Negli ultimi anni abbiamo assistito all’enorme diffusione di smartphone e tablet in ambito consumer, e poi anche nel mondo business. Nelle aziende però, oltre a benefici indiscutibili di cui abbiamo parlato molto anche su ZeroUno, l’adozione del mobile introduce specifici rischi, specialmente se sui dispositivi vengono trattati dati personali di clienti, dipendenti, partner e fornitori. La normativa italiana al riguardo si basa sulla legge 196/03 sulla Privacy, e su successivi provvedimenti del Garante, ma non è facile capire come rispettarla quando si utilizzino tecnologie avanzate e in continuo sviluppo come quelle mobili. In questo quadro quindi può essere utile un recente white paper dal titolo ‘Mobile e Privacy’ della Oracle Community for Security (vedi in fondo all'articolo), che evidenzia sia i rischi generati dall’uso di smartphone e tablet in azienda, sia le misure per affrontarli e trattare i dati personali conformemente alla legge italiana.
Cominciare dall’analisi dei rischi
La prima cosa da fare, suggerisce il white paper, è un’attenta e strutturata analisi dei rischi connessi ai trattamenti di dati personali su dispositivi mobili in azienda, che deve differenziare i rischi in funzione dell’origine: comportamento degli utenti, tecnologie, contesto ambientale, non conformità dei trattamenti.
Per i comportamenti la casistica comprende errori materiali (per esempio invio di e-mail sensibili a soggetti non autorizzati), gestione impropria delle credenziali d’accesso, uso di servizi in grado di generare vulnerabilità o molto critici (come i social network), rivelazione di dati sensibili in ambienti pubblici, e comportamenti fraudolenti.
I rischi legati alle tecnologie sono vulnerabilità (non corretta configurazione dei dispositivi, mancata adozione di antimalware, ecc.), limitato controllo sulle app, pericolo di hacking (accessi non autorizzati) e sniffing (intercettazioni), guasti dei dispositivi. I rischi ambientali invece sono furto o smarrimento dei dispositivi, eventi distruttivi (incendi, allagamenti, ecc.) e guasti a sistemi complementari: tutti gli utenti BlackBerry ricordano l’indisponibilità dei server Rim che qualche mese fa li ha lasciati senza e-mail e internet per tre giorni.
I rischi relativi a trattamenti non conformi sono i meno intuitivi: mancata notifica per l’acquisizione/trattamento di dati, mancata formazione agli utenti aziendali dei dispositivi sui loro obblighi e responsabilità, e così via. Il classico esempio è l’operatore di telefonia che, pur garantendo tutti gli aspetti di sicurezza del caso, acquisisce i dati di localizzazione del device senza informarne gli utenti. Infine ci sono anche dei rischi ‘trasversali’. Il white paper evidenzia soprattutto quelli connessi all’outsourcing dell’infrastruttura e dei dispositivi mobili: l’azienda non dovrà solo implementare misure dirette, ma assicurarsi anche che lo faccia l’outsourcer.
I quattro tipi di rischio
Una volta definiti tutti i possibili rischi, occorre associare a ciascuno i potenziali impatti sull’azienda, che si differenziano in economici, legali, sull’immagine e sulla competitività. Si tratta di valutazioni complesse in termini di quantificazione, anche perché ogni azienda fa quasi storia a sé. Nella fase successiva si classificano i rischi in funzione degli impatti e delle probabilità d’accadimento in quattro gruppi: rischi da accettare, rischi da condividere o trasferire, rischi da eliminare e rischi da ridurre (figura 1). Nel primo caso, l’azienda valuta che il rischio abbia impatto e probabilità bassi, e non adotta misure oltre a quelle minime e obbligatorie di legge. Nel secondo caso (probabilità bassa ma impatto alto), si estende il rischio a un soggetto terzo, tipicamente un’assicurazione e/o un outsourcer, fermo restando che la responsabilità di legge rimane all’azienda. Nel terzo caso probabilità e impatti del rischio sono talmente alti che l’azienda rinuncia – nell’ambito dove si genera tale rischio – a trattare i dati su dispositivi mobili, e ai relativi benefici. Nel caso di probabilità alta e impatto basso infine si adottano misure procedurali e tecnologiche legate alla singola azienda, che possono essere di riduzione (che agiscono sulle sue cause) o di mitigazione (che agiscono sui suoi impatti) del rischio.
Misure minime e obbligatorie
Il white paper a questo punto si dilunga sugli adempimenti e sulle differenze tra titolari, responsabili e incaricati del trattamento dei dati, ma noi passiamo alle misure adottabili, che la Legge 196/03 distingue in minime, obbligatorie e idonee (figura 2). Le prime sono definite nell’art. 34 e nel Disciplinare Tecnico: nel contesto mobile sono applicabili tutte le prescrizioni per i trattamenti tramite strumenti elettronici, ma il white paper le interpreta alla luce delle peculiarità di smartphone e tablet, trattandole estesamente ma soffermandosi soprattutto sui meccanismi di autenticazione. La Legge prevede due livelli di autenticazione (accesso alla macchina e a singoli servizi), mentre secondo Oracle Community for Security per i dispositivi mobili servono più livelli: accesso al dispositivo, Sim, dispositivi di memorizzazione, singoli sistemi e servizi aziendali, e accesso tramite porte Usb, il tutto conciliando sempre operatività e sicurezza. Particolarmente complessa in ambito mobile è poi la prescrizione di proteggere i dati personali contro intrusioni e malware, per cui il white paper consiglia approcci strutturati tramite sistemi Mdm (mobile device management), di cui parleremo più avanti.
Le misure obbligatorie sono invece legate a singoli Provvedimenti del Garante. Da quello sugli Amministratori di Sistema, per esempio, deriva in ambito mobile la necessità di identificare chi fa manutenzione sui dispositivi, ma anche chi si occupa degli elementi centrali dell’infrastruttura mobile aziendale. Così come il tracciamento dei log d’accesso deve riguardare sia l’accesso ai dispositivi sia quello agli elementi centrali. Nel caso di outsourcing, gli aspetti peculiari della normativa italiana vanno specificati nel contratto, soprattutto se l’ousourcer opera all’estero. Quanto alle Linee guida del Garante su gestione dell’email e navigazione internet, vanno interpretate per esempio estendendo le misure tecniche di protezione perimetrale (firewalling) anche all’ambito mobile, e definendo le regole d’uso del dispositivo per finalità personali (chiamate, connettività, ecc.), mentre il Provvedimento sulle dismissioni Raee implica opportune misure tecniche per facilitare la cancellazione dei dati dai dispositivi in caso di passaggio da un utente aziendale all’altro o dismissione.
Le misure idonee: dal wiping al sandboxing
In gran parte dei casi le misure minime e obbligatorie non bastano: è la Legge sulla Privacy stessa (art. 31) a raccomandare ulteriori misure “idonee”, che vanno decise da ciascuna azienda in funzione della sua situazione specifica. Il white paper però consiglia una serie di misure idonee che qualunque azienda che tratta dati personali su dispositivi mobili dovrebbe adottare. Alcune sono di natura procedurale, e tra esse spicca l’inserimento, nella ‘Information Security Policy Architecture’ (Ispa) dell’azienda e in coerenza con essa, di opportune policy sui dispositivi mobili che devono definire esplicitamente vari aspetti tra cui ruoli e responsabilità dei referenti, modalità d’attuazione dei diversi aspetti di gestione di dispositivi e infrastruttura, responsabilità degli utenti e relative sanzioni.
La maggior parte delle misure idonee però è di natura tecnologica. Gli esperti consigliano caldamente per esempio l’uso di soluzioni di remote wiping, che, in caso di furto o smarrimento, permettono di eseguire da remoto funzioni come geolocalizzazione, backup dei dati su elementi centralizzati, wiping (cancellazione) automatica dei dati, lock del dispositivo. Altre soluzioni consigliate sono la cifratura, soprattutto dei dati più strategici, e i sistemi Mdm, che centralizzano la gestione dei dispositivi (anche basati su diversi sistemi operativi) grazie a funzioni come gestione di credenziali, verifica delle configurazioni, aggiornamenti remoti, gestione backup dati, limitazione delle attività (per esempio copiatura di dati aziendali o download di app), remote wiping. Infine il white paper consiglia di gestire con attenzione la qualità del software installato sui dispositivi, con misure sia preventive sia reattive. Le prime comprendono, tra l’altro, il controllo dei dati in input, encryption dei dati trasmessi e memorizzati, sistemi di validazione a codice aperto e chiuso, qualificazione degli sviluppatori e dei distributori di app, fino all’obbligo di usare solo software di specifici vendor (‘walled gardens’).
Le misure reattive si basano soprattutto su sistemi di esecuzione controllata delle app (sandboxing). In ambito mobile, il modello classico di sandbox prevede due modi d’uso (base e privilegiato) dove le applicazioni in modalità normale non hanno accesso agli oggetti riservati a quelle in modalità privilegiata. Nei modelli più avanzati di sandbox (per esempio iPhone) ogni applicazione può accedere a un set esclusivo di oggetti, con funzioni comuni ridotte al minimo. Nei modelli più tradizionali, il sistema operativo concede a un’applicazione l’esecuzione in modalità privilegiata previa verifica dell’autenticità tramite firma digitale.
Gli autori di "Mobile e Privacy"
Oracle Community for Security è un’organizzazione di esperti di sicurezza provenienti da aziende partner Oracle, che collabora con Clusit e associazioni di settore come Aiea, Aused e Csa Italy. Svolge attività di formazione per tecnici, informazione ai manager delle organizzazioni aderenti e divulgazione per il mercato, curate da gruppi di lavoro che coinvolgono avvocati, consulenti, auditor e tecnici, e a volte anche Cso di aziende utenti e rappresentanti di associazioni.
La Community negli ultimi anni ha reso pubblici diversi studi tematici tra cui ‘Return on Security Investments’, ‘Fascicolo Sanitario Elettronico’, ‘Cloud e Privacy’, nonché ‘Mobile e Privacy’, su cui si basa questo articolo, a cui hanno contribuito 14 esperti di Kpmg, Oracle, Studio Abeti, Ernst&Young, Business-e, Zeropiù, Array, Spike Reply e Aiea.
