Prova

11
Mar

Mobility: regole per la sicurezza.

Oggi molte persone utilizzano tablet, smartphone e altri dispositivi mobili che contengono una gran mole di dati inerenti il proprio lavoro (liste contatti, password account, e-mail con allegati, ecc.). Nonostante la mobility risulti essere un enorme vantaggio per il business, nella maggior parte dei casi questi dispositivi non sono sicuri, mettendo a rischio le reti e i dati delle proprie aziende. 

Questo rischio può essere ridotto stabilendo policy di sicurezza delle informazioni che riguardano sia i dispositivi mobili personali sia quelli di proprietà delle aziende. 

I rischi per il business.

Quando un dispositivo mobile viene preso o rubato, tutti i dati confidenziali che contiene sono in pericolo: in materia, la legge richiede alle aziende di informare gli individui che le informazioni riservate possono essere trafugate e i dipendenti che violano le normative industriali possono incorrere in pesanti sanzioni.

Un numero crescente di persone, comunque, si avvale di tablet e smartphone per accedere alle più comuni applicazioni business (e-mail, instant messaging, database aziendali, CRM, ecc); e non è detto che i rischi provengano da applicazioni messe a disposizione direttamente dalle aziende: molti dipendenti, infatti, si avvalgono delle applicazioni disponibili gratuitamente sul web anche per svolgere compiti strettamente inerenti il proprio lavoro. 

Per non parlare poi della molteplicità di connessioni disponibili: wireless, bluetooth possono essere usati dagli hacker per recuperare dati sensibili da sfruttare o “rovinare”. 

Policy di sicurezza.

Per tenere sotto controllo questi rischi, le aziende devono definire quali dispositivi mobili sono permessi e in che circostanze. Dovrebbero essere imposti limiti sull’accesso alle applicazioni e alla rete, alla memorizzazione e al trasferimento dei dati business. Tutto ciò dovrebbe essere regolamentato da un documento che potrebbe contenere differenti sezioni.

1. Obiettivo: identificazione dell’azienda, del tipo di business e dello scopo della policy in redazione.

2. Proprietà e autorità: identificazione di chi si occupa della creazione della policy e della sua manutenzione (team di sviluppo), chi si occupa del controllo della policy e della sua applicazione (team di conformità) e chi è responsabile della sua approvazione (team depositario della policy).

3. Portata: identificazione degli utenti/gruppi e dei dispositivi che devono aderire alla policy; catalogazione delle tipologie di dispositivi mobili consentiti e delle versioni minime di sistemi operativi permesse.

4. Valutazione del rischio: identificazione dei dati e delle comunicazioni business coperte dalla policy; per ogni tipologia di dato o comunicazione, identificazione dei rischi e delle minacce che potrebbero avere effetti sul business.

5. Misure di sicurezza: identificazione delle misure e delle pratiche di sicurezza necessarie comprese

  • attivazione dell’autenticazione per controllare l’uso dei dispositivi persi o rubati
  • crittografia di file/cartelle per impedire la rilevazione non autorizzata dei dati
  • backup e restore per proteggersi dalla perdita dei dati business o dal loro danneggiamento
  • comunicazione sicura per arrestare l’intercettazione e l’accesso backdoor alla rete
  • firewall mobili per inibire gli attacchi wireless contro i dispositivi
  • antivirus mobile e ID per rilevare e impedire la compromissione del dispositivo.

6. Uso consentito: definizione delle politiche di adesione al documento, comprese procedure di registrazione del dispositivo, download software sicuri e installazione.

7. Processo di deployment: definizione delle procedure di implementazione della policy.

8. Auditing e obblighi: definizione di tool specifici per la verifica della conformità di utilizzo dei dispositivi.