Mobile Device Management & BYOD. Gabriele Pellegrinetti gpellegrinetti@tecnetdati.it

Transcript

1 Mobile Device Management & BYOD Gabriele Pellegrinetti 1

2 Agenda Terminologia L introduzione di mobile device in azienda Perché serve BYOD Problematiche di sicurezza e privacy Alcune linee guida Possibile soluzione BYOD 2

3 Nuovi termini... Vecchi problemi Alcuni anni fa i dipendenti delle aziende iniziarono a portare i propri PC in ufficio e ad utilizzarli sul posto di lavoro --> si parlava di BYOC o BYOPC; Successivamente iniziarono ad utilizzare le proprie "chiavette" internet per accedere alla rete e per "superare" i firewall aziendali --> si parlava di BYON; Oggi i dipendenti usano, con o senza il consenso dell'azienda i propri smartphone, tablet, ebook reader, media player... E li connettono alla rete aziendale --> si parla di BYOD; L'acquisto, in massa, di dispositivi informatici da parte dell'utente e il loro utilizzo, anche in ambiente lavorativo, prende il nome di IT Consumerization; Oggi, la maggior parte degli esperti, considera BYON come parte integrante di BYOD; Le pratiche utilizzate dalle aziende per l'implementazione di BYOC non sono più sufficienti per BYOD. 3

4 Introduzione di mobile device in azienda Le aziende possono adottare diverse strategie per l'introduzione e l'utilizzo di mobile device sul luogo di lavoro: dispositivi di proprietà dell'azienda; dispositivi di proprietà dell'utente utilizzabili sul luogo di lavoro (BYOD); un approccio ibrido fra i due precedenti. Gli strumenti, le best practices, le tecnologie atte a gestire i mobile device, sono gli stessi sia nel caso di dispositivi di proprietà dell'azienda che nel caso di dispositivi di proprietà dell'utente. Quello che cambia sono le policy da applicare. 4

5 BYOD... No grazie Molte aziende non si sentono pronte per BYOD e decidono di utilizzare solo dispositivi di proprietà Quindi: non prevedono l'introduzione di BYOD; Posticipano ad un tempo futuro l'introduzione di BYOD; dicono di non fare BYOD. FALSO!!!! Tutte le aziende, solo per il fatto che gli utenti possano introdurre al loro interno device di loro proprietà, sono soggette all'applicazione di alcune pratiche BYOD; nella realtà, le aziende, fanno BYOD in modo inconsapevole. 5

6 BYOD i 2/3 degli impiegati lo fa Da un'analisi emerge che il 55% degli impiegati europei utilizza regolarmente dispositivi personali per scopi di lavoro; in Italia lo fa il 67%. i device utilizzati? 36% dei casi si tratta di iphone; 24% di altri smartphone (android in primis); per il 23% sono ipad; e i restanti sono BlackBerry. 6

7 Perché è necessario considerare alcune pratiche BYOD Se all'utente è consentito introdurre i propri device in azienda, potrebbe: trovare il modo di connettere il proprio device al WI-FI aziendale; connettere il device alla porta USB del PC di lavoro per ricaricare le batterie; connettere il device alla porta USB del PC di lavoro per fare vedere al collega le ultime foto scattate al figlioletto; connettere il device al PC di lavoro per trasferire dati e documenti; utilizzare il device per connettere il PC di lavoro ad Internet in modo da superare eventuali blocchi del firewall; sproteggere il dispositivo (jailbreak o rootacces) sia di proprietà che aziendale;... Ognuna di queste pratiche è una violazione alla sicurezza aziendale in quanto avvengono all'interno del perimetro della stessa e possono aprire delle vie di comunicazione non controllate con l'esterno. Gestire queste problematiche fa parte di BYOD. 7

8 In ogni caso, sia con device aziendali che con BYOD si corre il rischio di perdere il controllo 8

9 Cosa serve per gestire i dispositivi Indipendentemente dall'utilizzo di dispositivi aziendali e/o personali, questi devono essere gestiti: stesura di un manuale "etico" per l'utilizzo dei dispositivi; formazione degli utenti sui rischi di sicurezza legati all'utilizzo dei dispositivi; gestione di un repository dei dispositivi e delle applicazioni; gestione delle policy di sicurezza, aggiornamento,... introduzione di sistemi di rilevamento (IDS) di violazione alla sicurezza; introduzione di un processo per lo sviluppo di applicazioni sicure (sia web che native); introdurre un processo di testing delle applicazioni e delle configurazioni da eseguire prima della loro propagazione sui device (complementare al normale processo di testing); introdurre sistemi di mobile security (antivirus, antimalware, antiintrusion,...); introdurre un processo di data & disaster recovery. 9

10 Un manuale etico... Soldi sprecati? E la formazione sulla sicurezza? Poche aziende hanno un manuale etico per l'utilizzo dei sistemi informativi... Anche se "suggerito" dalle normative; la tecnologia non può "risolvere" tutti i problemi di sicurezza relativi ai mobile device; è quindi necessario istruire l'utente: sui comportamenti da adottare quando si usa un dispositivo aziendale al di fuori dell'azienda; sui comportamenti da adottare quando si introducono dispositivi personali in azienda; quali sono i principali rischi di sicurezza; cosa può accadere se si adottano comportamenti errati; quali sanzioni sono previste dalla legge; come evitare di "compromettere" il proprio dispositivo e/o i sistemi aziendali;... 10

11 Introduzione di un reporitory In azienda lavorano utenti: con ruoli differenti; che hanno esigenze di mobility differenti; che richiedono applicazioni differenti. Un'azienda può: fornire lo stesso device con configurazioni differenti a seconda del ruolo dell'utente; fornire device differenti a seconda del ruolo dell'utente; usare soluzioni ibride. È quindi necessario: avere un censimento dei dispositivi; avere un censimento delle applicazioni disponibili; avere un censimento delle configurazioni (intese come applicazioni e settings); gestire le associazioni profilo-device-configurazione; gestire l'upgrade controllato dei firmware, dei settings, delle applicazioni,.. gestire le policy di utilizzo dei dispositivi. Serve quindi un repository per il Mobile Device Management. 11

12 Le policy di sicurezza L'utilizzo di un dispositivo deve essere gestito tramite policy: sul dispositivo; a livello di rete aziendale. Le policy definiscono cosa è consentito o meno: a seconda del profilo dell'utente; a seconda del dispositivo utilizzato; a seconda della connessione utilizzata (3g personale, 3g aziendale, wifi,...); a seconda del perimetro (sono connesso alla rete aziendale, sono a casa,...); Cosa devono controllare: le applicazioni consentite e quelle vietate; le risorse a cui è possibile accedere; i servizi web consentiti;... Non tutte le policy sono implementabili con strumenti di MDM... È necessario integrare tali strumenti con altri (firewall, IDS,...) 12

13 Le tecnologie In ambito mobile non esistono tecnologie universali; se un vendor dice che il suo prodotto può gestire ogni aspetto di BYOD e MDM... Mente spudoratamente; un'azienda deve selezionare, in base ai requisiti presenti e futuri, la/le tecnologie più adatti per: implementare i repository; gestire le policy "interne" ai dispositivi; gestire le policy a livello di rete; rilevare le intrusioni; gestire l'installazione automatica del software e degli upgrade; 13

14 Sviluppo di applicazioni sicure I device mobile non sono sicuri; quando viene individuata una vulnerabilità, se va bene, viene risolta con il rilascio della nuova versione del firmware (1-3 rilasci l'anno); spesso le nuove release del firmware non supportano i device più vecchi (un device ha una vita media di un anno); le aziende devono, quindi, provvedere ad evitare che le applicazioni da esse sviluppate possano essere soggette a vulnerabilità; un'applicazione non sicura "apre" le porte dell'azienda a eventuali attacchi; devono quindi essere adottate: best practices per lo sviluppo di applicazioni mobili sicure; test di verifica della qualità del codice per escludere o minimizzare la presenza di falle (injection, XSS,...). 14

15 Un nuovo processo di testing Le configurazioni (firmware, setting, policy, applicazioni,...) devono essere testate prima della propagazione sui dispositivi: test di corretto funzionamento; verifica di presenza di incompatibilità con la versione del firmware o con altre applicazioni; verifica di cosa fa realmente l'applicazione (per le applicazioni acquistate o di terze parti): accedono a funzioni non dichiarate (gps, contatti, fotocamera,...)? si connettono a server o servizi esterni di cui non necessitano? trasmettono o memorizzano dati riservati senza consenso?... gli strumenti da utilizzare richiedono nuove competenze: analisi dei pacchetti di installazione; analisi a runtime dei folder delle applicazioni; sniffing del traffico dati fra il dispositivo e la rete;... ovviamente queste attività devono essere fatte su un apposito ambiente di test e non sui dispositivi assegnati agli utenti (è illegale senza il loro consenso). 15

16 Il mobile è il nuovo vettore di attacco utilizzato per violare la sicurezza delle aziende 16

17 Utilizzo di strumenti di mobile security Gli attacchi su mobile, spesso portati a buon fine grazie all'installazione di malware sui dispositivi sono in aumento. Compromettere un device vuol dire compromettere la rete a cui esso è connesso. È indispensabile introdurre in azienda strumenti per l'individuazione di malware e altre minacce. Attacchi riusciti su mobile device nel 2012 Distribuzione del malware (fonte ESET) 17

18 Data & disaster recovery La creazione di una corretta configurazione dei device e le politiche di sicurezza adottate, non possono nulla contro eventi inattesi come: il guasto del dispositivo; il danneggiamento di dati e configurazioni dovuti a cadute di rete, di tensione, scaricamento delle batterie (es. durante un upgrade); allo stesso modo, un'attaccante potrebbe modificare dati e configurazioni sul dispositivo in modo da garantirsi l'accesso alla rete. È quindi opportuno attuare un processo di data e disaster recovery che consenta: il backup dei dati importanti memorizzati sul dispositivo; il backup dell'ultima installazione/configurazione valida; il ripristino del dispositivo all'ultima configurazione stabile; la gestione della sicurezza del repository e dei dati in esso contenuti con ripristino dello stesso in caso di violazioni (se il repository viene violato... Tutti i dispositivi sono violati);... 18

19 Schema, ad alto livello, di una soluzione MDM per dispositivi aziendali e/o BYOD Processo di governance! 19

20 Grazie per l'attenzione 20