TECHTARGET

Dispositivi mobili e workplace: ecco una guida per la sicurezza

BYOD, COPE o COBO: quale che sia l’approccio aziendale, la protezione dei dispositivi mobili è un problema aggiuntivo per la sicurezza di reti e dati. Non può mancare una policy rigorosa che comprenda i requisiti di autenticazione e la scelta della mobile management platform più adatta

Pubblicato il 20 Ago 2021

Michele Ciceri - Fonte TechTarget

mobile device security in the workplace

In linea di principio, la sicurezza mobile ha gli stessi obiettivi della sicurezza desktop, ma tutti sappiamo che l’implementazione e le misure preventive che l’IT deve mettere in atto non sono sempre le stesse. Monitorare tutti i dispositivi che accedono alla rete aziendale e dotarsi delle contromisure per evitare danni è il punto di partenza, e questo vale per tutti i tipi di sicurezza aziendale – rete, PC, laptop, applicazione –tuttavia la sicurezza mobile comporta sfide più impegnative.

Lo smarrimento e il furto, per esempio, preoccupano di più quando si tratta di dispositivi mobili, visto che questi possono funzionare anche senza le tradizionali connessioni wi-fi o ethernet e in qualsiasi luogo dove ci sia un segnale wireless decente. Va da sé che le organizzazioni possono certamente usare tutto ciò che consente ai lavoratori di essere produttivi, anche i dispositivi mobili personali, ma garantendo prima la sicurezza della rete aziendale. In questo articolo, una guida per la sicurezza dei dispositivi mobili che riassume le indicazioni dei maggiori analisti in materia.

Il ruolo dei dispositivi mobili nel business

La nuova ferza lavoro è più mobile che mai per tanti motivi, in primis la proliferazione di laptop, dispositivi ibridi, tablet, smartphone e altri dispositivi mobili che consentono ai lavoratori di essere produttivi da una varietà di luoghi, ad esempio a casa, in un aeroporto o in transito. Lavorare da remoto e in mobilità è un concetto ben consolidato nelle aziende di tutte le dimensioni e i dispositivi mobili, come smartphone e tablet sono importanti nel consentire ai lavoratori di farlo. È normale, ad esempio, che i collaboratori portino indosso smartphone con accesso all’e-mail di lavoro e alle applicazioni aziendali ovunque si trovino. Ma i dispositivi mobili possono consentire molto più del semplice lavoro in movimento. Tablet e smartphone possono infatti essere utilizzati per i punti vendita (POS), la registrazione dei dati e l’invio di moduli personalizzati. I dispositivi mobili, con l’aggiunta di altri componenti, possono anche fungere da workplace complete.

Dal punto di vista della protezione, i dispositivi personali come gli smartphone hanno molti più problemi di sicurezza e complicazioni rispetto ai dispositivi cosiddetti kiosk (POS, totem multimediali per intenderci). Questo perché i kiosk hanno una superficie attaccabile più limitata (non vengono usati per navigare liberamente in Internet) e non hanno tutte quelle applicazioni che ognuno di noi ha di solito sul proprio telefonino. Altra storia sono i dispositivi mobili aziendali dati in dotazione ai dipendenti. In questo caso, la protezione è relativamente semplice, certamente meno problematica rispetto a quella dei dispositivi personali che accedono ai dati aziendali, anche perché l’azienda può applicare severi controlli di sicurezza.

I vantaggi dei dispositivi mobili

Il vantaggio più evidente che offre un dispositivo mobile è l’ubiquità, intesa come la possibilità di essere produttivi ovunque ci si trovi. I laptop sono stati il ​​primo passo nell’evoluzione verso l’abilitazione del lavoro mobile e gli smartphone sono stati il ​​passo successivo. In generale, i dispositivi mobili migliorano la connessione tra persone, le comunicazioni, la collaborazione e il networking grazie alla loro portabilità e all’accesso alle reti cellulari. Migliora soprattutto l’accessibilità alle risorse aziendali. Gli utenti possono accedere alla posta elettronica aziendale, alle app mobili di comunicazione unificata (tipo Microsoft Teams), alle applicazioni aziendali personalizzate e ad altre app o servizi che consentono di lavorare. Il vantaggio è soprattutto per i knowledge worker e i dirigenti, cioè le persone che normalmente si trovano a dover rispondere a e-mail critiche o prendere decisioni mentre sono in viaggio.

Le regole per la sicurezza dei dispositivi mobili non possono mancare

Pensare a laptop e smartphone come alla postazione di lavoro principale di un utente non è immediato, e trascurare i dispositivi mobili in una politica di sicurezza può essere fin troppo facile. Soprattutto quando gli utenti usano i propri dispositivi personali, che non sono di competenza diretta dell’azienda, ma lo fanno per accedere ad applicazioni e servizi di lavoro, come il server di posta elettronica o la piattaforma UC. Le organizzazioni che consentono qualsiasi accesso ai dati di lavoro su dispositivi mobili devono assolutamente disporre di una politica di sicurezza mobile. Trascurare la sicurezza dei dispositivi mobili e dei dati causa infatti una grossa vulnerabilità nell’architettura di sicurezza complessiva di un’organizzazione. Pensate all’anello più debole della catena: i dati aziendali sono protetti quanto lo è il dispositivo meno sicuro che vi accede.

Scelta della policy sui dispositivi mobili: proprietà aziendale o BYOD?

Uno dei primi passi per stabilire una policy di gestione dei dispositivi mobili è determinare se questi saranno di proprietà dell’azienda o di proprietà dell’utente. Entrambi gli approcci hanno punti di forza e di debolezza che vanno tenuti in considerazione. In genere, i dispositivi aziendali sono più semplici dal punto di vista delle policy, ma il BYOD (bring your own device) consente una maggiore scelta e flessibilità per gli utenti.

Dispositivi mobili aziendali: COPE o COBO?

Affidare agli utenti dispositivi mobili di proprietà dell’azienda è l’opzione più semplice, ma anche la più costosa costosa per le organizzazioni. Il vantaggio maggiore di questo approccio è che la gestione dei device è sotto il controllo diretto dell’IT: in questo modo l’azienda può darsi una policy quanto più restrittiva desidera senza doversi preoccupare di invadere la privacy. Un altro vantaggio può essere nel fatto che gli utenti sono più disposti a usare per il lavoro un dispositivo che non hanno acquistato da soli. Anche il processo di distribuzione degli aggiornamenti di app e sistema operativo è più semplice.

Il punto critico per l’azienda è l’aspetto economico. Si possono anche negoziare accordi con i produttori di device, ma anche con gli sconti, il costo di tutto l’hardware non è indifferente. Le organizzazioni più grandi potrebbero non avere questo problema, quelle piccole invece sì. Inoltre, le organizzazioni devono decidere se i dispositivi forniti dall’azienda possono fungere anche da dispositivi personali. Gli utenti potrebbero apprezzare la flessibilità di disporre di un dispositivo di proprietà dell’azienda abilitato per usi personali (COPE). Tuttavia, tutti hanno il proprio smartphone o altri dispositivi mobili prima di entrare a far parte di un’organizzazione, quindi potrebbe non essere necessario. L’approccio solo aziendale (COBO) consente alle organizzazioni un livello molto elevato di controllo sul dispositivo, le sue politiche di sicurezza e privacy, il suo programma di aggiornamento e molto altro.

BYOD

Molte aziende potrebbero considerare il BYOD come l’opzione di distribuzione dei dispositivi mobili più semplice e diretta: non serve acquistare un tablet per ogni nuovo assunto e gli utenti possono usare un unico dispositivo sia per lavoro sia per le cose personali, evitando di doversi portare a casa due dispositivi. Vero, l’approccio BYOD è il più semplice, ma richiede policy e gestione della sicurezza più complicate rispetto a COPE e COBO.

Tanto per iniziare, gli utenti devono accettare i termini di utilizzo dei dispositivi aziendali prima di iniziare a utilizzare i propri dispositivi personali per le attività lavorative. Ciò potrebbe includere aggiornamenti forzati del sistema operativo o delle app per la sicurezza, e forse anche una diminuzione complessiva della privacy degli utenti. C’è anche il problema della condivisione dei costi. Alcuni utenti, in particolare quelli che lavorano molto con i propri dispositivi mobili, sostengono costi aggiuntivi per l’utilizzo dei dati, la riparazione del dispositivo o la sua sostituzione. Il BYOD potrebbe essere un’opzione ideale, ma solo se le organizzazioni possono definire una policy che tiene conto di questi fattori,

BYOD VS dispositivi aziendali

I dispositivi di proprietà dell’azienda garantiscono una maggiore sicurezza per le organizzazioni rispetto a un approccio BYOD perché l’IT può controllare i dispositivi in modo più rigido. Una policy di sicurezza BYOD dovrà preoccuparsi del fatto che gli utenti accettino il livello di controllo del dispositivo richiesto dall’organizzazione, pertanto è probabile che vengano scelti criteri di sicurezza più clementi per facilitare l’accettazione da parte degli utenti.

Gli amministratori IT devono tenere presente che il livello di sicurezza di una policy mobile è determinato dai controlli implementati dall’IT e non al modello di proprietà del dispositivo. Ma il percorso verso una solida policy di sicurezza mobile è più semplice per i dispositivi di proprietà dell’azienda.

Rischi e sfide per la sicurezza dei dispositivi mobili

Come qualsiasi endpoint, gli hacker possono intercettare il traffico in entrata e in uscita dai dispositivi mobili, indurre gli utenti a scaricare malware e accedere ai dati degli utenti tramite una connessione di rete compromessa. In aggiunta, i dispositivi mobili affrontano ulteriori minacce che gli endpoint fissi non affrontano. La perdita e il furto di dispositivi sono più frequenti con i dispositivi mobili e gli attacchi di ingegneria sociale sono estremamente comuni. Gli attacchi di phishing che prendono di mira i dispositivi mobili di determinati dipendenti possono utilizzare messaggi SMS, account e-mail, messaggi tramite numerose applicazioni di social media o persino collegamenti dannosi nei browser.

Un problema aggiuntivo sono le possibili difficoltà nell’integrazione dei dispositivi mobili nei sistemi di back-end esistenti, nelle applicazioni legacy e nei servizi personalizzati per endpoint come PC e laptop. È bello fornire agli utenti l’accesso alla posta elettronica e ai servizi aziendali di base, ma il costo di implementazione e gestione dei dispositivi mobili potrebbe non valere la pena per alcune organizzazioni se non possono accedere a tutti i sistemi aziendali. La maggior parte dei fornitori di tecnologia è consapevole del ruolo dei dispositivi mobili e fornisce prodotti e servizi che supportano la mobilità, ma non sempre. Ciò è particolarmente vero con le applicazioni personalizzate e legacy. Questi problemi di compatibilità possono trasformarsi anche in problemi più grandi di conformità in settori altamente regolamentati.

Policy per la sicurezza mobile: i passaggi

Le organizzazioni possono mitigare i rischi di sicurezza dei dispositivi mobili con una policy specifica ed efficace per i dispositivi mobili. I criteri, però, devono essere dettagliati, completi e personalizzati in base alle esigenze dell’organizzazione. La policy dovrebbe anche spiegare quali agenti di gestione e sicurezza saranno presenti sul dispositivo e quali misure può adottare l’organizzazione per garantire la sicurezza dei dati, ad esempio una cancellazione remota del dispositivo se la sicurezza è compromessa o il blocco da remoto del dispositivo se è a rischio.

Stabilita la collaborazione tra il personale IT e la direzione, c’è ancora del lavoro da fare. Serve trovare il modo migliore per descrivere la policy di sicurezza e comunicarla agli utenti finali: una politica è efficace solo se gli utenti la comprendono e vi aderiscono. L’azienda dovrebbe tenere ben presente chi deve rivedere la policy mobile e verificare che ogni utente che accede ai dati aziendali con un dispositivo mobile abbia letto i documenti necessari e completato la formazione sulla consapevolezza della sicurezza.

Requisiti di autenticazione e best practice

Essendo più soggetti a furti rispetto ai PC, è essenziale garantire che i dispositivi mobile dispongano di solidi requisiti di autenticazione. Le strategie di autenticazione mobile dovrebbero essere le più efficaci, come un minimo di otto caratteri per le password dei dispositivi anziché PIN solo numerici o persino l’autenticazione a due fattori. L’approccio a due fattori potrebbe integrare un passcode con misure aggiuntive, come fattori biometrici, di solito un’impronta digitale o una scansione dell’iride, una verifica della posizione dell’utente o un dispositivo di autenticazione secondario come una carta d’identità o un chip.

Il furto diretto del dispositivo non è l’unico problema. I criminali informatici spesso prendono di mira i dispositivi mobili sulle reti Wi-Fi pubbliche. Poiché queste reti non richiedono alcuna autenticazione, gli hacker possono depredare i dispositivi non protetti collegati a quella rete. Inoltre, alcuni hacker creano le proprie reti Wi-Fi pubbliche che imitano la connessione Internet gratuita di attività commerciali come bar o ristoranti. Le organizzazioni dovrebbero limitare l’accesso al Wi-Fi pubblico non protetto tramite una console di gestione, se possibile, e, come minimo, spiegare questi pericoli agli utenti nella formazione e nella documentazione sulla sicurezza mobile.

Queste best practice possono costituire una solida policy di sicurezza mobile, ma gli amministratori IT devono anche pensare a come applicare i controlli. L’approccio più diffuso all’applicazione delle policy sui dispositivi mobili è rappresentato dalle mobile device management platform (MDM). I fornitori spesso raggruppano queste piattaforme di gestione in offerte più ampie, tipo enterprise mobility management (EMM) e unified endpoint management (UEM).

La maggior parte delle piattaforme EMM e UEM include funzionalità MDM e MAM (mobile application management). Si possono anche prendere in considerazione piattaforme mobile threat defense (MTD), che offrono funzionalità di gestione della sicurezza più avanzate rispetto a MDM o MAM. Alcune piattaforme MTD offrono filtri anti-phishing e antispam, rapporti sullo stato dei dispositivi, scansioni di malware e analisi del comportamento.

Agli amministratori IT il compito di trovare una piattaforma MDM e altre tecnologie di supporto in grado di soddisfare le esigenze di sicurezza e gestione dei dispositivi. Ma poiché è impossibile esaminare tutte le potenziali integrazioni, funzionalità, modelli di licenza e supporto di cui le diverse organizzazioni potrebbero aver bisogno, gli amministratori IT dovrebbero eseguire ricerche di mercato prima di selezionare il prodotto ideale. Ciò potrebbe includere lavorare con demo di prodotti, parlare direttamente con i fornitori e consultare ricercatori indipendenti che valutano le offerte di sicurezza e gestione dei dispositivi mobili.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • News

    Entro il 2030 boom 5G: connessioni attese al 54%

    27 Dic 2023

    di Marta Abba'

    Condividi

  • Sponsored Story

    Visibilità end-to-end per il monitoraggio di infrastruttura e applicazioni: come garantirla?

    08 Set 2023

    Condividi

  • Digital360 Awards

    Un progetto Human-Centred Design per accompagnare la crescita di Bulgari

    05 Set 2023

    Condividi

Prossimo

Entro il 2030 boom 5G: connessioni attese al 54%

Articolo 1 di 4