Suggerimenti per una Sicurezza Mobile

Il rischio umano, interno ed esterno all'organizzazione, pone nuovi problemi all'introduzione dei dispositivi mobili in azienda. Questo è il risultato di molte indagine svolte da analisti del mercato del Mobile. Per affrontare il tema della sicurezza un'azienda deve assumere una visione olistica del problema e definire innazitutto una strategia supportata da policy aziendali e linee guida, formazione dei dipenenti, team di supporto e procedure adeguate ad affrontare i rischi associati a scenari diversi possibili. Punto di partenza è la difficoltà nuova con cui si deve confrontare la struttura IT legata al controllo di dispositivi che essendo mobili come lo sono i loro utilizzatori possono sfuggire alle procedure già in atto a difesa dell'infrastruttura IT aziendale. Il problema della sicurezza deve essere affrontato in modo serio perchè il costo potenziale di eventuali danni derivanti da frti, attacchi, perdite, noncuranza del dipenente ecc. possono essere molto elevati e mettere a repentaglio il futuro dell'azienda.

Per proteggere in modo adeguato l'azienda dai rischi associati all'introduzione di dispositivi mobili in azienda è necessario agire in sette  ambiti diversi:

• Sviluppare una strategia aziendale per la sicurezza sul Mobile. L'introduzione dei dispositivi mobili crea nuove sfide per la struttura IT e in particolare per le persone addette alla sicurezza. E' necessario che l'azienda definisca un approccio olistico e più strategico in grado di definire processi, procedure azioni necessari a contrastare rischi, vulnerabilità e attacchi alla sicurezza informatica aziendale senza penalizzare produttività ed efficienza. La soluzione non risiede nel limitare l'uso dei nuovi device ma nell'accettarli come parte della vita aziendale e come strumenti in grado di far aumentare efficienza, flessibilità e rapidità di esecuzione. Per definire una strategia è utile partire con un audit sull'uso dei varid dispositivi mobili presenti in azienda con l'obiettivo di comprendere meglio natura e livello del rischio e quali tenologie siano necessarie per limitarne gli effetti. Necessario calssificare i dati sensibili che i dipendenti hanno sui loro device per distinguerli tra dati personali e aziendali e per importanza e volatilità. Per ogni categoria di dati deve essere approntata una procedura di intervento. I dipendenti devono essere informati e allertati sull'importanza e la sensibilità dei dati in loro possesso. Si deve poi eseguire un assessment dei rischi determinando quali possano essere gli scenari possibili per dati immaganizzati, elaborati e/o trasmessi sui dispositivi mobili. Infine è necessario allestire un team di persone e procedure a supporto per il monitoraggio dei dispositivi mobili in modo da poter intervenire in tempi rapidi a fronte di furti, perdite e altri inconvenienti possibili.
• Creare una policy aziendalecon linee guida dettagliate per tutti i dipendenti e personale a contratto che utilizza dispositivi mobili. La policy deve tenere conto dei rischi possibili associati ad ogni tipologia di dispositivo e definire apposite procedure da seguire per garnatire protezione e sicurezza dei dispositivi e dei dati mobili. Definire le linee guida non è sufficiente, bisogna anche monitorare l'osservanza delle stesse e l'implementazione delle tecnologie e soluzioni adeguuate a rendere operative le procedure. Nelle linee guida particolare attenzione deve essere posta all'abitudine diffusa di spegnere le protezioni sul dispsoitivo da parte dell'utente. Il monitoraggio dell'osservanza della policy da parte dei dipendenti deve contemplare anche gli interventi da fare per colpire le negligenze da parte dei diopendenti.
• Stabilire e comunicare ruoli e responsabilità nell'organizzazione. L'organizzazione deve essere a conoscenza delle policy, delle procedure e delle tecnologie predisposte  ma anche delle responsabilità individuali e di ruolo sul fronte della sicurezza aziendale. Obiettivo finale è che i dipendenti usino in modo responsabile i loro dispositivi mobili. Nel definire le responsabilità è utile provvedere ad un assessment dei rischi e immaginare possibili scenari per i quali potrebbe essere necessario avere già pronte procedure e azioni di intervento mirato. Nell'organizzazione infine deve essere creato un team di persone responsabile per il supporto, il monitoraggio e l'intervento nella soluzione dei problemi che possono nascere.
• Attivare un programma di formazione ad-hoc. Obiettivo della formazione è la riduzione di problemi causati inavvertitamente dalla disattenzione dell'utente. Finalità della formazione è mettere in guardia sui nuovi potenziali rischi associati ai nuovi dispositivi soprattutto quando essi vengono utilizzati per trasmattere dati e informazioni sensibili per il business dell'azienda o per l'organizzazione. Attenzione particolare nel training deve essere dedicata ai rischi associati all'uso di applicazioni di social networking online. Altro rischio oggetto del corso è l'uso della comunicazione vocale che deve essere trattata alla stregua della comunicazione scritta in termini di rischi associati al furto di dati sensibili che possono essere oggetto di conversazioni telefoniche.
• Approntare procedure e pratiche adeguate per controllare donwload, aggiornamenti e utilizzo delle applicazioni per prevenire attacchi e malware. Si tratta di definire quali siano le applicazioni che l'utente può scaricare e usare. Le applicazioni devono essere modificate/predisposte per resistere e difendersi da possibili attacchi esterni. Il controllo serve a mettere in sicurezza le applicazioni usate attraverso Internet ma anche per bloccare applicazioni non produttive e rischiose. Da valutare l'eventuale blocco di funzionalità quali Exchange Active e/o la sincronizzazione. Utile il monitoraggio dei dati che viaggiano in rete per tenere sotto controllo i permessi e gli accessi.

• Approntare procedure di 'wipe' remoto, crittografia e tecnologie anti-furto per ridurre i rischi. Molti dispositivi mobili hanno già in dotazione servizi per il wipe remoto. Il suggerimento per l'azienda è comunque di investire in software in modo da poter gestire questa funzionalità al meglio e in modo personalizzato. Serve a questo proposito un sistema centralizzato di reporting con informazioni sui dispositivi mobili in azienda e le loro capacità/funzionalità in termini di wipe remoto e crttigrafia dei dati.

• Comprendere le nuove esigenze emergenti legate al tema della privacy associata ai dispsoitivi mobili. Il fatto che molti dispsoitivi sono usati sia per scopi personali sia aziendali mette a rischio i dati personali del dipendente e la sua reputazione enl caso di furto o perdita del dispsositivo. Meglio quindi procedere per tempo ad un assessment anche dei rischi associati a danni eventuali alla privacy e alla reputazione. L'assessment serve anche per comprendere meglio in che modo attuare le misure di controllo su dispositivi usati anche per scopi personali. Un altro livello di preoccupazione nasce quando i dati sono gestiti in outsoursing da realtà terze ed esterne all'azienda. Queste terze parti devono avere le capacità e le risorse per garantire protezione e salvaguardia dei dati personali. Infine nel caso in cui l'azienda raccolga dati presenti sui dispositivi mobili deve comunicare con cura ai dipendenti che tipo di uso e quali garanzie di protezione intende applicare.