La tua sicurezza in tasca

La tua sicurezza in tasca

I terminali mobili non costituiscono solo un rischio per l’azienda, ma offrono prospettive interessanti per la realizzazione di funzionalità evolute di sicurezza

Quando si parla di dispositivi mobili e di sicurezza, l’attenzione si focalizza generalmente sui rischi che tali strumenti possono comportare per il cittadino, le aziende e la pubblica amministrazione. D’altro canto, tra le varie opportunità che i dispositivi mobili offrono, molte riguardano proprio la sicurezza informatica, soprattutto se si pensa a servizi e misure di sicurezza che in passato erano inaccessibili al cittadino e alle PMI (o quelle con un IT di piccole/medie dimensioni), a causa di costi eccessivi, gap tecnologico, complessità di implementazione e di utilizzo.

Si pensi per esempio al fatto che i dispositivi mobili offrono canali “fuori banda” rispetto alla rete aziendale e che possono eseguire applicazioni complesse: queste caratteristiche li rendono abilitanti per l’implementazione di soluzioni di strong authentication un tempo disponibili solo alle cosiddette “large enterprise”. Anche il singolo cittadino e la piccola e media impresa possono oggi ottenere l’accesso sicuro alla posta elettronica, alle applicazioni web o ai servizi cloud usando il telefono per eseguire app di “token virtuale” o per ricevere OTP via SMS. Queste soluzioni sono ormai diffuse nei servizi bancari e finanziari (e l’implementazione mobile ne costituisce un acceleratore), e potremo utilizzarle anche nell’ambito del sistema pubblico per la gestione delle identità digitali (SPID).

Sempre dai servizi bancari, arriva la dimostrazione che i terminali mobili offrono una risposta semplice quanto efficace di contrasto alle frodi e alle violazioni, tramite le notifiche (gli SMS o le “push notification”) che avvisano gli utenti quando viene effettuata una transazione o un’operazione critica su un servizio.

In aggiunta, la trasmissione “fuori banda” di codici segreti o notifiche, semplifica e rende più robusta (e anche economica) la gestione di numerosi processi e procedure di sicurezza per le aziende, come il provisioning delle utenze (interne o della clientela) o la revoca delle credenziali in caso di compromissione.

L’integrazione sempre più frequente di lettori di impronte nei device sta aumentando la fiducia dei cittadini nei servizi di mobile proximity payment, in sostituzione della (diffusa quanto insicura) carta di credito. Per pagare è sufficiente “toccare” un lettore POS con il cellulare. Per autorizzare una transazione è possibile inserire la propria impronta (o un PIN nel caso di micro-pagamenti). Dal punto di vista tecnico, i medesimi componenti tecnologici permettono inoltre di utilizzare gli smartphone anche come strumenti di accesso fisico, “chiavi elettroniche” in grado di comunicare con varchi e sistemi di allarme. I vantaggi sono: la risoluzione dei problemi di approvvigionamento e gestione dei dispositivi di accesso fisico; la semplificazione delle procedure di provisioning e di gestione dell’indisponibilità temporanea degli apparati di accesso. Può accadere di lasciare a casa il badge, ma non il proprio telefono! In aggiunta, grazie alla maggiore intelligenza del terminale mobile, è possibile l’implementazione di logiche di autorizzazione all’accesso fisico più evolute e granulari rispetto al passato. In questo modo, si può abilitare un utente ad accedere a un sito remoto, non presidiato, o più semplicemente rendere disponibili procedure di richiesta di accesso e autorizzazione in tempo reale, anche basate sulla localizzazione del terminale.

Bisogna comunque fare un’importante precisazione. Le opportunità descritte non derivano (solo) da tecnologie certamente più mature rispetto al passato e maggiormente standardizzate. Il vero fattore abilitante è costituito dall’atteggiamento delle persone: i dispositivi mobili sono oggetti inseparabili, percepiti come strettamente personali, più di quanto lo sia mai stata una password. Tutto il resto è solo tecnologia!

Luca Bechelli, membro del direttivo e del comitato tecnico scientifico del Clusit

Categorie: Sicurezza