WELCOME To The Net Ovvero sopravvivere alla rete ed altre storie incredibili
2 Con la grande diffusione di dispositivi mobili smart e servizi cloud, il concetto di perimetro aziendale è diventato sempre più virtuale, tanto da poter confondere su quale sia l effettiva situazione ed i rischi ad essa legati. La gestione di dispositivi mobili (Mobile Device Management) come tablet, smartphone o laptop può essere un tema spinoso per le aziende, in quanto coinvolge la sicurezza e la gestione dei dati sensibili. Un adeguata politica sull utilizzo di tali device può fare la differenza tra una situazione a rischio ed una sicura.
3 A seconda del modello di gestione adottato dall azienda, possiamo distinguere i seguenti casi: COBO: Corporate Owned Business Only COPE: Corporate Owned Personally Nabled BYOD: Bring Your Own Device CYOD: Choose Your Own Device
4 COBO: Il dispositivo viene fornito e manutentato dall azienda ed utilizzato dai dipendenti ai soli fini lavorativi. Approccio tradizionale e più sicuro, che permette un pieno controllo degli accessi e delle funzionalità, favorendo la prevenzione di attacchi informatici, perdite dati ed altri eventi causati da attacchi o incuria dei dipendenti. Sicuramente il metodo più restrittivo ma anche quello più sicuro. VANTAGGI: Riduzione dei costi di manutenzione Riduzione dei rischi SVANTAGGI: Minor libertà dell utente
5 COPE: Il dispositivo viene fornito e manutentato dall azienda ma consente un definito livello di libertà. L utente infatti sarà libero di eseguire configurazioni personali ed utilizzare applicazioni a scopi non lavorativi ma entro i limiti previsti dall azienda; questa policy prevede un certo grado di maturità digitale da parte dell utente ed introduce alcuni rischi derivanti da incuria. VANTAGGI: Riduzione dei costi di aggiornamento Libertà guidata dell utente SVANTAGGI: Rischio di perdita del device Rischio minore di perdita dati
6 BYOD: Il dispositivo personale del dipendente viene utilizzato anche in azienda a scopi lavorativi. Questo approccio libera l azienda dalle spese di acquisto dei device ma il dispositivo contenente le credenziali degli archivi aziendali è a rischio perdita ed esposizione a malware. Vengono messi a contatto due ambiti (personale e professionale) che prevedono livelli di cautela molto diversi e che pertanto spesso viene trattato con poca attenzione. VANTAGGI: Riduzione dei costi di acquisto Riduzione dei costi di aggiornamento Maggior cura del bene SVANTAGGI: Rischio perdita dei device Rischio di infezioni malware Rischio di esposizione dati
7 CYOD: Il dispositivo personale del dipendente viene utilizzato anche in azienda previa autorizzazione. Simile all approccio precedente, con la differenza che il device personale che si desidera utilizzare deve essere autorizzato (e quindi si prevede un minimo controllo); questo non esclude la problematica dello smarrimento o dell infezione, che può avvenire successivamente alla fase di controllo/autorizzazione. VANTAGGI: Riduzione dei costi di acquisto Riduzione dei costi di aggiornamento Maggior cura del bene SVANTAGGI: Rischio perdita Rischio di infezioni malware Rischio di perdita dati
8 Qual è il miglior metodo per gestire i dati? Dispositivi aziendali o personali? Accesso libero o politiche restrittive? Non esiste un miglior approccio universale, la scelta va valutata in base a punti quali le necessità dell azienda, il gruppo di utenti di riferimento (titolari, amministratori, dipendenti ecc.), le misure di sicurezza in atto ecc. Differenti situazioni aziendali prevedono quindi differenti policy, tenendo a mente che è possibile adottare un approccio misto, per rispondere alle differenti necessità di differenti gruppi di utenza.
9 Ci sono alcuni punti che è bene seguire, indipendentemente dalla scelta dei modelli di gestione dei device, per migliorare la sicurezza del nostro patrimonio informativo. Gestire i dispositivi in modo sicuro. L adozione di misure di sicurezza, quali servizi di ritrovamento dei Device smarriti, PIN e password sicure o la possibilità di eseguire cancellazioni remote, aumentano sensibilmente la sicurezza anche con policy meno restrittive.
10 Puntare alla sicurezza di dati ed applicazioni e non solo a quella dei dispositivi. Un device smarrito può essere facilmente sostituito ma se questo comporta l accesso non autorizzato ai dati sensibili, il problema è molto più serio. Precauzioni come dischi criptati e profili protetti da password possono risolvere parzialmente il problema. Separare sfera privata e professionale. App compartimentate, profili diversificati e sistemi che possono permettere di eliminare credenziali e dati aziendali senza compromettere quelli personali sono un buon metodo per affrontare in modo indolore molte situazioni.
11 Mantenere un adeguato livello di sicurezza, evitando eccezioni. Utenti esperti o più anziani spesso godono di eccezioni; se la policy prevede determinati livelli di sicurezza per un particolare gruppo (titolari, amministratori, dipendenti ecc) queste regole non vanno aggirate. Valutare i salvataggi in locale ed il cloud. Permettere il salvataggio di file aziendali su smartphone personali non è mai una buona idea, dato il rischio di smarrimento. Anche la condivisione su spazi meno sicuri e controllati (la classica cartella condivisa su Dropbox) va valutata bene in funzione dei dati condivisi e delle effettive necessità.
Gestione Dispositivi Mobili 12 Investire sulla formazione. L anello debole di un sistema informatico è sempre la componente umana, pertanto formare ed informare il personale può rafforzare la sicurezza più di quanto si possa pensare. Per esperienza diretta si può affermare che il denaro che non viene investito nella formazione e nella manutenzione, prima o poi verrà usato per risolvere problemi.
13 Segmentare la rete. Utenti occasionali, senza privilegi particolari o gli accessi da hotspot, non devono poter viaggiare sullo stesso segmento di rete dove sono collegati server, NAS, impianti di videosorveglianza ecc. Gestire bene firewall. Un firewall ben popolato ed aggiornato, dovrebbe essere in grado di proteggere almeno parzialmente la rete da accessi non previsti o da attacchi informatici.