L’eccessiva libertà è fonte di insicurezza: una sentenza sicuramente applicabile al mondo dei dispositivi mobili, o meglio di quei dispositivi di proprietà dei dipendenti stessi, oppure concessi loro in dotazione dalle aziende. Secondo un’indagine realizzata a maggio da AstraRicerche per conto di Symantec, l’approccio italico al bring your own device rischia di annullarne i vantaggi con un pesante pedaggio in termini di data loss e attacchi informatici. I motivi? Mancano le regole, o quando ci sono non vengono rispettate. Un vecchio leitmotive italiano, evidentemente applicabile anche al mondo dell’ICT, e dal quale siamo ancora in tempo a riscattarci.
Fra i 1.062 intervistati, dipendenti o collaboratori di aziende italiane (da 100 a oltre 2.500 addetti), poco più della metà, il 54,2%, ha ricevuto richiesta di installare un software antivirus sul proprio dispositivo personale o su quello concesso in dotazione, e solo nel 37,1% dei casi con l’obbligo di tenerlo aggiornato. Una parte di coloro che sono lasciati liberi di decidere sceglie di sua iniziativa di affidarsi a un antivirus, ma un buon 28,1% evita di scaricarlo o, se lo fa, dimentica di eseguire gli update.
Ancora più sconfortanti sono i dati sulle regole di utilizzo del device imposte (o meglio non imposte) ai dipendenti: a poco più di un quarto dei lavoratori (25,9%) viene richiesta l’impostazione di una password a salvaguardia dei dati in caso di furto o smarrimento, mentre appena il 15,2% del campione è stato invitato a non consentire l'uso dello smartphone o del tablet ad altre persone. Di male in peggio, appena un decimo (10,4%) delle oganizzazioni si preoccupa di proibire il salvataggio di dati relativi al business sui dispositivi mobili.
Completano un quadro dominato da policy troppo poco restrittive i risultati relativi all’installazione di app mobili. Una pratica quasi imprescindibile dal possesso di uno smart device, e che nel 56,7% dei casi non è assoggettata a nessun limite; solo il 18,1% delle aziende vieta l’aggiunta di applicazioni al sistema rispetto a quelle eventualmente preinstallate, mentre il 15% dei dispositivi viene configurato in modo da impedirlo.
Symantec sottolinea come l’installazione di app sui dispositivi mobili possa comportare dei rischi. Circa un terzo degli intervistati (38% in relazione a device di proprietà e 30,9% per quelli concessi in utilizzo dall’azienda) è solito scaricare applicazioni anche dagli store non ufficiali, e in certi casi, rispettivamente 9% e 16%, è disposto a eseguire il jailbreak per rimuovere eventuali limitazioni del sistema e installare l’elemento desiderato.
“Il ricorso ad app store non ufficiali e il jailbreak – ha commentato Marco Bavazzano, director security strategist, Southern region di Symantec – sono i due principali varchi che aprono la strada a minacce e malware sui dispositivi mobili”.
“La maggior parte delle aziende – gli fa eco Antonio Forzieri, security practice manager, technology sales organization Italia – non ha stilato delle policy per regolare l’utilizzo dei dispositivi mobili da parte dei dipendenti. In alcuni casi, invece, si tenta di estendere le regole relative ai dispositivi desktop anche a quelli mobili, senza tener conto delle necessità specifiche di questo secondo ambito”.
Dalla scarsa prevenzione del rischio informatico al danno compiuto, il passo è breve. Di fronte all’evidenza di un guasto, di una violazione, di un furto o dello smarrimento del dispositivo, le reazioni dei singoli risentono, ancora una volta, dell’insufficienza di indicazioni precise da parte delle aziende. Nonché di una propensione, molto italiana a dire il vero, verso l’arte di arrangiarsi.
Il fai-da-te è l’approccio prevalente: in caso il device presenti uno dei problemi di cui sopra, ben meno della metà degli intervistati, il 38,6%, cercherebbe supporto rivolgendosi al responsabile IT della propria azienda. Un buon
35% proverebbe a risolvere la questione da solo, il 22,8% si rivolgerebbe a un'assistenza tecnica esterna, il 20,9% chiederebbe aiuto a un conoscente e il 13,5% a colleghi di lavoro, ma non dell’area IT. Menzione d’onore per il 6,1% dei dipendenti che affronterebbe il problema senza fare nulla, sperando che si risolva da solo.
Dietro la tendenza a non interpellare l’azienda si celano diversi motivi. Circa un terzo (32,7%) dei lavoratori dichiara di non volersi sentire in difetto, mentre c’è un 20% di fatalisti che pensa sia ormai troppo tardi per riparare al danno, e poco meno, il 19,4%, ammette di temere sanzioni disciplinari. Seguono il 13,3% di chi si preoccupa di sanzioni economiche e la pari percentuale di chi ritiene che l’azienda non abbia le competenze per risolvere il problema, e ancora un 11,2% preoccupato di invasioni di privacy.
Passando dalle motivazioni ai fatti, di fronte al moltiplicarsi del rischio legato al bring your own device Symantec ha presentato la
nuova soluzione Mobile Application Management: un sistema di gestione delle applicazioni mobili cross-platform, supportato dalla tecnologia della
neo-acquisita Nukona.
Il sistema è in grado di proteggere e controllare le applicazioni iOS, Android e HTML5 senza necessità di controllare completamente lo smart device utilizzato per accedere a dati e applicazioni business, sia esso di proprietà aziendale o del dipendente. E dunque senza penalizzare l’esperienza di utilizzo del dispositivo da parte dell’utente finale.
Come?
Isolando in una sorta di “bolla” tutte le applicazioni e i dati che interessano l’azienda, e lasciando invece all’end user piena libertà sul tutte le attività, processi e contenuti che riguardano la sua vita e i suoi contatti personali.
“Il primo valore aggiunto della nostra proposta – ha commentato Bavazzano – è il nostro approccio di
enterprise integration,
ovvero il fatto che questa soluzione sia integrabile con i sistemi già
eventualmente esistenti in azienda, per esempio quelli destinati all'IT
tradizioanle. Inoltre, mentre sui dispositivi di proprietà aziendale il
reparto IT può installare un agent per il controllo da remoto, per
quelli dei dipendenti serve un metodo diverso. Il Mobile Application
Management realizza una sorta di wrapping attorno alle applicazioni e ai
dati aziendali, senza influire su quelli personali”.
Altre novità in tema di sicurezza mobile riguardano il
Data Loss Prevention for Mobile (precedentemente noto come Data Loss Prevention for Tablets) di Symantec, che a breve sarà dotato di un supporto aggiuntivo per iPhone. Il
Certificate Intelligence Center, inoltre, è stato esteso con un modulo specifico sul mobile, per permettere agli amministratori IT e ai manager di monitorare in modo semplice il proprio inventario di certificati SSL anche in mobilità. Ultima new entry è una
versione per piattaforma Android del Symantec Code Signing, un servizio cloud-based che consente agli sviluppatori la gestione dei certificati e la firma digitale dei file APK.