e miglioramenti in ambiti specifici, ma la domanda proveniente dall'utente finale interno obbligherà a individuare e a definire nuovi approcci e nuove soluzioni per affrontare aziendalmente il tema della sicurezza e della protezone delle informazioni aziendali.
Nel fare questo sarà utile ricorrere alle policy e alle buone pratiche già predisposte negli anni per la gestione e integrazione degli apparati mobili telefonici in azienda quali:
- Il blocco del device in caso di smarrimento o furto proteggendo il device attraverso PIN, password, ecc.). Ciò può impedire il rischio di uso illegale di applicazioni, dati e connessioni da parte di persone estranee all'azienda. Tutti i tablet propongono in qualche modo questo tipo di protezioni ma i livelli di sicurezza variano molto da vendor a vendor
- Misure contro il furto: molti tablet supportano già il blocco del device e il 'data wipe'. Queste funzionalità non sono però sufficienti in mancanza di adeguate policy e procedure condivise e diffuse. Soprattutto per quanto riguarda le fasi di backup e recupero dati. Altro problema in cerca di maggiore definizione è quello della privacy.
- Criptografia dei dati mobili: tutti i tablet garantiscono la sicurezza per connessioni web e email attraverso i protocolli SS/TLS, Wi-Fi con WPA2 e i dati aziendali attraverso protocolli e client mobili VPN . La prima sfida da affrontare è la gestione delle configurazioni più appropriate da definire e il loro rispetto da parte degli utenti e dell'organizzazione. Nelle policy aziendali sarà fondamentale affrontare il tema della protezione delle credenziali dell'utente e la salvaguardia da un possibile riutilizzo del device a scopi fraudolenti.
- Protezione dei dati: le modalità di crittografia con cui i diversi sistemi operativi dei tablet proteggono i dati variano. Molte applicazioni già disponibili oggi dispongono già di strumenti di auto-protezione e immunizzazione finalizzati a garantire massima protezione dei dati relativi ai messaggi, ai contatti e agli eventi in calendario. Queste applicazioni sono ad oggi la scelta preferenziale di molte realtà aziendali
- Controlli sulle applicazioni mobili: una protezione che si basa su approcci quali il 'code signing', il 'data caging' ( l'applicazione e l'utente accede solo a porzioni definite di file system ) e altre restrizioni finalizzate ad individuare possibili malware. Il problema è legato ai download di applicazioni sulle quali la struttura IT non dispone di alcun controllo reale sulla loro installazione dui device mobili degli utenti. Uno degli approcci attuali si basa su regole restrittive imposte all'interno dell'organizzazione e su blacklist ma ciò non rappresenta certo una buona pratica da seguire e/o perseguire.
- Anti-malware: i tablet non sono dotati di anti-virus, anti-spam, software in grado di individuare possibili intrusioni o di applicazioni firewall. Soluzioni di questo tipo sono disponibili ma la loro adozione per i tablet è ancora molto lenta. Approcci alternativi sposano quanto messo a disposizione degli operatori mobili e dall'AppStore in termini di protezione da virus e cabvalli di troja. I dipartimenti IT hanno in questo ambito opportunità di miglioramento continuo
- Device management: un approccio possibile nella gestione dei device passa attraverso la centralizzazionedella gestione in termini di configurazione, download e distribuzione delle applicazioni, reporting sulla compliance ecc.
Adattare i bisogni sulla sicurezza ai nuovi device tablet
Le buone pratiche possono aiutare, meglio comunquepuntare sulle dovute personalizzazioni adattando il tablet alle varie buone partiche aziendali. Ci sono comunque alcune differenze rispetto ai precedenti device mobili che dovrebbero obbligare ad una maggiore attenzione.
- A differenza degli smartphone che supportano voce e messaggistica testuale, molti tablet sono disponibili solo nella modalità wi-fi. Mentre alcune funzionalità legate alla sicurezza funzionano sugli smartphone tramite SMS, ciò potrebbe non essere possibile con i tablet. Bisogna ricercare alternative altrettando sicure.
- Le dimensioni dello schermo dei tablet sono l'ideale per collegamenti remoti che richiedono l'uso di applicazioni in remoto. Se si utilizza un client VPN per garantire accessi sicuri sugli smartphone meglio verificare che lo stesso client sia la soluzione ideale per il tablet.
- Il tablet è un device 'rich media' che facilita l'accesso e l'utilizzo di presentazioni, file PDF, podcast, video, ecc. Le procedure che bloccano gli allegati o il trasferimento di file sugli smartphone potrebbero pertanto essere controproducenti sui tablet. Allo stesso modo è necessario proteggere meglio dati e informazioni che viaggiano via email, sui calendari condivisi, contatti ecc.
- Un elemento importante del tablet è il suo sistema operativo. Funzioni built-in in termini di sicurezza vanno valutate attentamente come discriminanti per la scelta del tablet e del sistema operativo.
- I tablet non sono sempre dei device indipendenti ma oggetti utilizzabili unitamente agli smartphone. Verificare impatti sulla sicurezza.
L'argomento della sicurezza richierebbe e richiederà ulteriori approfondimenti e le differenze tra i vari tablet disponibili faranno la differenza in termini di livelli di protezione e garanzia di sicurezza aziendale.
Il suggerimento è di tenere un approccio pragmatico facendo affidamento sulle policy e procedure già impostate per gli amrtphone e focalizzando risorse e attenzione sulle buone pratiche emerse dall'uso dei device mobili. Fare attenzione comunque ad affidarsi ciecamente alle caratteristiche dei tablet e di quanto i vendor raccontano in termini di sicurezza. Prima di adottare il tablet aziendalmente meglio studiare attentamente l'utilizzo che dello strumento viene fatto e adattare policy e procedure sulla sicurezza esistenti anche al nuovo device.
PS: Parti di questo testo sono tratti da un articolo di Lisa Phifer co-owner di Core Competence