18/03/2013 di Redazione

Byod, sì o no? I consigli per chi è indeciso

Secondo un report di Arbor Networks, oltre il 62% delle imprese consente ai dipendenti di usare device personali sulla rete dell’organizzazione, ma una su quattro non utilizza alcun sistema di monitoraggio. Come decidere se passare al bring your own devic

immagine.jpg

Il 63% delle aziende del mondo ha già aperto le sue porte ai personal device dei dipendenti, ma una fetta significativa, circa un quarto, lo ha fatto senza preoccuparsi di mettere in campo la più basilare delle misure di protezione, quale il monitoraggio della rete aziendale con strumenti in grado di indentificare minacce o violazioni. E appena un 13% delle realtà ricorre a strumenti di controllo o blocco di siti e applicazioni social, potenziali varchi per far entrare nella rete aziendale malware o attacchi di vario tipo.

I dati provengono dall’ultimo report annuale di Arbor Networks, relativo al 2012, in materia di sicurezza delle infrastrutture aziendali: 193 le imprese Ict  intervistate tra Stati Uniti, Canada, Europa, Asia, Medio Oriente, Africa e Oceania. In tema di Byod, lo scenario emerso è contraddittorio, perché da un lato la maggioranza (63%) delle realtà ha già accettato questa “naturale conseguenza” dell’evoluzione mobile portata nel contesto lavorativo, ma dall’altro gli strumenti adottati per contenere il rischio It sembrano insufficienti.

Byod sì o byod no, dunque? Sul tema è interventuo Dick Bussiere, solution architect di Arbor Networks, riassumendo in quattro punti le considerazioni che, a suo dire, ciascuna azienda dovrebbe analizzare in via preliminare, prima di decidere l’eventuale integrazione del bring your own device all’interno delle proprie dinamiche di gestione It e di business.

Alcuni dati dell'Arbor Annual Worldwide Infrastructure Security Report

 
La rapida adozione di tablet, smartphone e altri dispositivi mobili da parte dei consumatori dà vita a una nuova sfida per le divisioni It delle aziende. Questo fenomeno, denominato bring your own device, si traduce nella richiesta (e nella aspettativa) di accesso a posta elettronica, Intranet, database, sistemi Crm e altri servizi corporate da parte dei proprietari di questi dispositivi. L'introduzione di questi apparecchi personali determina una serie di nuovi rischi che devono essere necessariamente mitigati senza che l’It possa intervenire sulla gestione o configurazione dei dispositivi stessi.

L'incessante proliferazione del modello byod all'interno delle aziende pone al contempo problematiche e opportunità sia per i datori di lavoro sia per i dipendenti. Secondo quanto emerso recentemente dalla ottava edizione dell'Arbor Annual Worldwide Infrastructure Security Report, oltre il 62% delle imprese intervistate consente ai propri dipendenti di utilizzare dispositivi personali sulla rete aziendale; tuttavia, solo la metà permette invece l’uso di servizi cloud pubblici per sincronizzare i dati tra i dispositivi aziendali e quelli personali.

L'analisi rivela come le aziende si stiano affidando a una varietà di metodi per monitorare e rilevare i dispositivi personali; tra le tecniche più diffuse vi sono i “sistemi per il controllo dell'accesso alla rete”, la “posture assessment basata su host” e i “sistemi di monitoraggio flow-based”. Allarmante, invece, il dato per il quale nel 25% dei casi non sono stati implementati sistemi o soluzioni a riguardo.

Se è vero che molto è stato scritto per aiutare e guidare le divisioni It nella gestione di questa nuova tendenza, è altrettanto reale la condizione di disorientamento delle imprese rispetto alle valutazioni che vanno compiute prima di procedere all’implementazione del modello byod. Per esempio, i responsabili It devono considerare una serie di elementi quali il controllo delle applicazioni e dei dispositivi, l'ottimizzazione dei livelli di sicurezza, la gestione e l'applicazione delle policy e la visibilità delle applicazioni.

Spesso, comunque, la priorità riguarda la sicurezza. Come è possibile per un’impresa proteggere un’infrastruttura se non possiede tutti i dispositivi mobili che si collegano alla rete? Come può applicare le policy basate su location, orario e altri criteri per il controllo di questi dispositivi consumerizzati? Come può mitigare il rischio di attacchi Distributed Denial of Service (DDoS) in un ambiente aperto di questo genere? Prima di implementare il modello byod vi sono quattro elementi che andrebbero considerati.

L’impatto sulle policy di sicurezza esistenti
L’impatto che il modello byod produce sulle infrastrutture e sulle policy di sicurezza esistenti deve essere oggetto di attento esame, e di conseguenti adattamenti laddove necessario. Rischi in passato ininfluenti devono trovare adesso la giusta valutazione alla luce dell'impiego dei dispositivi di proprietà dei dipendenti.  Alcuni esempi di rischio: lo smarrimento del dispositivo, una configurazione non corretta, l’installazione di app pericolose, e l’uso del dispositivo da parte di terzi diversi dal dipendente stesso.

Un piano di sicurezza valido necessita di una strategia che sia in grado di tutelare la confidenzialità, l'integrità e disponibilità, i tre elementi che vengono più spesso definiti come il “triangolo della sicurezza”. Per garantire l'integrità l'It deve creare diverse aree sicure basate su firewall a filtraggio dinamico per applicare policy di sicurezza e di utilizzo della rete. L’introduzione del modello byod può comportare una ridefinizione di tali aree, assegnando per esempio al byod le policy di accesso più rigide. La confidenzialità può essere difesa in modi diversi: con l’uso della crittografia, di tecniche di autenticazione a due fattori e di policy di sicurezza attentamente studiate. I dati aziendali sensibili memorizzati su un dispositivo personale devono essere crittografati ed è essenziale implementare dei sistemi preposti alla cancellazione delle informazioni corporate in caso di smarrimento o sottrazione del dispositivo. Quando i dati aziendali vengono consultati attraverso reti non sicure, il consiglio è quello di fare leva su connessioni crittografate.

Un altro aspetto che caratterizza il modello byod è che i dipendenti si aspettano che i servizi delle proprie aziende siano sempre e comunque accessibili; per questo la disponibilità delle risorse deve essere assicurata attraverso l'implementazione di soluzioni Idms (Intelligent DDoS Mitigation System). Un attacco DDoS mira a interrompere la disponibilità di un servizio verso gli utenti che lo stanno adoperando; in questo caso il servizio corrisponde al dispositivo personale del dipendente. Questo genere di minacce richiede un meccanismo di difesa diverso, incentrato sulla mitigazione piuttosto che sull’isolamento. Il blocco del traffico spesso completa l’obiettivo di un attacco DDoS isolando totalmente la risorsa colpita e rendendola inaccessibile agli utenti autorizzati. Le minacce DDoS vengono mitigate grazie all'analisi euristica dei modelli di traffico e tramite l’attenta ispezione dei dati di pacchetto. Il traffico sospetto viene scartato.

Policy di rete location-aware
In un mondo di tipo byod è necessario concentrarsi su policy di rete location-aware. In particolare occorrono policy basate sulla rete che intensifichino l'effetto di quelle applicate a livello di dispositivo. Una policy di rete location-aware cambia in base a dove si trova il dispositivo. Solo a questo punto si può dare risposta ai seguenti quesiti: quali risorse e quali dati possono essere consultati dai dispositivi mobili a seconda della loro posizione? Come si possono porre limitazioni di accesso ai dati durante specifici momenti del giorno? Come si possono controllare i dati che transitano sui dispositivi mobili sia a livello di rete aziendale, sia in remoto?

Controllo degli accessi alla Intranet
L’It deve avere la capacità di controllare quali dispositivi mobili possono accedere alla Intranet autenticandoli in maniera appropriata. Allo scopo vengono adoperate varie tecnologie di Network Access Control. Quando parliamo di byod, la soluzione deve funzionare senza l'installazione di client sui dispositivi personali; su questi ultimi devono essere applicate le policy di rete vigenti, a prescindere dal sistema operativo o dal proprietario. I dispositivi che non possono essere autenticati in rete vengono posti in quarantena. In alcuni casi l’implementazione byod può stabilire policy di accesso anche più rigide rispetto a quelle previste per le apparecchiature corporate, per la semplice ragione che i dispositivi personali non sono così fidati e sicuri come quelli gestiti direttamente dall'azienda.

Visibilità su rete e applicazioni
Le divisioni It necessitano di visibilità sui flussi di traffico e sull’utilizzo della applicazioni, e devono definire delle regole di traffico a livello della rete interna con l’obiettivo di rilevare e comprendere le attività normali e quelle atipiche. I modelli di flusso dei dati su base device-by-device consentono di scoprire se un dispositivo mobile stia cercando di accedere a dati autorizzati o se stia tentando di trasferirli verso destinazioni non autorizzate. La capacità di identificare attività potenzialmente nocive assume un’importanza ancora maggiore nel momento in cui sono presenti elementi byod non gestiti. La visibilità sull’attività di rete è l’unico modo per rilevare questo genere di situazioni.




In conclusione
Alla luce di un ambiente "sempre connesso" come quello proposto dal modello byod, la disponibilità assume una valenza critica. L’utente finale porta costantemente con sé il dispositivo mobile aspettandosi servizi e applicazioni sempre e comunque accessibili e disponibili. È pertanto fondamentale che i responsabili It delle aziende tengano conto di questi end point e modelli di utilizzo non tradizionali durante la progettazione non solo della rete enterprise, ma anche dei servizi cloud based e di tutte le relative interazioni.

Adottare un approccio difensivo a livelli che vada in profondità rappresenta, come per qualsiasi altra sfida di sicurezza, la tecnica migliore. Per garantire la disponibilità dei dati e dei servizi critici, la rete deve essere tutelata non solo nell’ambiente aziendale stesso ma anche nella dorsale del service provider e nel data center.


scopri altri contenuti su

ARTICOLI CORRELATI