whitepaper: attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo
TRANSCRIPT
Attenzione ai dati: sei modi in cuipotresti perdere i dati mobili senzaneanche saperlo
CIO, CISO, VP IT Operations, Mobile Architect, Mobile ProgramManager. Questo documento esamina brevemente le sei principaliminacce per il personale che utilizza dispositivi mobili, associando irischi reali a metodi realmente utili da adottare per ottenere lasicurezza necessaria all'azienda.W
HITE PA
PER:
ATTENZIO
NE A
I DATI: SEI M
OD
I IN C
UI
POTR
ESTI PERD
ERE I D
ATI MO
BILI
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contenuti
Introduzione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1. Smarrimento e furto dei dispositivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2. Perdita di dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
3. Malware e attacchi malevoli. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
4. Dispositivi e password condivisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
5. Jailbreaking e rooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
6. Intercettazioni Wi-Fi e wireless. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo
Introduzione
Se i tuoi dipendenti utilizzano dispositivi mobili, il tuo business ne risentirà negativamente?
I dispositivi mobili che i dipendenti amano usare nel loro tempo libero ora sono diventati anche importanti strumenti di lavoro. Una
nostra recente ricerca lo conferma: il 65% delle aziende intervistate fornisce ai dipendenti l'accesso alla rete tramite dispositivi
personali, l'80% delle applicazioni che questi dipendenti utilizzano non sono basate on-premise, ma nel cloud e il 52% utilizza
normalmente non uno, ma tre o più dispositivi.
Certamente, questi dispositivi mobili – smartphone, portatili e tablet – aprono nuove opportunità di produttività. Ma proprio per la loro
natura mobile aprono anche la strada a nuove vulnerabilità: nuovi modi di perdere dati, protezione e fiducia nella sicurezza della rete
aziendale.
Fortunatamente, produttività e protezione possono andare di pari passo, a condizione che si comprenda quali sono i rischi e cosa si può
fare per mitigarli. Questo documento esamina brevemente le sei principali minacce per il personale che utilizza dispositivi mobili,
associando i rischi reali a metodi realmente utili da adottare per ottenere la sicurezza necessaria all'azienda.
1. Smarrimento e furto dei dispositivi
Il rischio più ovvio viene spesso risolto con la risposta più ovvia: prevedere la sostituzione dei dispositivi smarriti. Tuttavia molti
dispositivi di lavoro sono di proprietà dei dipendenti stessi: si tratta del fenomeno "bring your own device", ovvero l'utilizzo dei dispositivi
personali in azienda. Inoltre, ciò che è veramente importante è il contenuto del dispositivo, non il dispositivo stesso. Ciascun dispositivo
smarrito è un potenziale portale di accesso alle applicazioni e ai dati aziendali.
Pensi che stiamo esagerando? Nel 2012, abbiamo verificato i nostri timori. In un progetto che abbiamo denominato "Operation Honey
Stick", abbiamo "smarrito" dieci smartphone in ciascuna di cinque importanti città americane: Los Angeles, San Francisco, Washington
D.C., New York City e Ottawa in Canada. Ciascun telefono conteneva dati e applicazioni aziendali finti ed è stato abbandonato in zone
molto trafficate.
Il lato positivo da sottolineare è che per almeno la metà dei 50 telefoni sono stati fatti tentativi di restituzione. Il dato però mette subito
in luce anche il lato negativo della natura umana. Nell'89% dei dispositivi si è tentato di accedere ad app o dati personali, e questo lascia
pensare che anche le persone con le migliori intenzioni siano state tentate di fare qualcosa di poco lecito. Un totale dell'83% ha mostrato
tentativi di accedere ad app e dati aziendali. Un file denominato "password salvate" è stato aperto sul 57% dei telefoni, nel 49% dei casi
coloro che hanno trovato il telefono hanno provato una app "Remote Admin" che simulava l'accesso alla rete aziendale.
Abbiamo capito: invece di focalizzare l'attenzione sui dispositivi smarriti, le aziende devono proteggere i dati sensibili che potrebbero
andare potenzialmente perduti. La gestione di base dei dispositivi deve essere integrata da policy per la protezione di app e dati. A un
certo livello, ciò implica la capacità di individuare rapidamente i dispositivi smarriti ed eseguire il wipe dei dati in modalità remota; per
una protezione più avanzata, le aziende devono proteggere le app e crittografare i dati aziendali mobili.
2. Perdita di dati
Molto è stato detto sulle minacce del "personale interno malintenzionato" che deliberatamente cerca e condivide informazioni aziendali
riservate. Ma la minaccia principale può arrivare dai dipendenti benintenzionati che utilizzano servizi basati sul cloud, come e-mail e
strumenti di collaboration online, per lavorare di più e con maggiore rapidità. Nel percorso in continua evoluzione verso una sempre
maggiore facilità d'uso (noto anche come "consumerizzazione"), i dipendenti si sentono a loro agio lavorando con applicazioni progettate
per la praticità dei consumatori, non per rispondere ai timori correlati alla sicurezza delle aziende.
Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo
1
Ma una volta nel cloud, i tuoi dati aziendali possono essere al di fuori del tuo controllo. I programmi di condivisione dei file e modifica dei
documenti più usati solitamente non sono dotati dei protocolli di accesso e autorizzazione di cui necessitano le aziende per la protezione
dei dati. Senza controlli ben ponderati, i dati possono "fuoriuscire" dall'ambito IT aziendale per finire in un mondo di rischi molto meno
sicuro
Una protezione di app e dati appropriata deve adottare un duplice approccio alla sicurezza: 1) una blacklist di applicazioni che vieta
l'accesso alle applicazioni non approvate, e 2) l'implementazione di controlli che impediscano operazioni di copia, incolla e/o
condivisione dei dati tramite le applicazioni online.
Le funzionalità di protezione di app e dati appropriate includono:
• Autenticazione specifica per ciascuna app
• Crittografia dei dati
• Blocco delle operazioni di copia/incolla
• Disattivazione della condivisione dei documenti
• Blocco dell'accesso ai dispositivi modificati (rooted o jail-broken)
3. Malware e attacchi malevoli
In stime reali, un numero molto più elevato di attacchi di malware minacciano i PC rispetto ai dispositivi mobili. Ma la quantità di
attacchi a questi ultimi sta aumentando a un ritmo decisamente superiore. Mentre i professionisti IT tradizionali non prestano molta
attenzione al malware mirato ai dispositivi mobili, i malintenzionati vedono l'ambito mobile come la prossima grande opportunità di
espansione.
A rischio: furto di identità, esposizione di informazioni e perdita di dati causate da attacchi malevoli di Trojan Horse, monitor e malware
in continua evoluzione. Di questi, la minaccia principale può essere costituita dalle app "ingannevoli": camuffate da videogioco o
applicazione nota e con l'esca del download gratuito, queste app introducono codice malevolo nel dispositivo che può sottrarre denaro
dai conti correnti o estrarre dati dalle reti aziendali.
Il cosiddetto freeware di "sicurezza" manca delle funzionalità e dell'efficacia necessarie per affrontare il malware in continua evoluzione
e i continui sforzi di violazione delle barriere aziendali. Una protezione realmente efficace dalle minacce deve tenere conto delle
mutazioni nel profilo di rischio tra le diverse piattaforme e applicare un'azione coordinata per proteggere le risorse aziendali contro
attacchi esterni, app contraffatte, navigazione non sicura e persino l'utilizzo inefficace della batteria.
4. Dispositivi e password condivisi
Secondo studi pubblicati di recente, quasi la metà di tutti i dipendenti condivide i propri dispositivi con amici e familiari, mentre un altro
20% condivide le proprie password. Purtroppo, la condivisione disinvolta di account è la causa della maggior parte delle violazioni di
sicurezza.
La protezione dei dispositivi mobili è molto di più della semplice applicazione di un blocco schermo. Prima che gli utenti possano
accedere a dati e applicazioni aziendali, può essere prudente autenticare le loro identità. Valuta l'applicazione dell'autenticazione a due
fattori – aspetto chiave per una gestione corretta dell'accesso di utenti e app, e la protezione di app e dati – che combina qualcosa che è
noto all'utente (come una password) con qualcosa in possesso dell'utente (come un token, un'impronta digitale o una scansione della
retina).
Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo
2
5. Jailbreaking e rooting
In un mondo BYOD, è facile che un dipendente introduca un dispositivo "jail-broken"/"rooted" nell'ambiente aziendale. Queste modifiche
ai dispositivi possono eludere i protocolli di sicurezza, disinstallare le funzionalità di sicurezza e dare accesso a file system e controlli
dati precedentemente protetti.
Le aziende devono applicare policy di gestione dei dispositivi che applicano standard di configurazione e sicurezza coerenti su tutti i
dispositivi, siano essi aziendali o personali. Per proteggere la rete aziendale, i dispositivi modificati devono essere identificati e il loro
accesso alla rete aziendale deve essere negato.
6. Intercettazioni Wi-Fi e wireless
Se è "gratis", è probabilmente una truffa: qualsiasi hotspot che dichiara di essere "gratuito" è probabilmente un punto di osservazione di
dati in movimento. Gli utenti spesso non percepiscono la propria vulnerabilità, e le aziende non hanno alcun controllo o visibilità sui
canali 3G, 4G e 4G LTE.
Policy di gestione complete di app, dati e dispositivi devono proteggere a due livelli:
• Comunicazione, come le e-mail aziendali, tramite connessioni SSL o VPN protette
• Crittografia dei dati aziendali quando sono in transito o a destinazione sui dispositivi mobili
Per saperne di più sull'enterprise mobility che offre protezione completa senza compromettere l'esperienza utente, visita
http://www.symantec.com/it/it/products-solutions/solutions/?parent=mobile.
Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo
3
Informazioni su Symantec
Symantec protegge le informazioni in tutto il
mondo ed è un leader mondiale nelle soluzioni per
la sicurezza, il backup e la disponibilità. I nostri
prodotti e servizi innovativi proteggono le persone
e le informazioni in qualsiasi ambiente, dal più
piccolo dispositivo mobile, al data center
aziendale, ai sistemi basati sul cloud. Le nostre
competenze ampiamente riconosciute nella
protezione dei dati, delle identità e delle
interazioni garantiscono ai nostri clienti la
sicurezza in un mondo connesso. Ulteriori
informazioni sono disponibili su www.symantec.it
o contattando Symantec su go.symantec.com/
socialmedia.
Per informazioni sui
contatti in ogni specifico
paese, visita il nostro sito
Web.
Symantec Italia
Via Rivoltana 2/D
20090 Segrate (MI)
ITALY
www.symantec.it
Copyright © 2013 Symantec Corporation. Tutti i dirittiriservati. Symantec, il logo Symantec e il logoCheckmark sono marchi o marchi registrati diSymantec Corporation o delle sue consociate negliStati Uniti e in altri paesi. Altri nomi possono esseremarchi dei rispettivi proprietari.3/2013 21283507
Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo