Con il modello bring-your-own-device (BYOD) che si sta rapidamente trasformando da tendenza aziendale a situazione comunemente diffusa, Stonesoft assiste CIO e CISO a comprendere meglio l’impatto che le iniziative BYOD possono avere su tutti gli aspetti di una strategia dedicata alla sicurezza di rete. La società finlandese ha stilato un decalogo di consigli per implementare il modello BYOD all’interno delle imprese in maniera efficace e sicura pur facilitando l’accesso remoto protetto alle informazioni business-critical. Stonesoft è un provider globale di soluzioni innovative e sperimentate per la sicurezza di rete che includono prodotti avanzati in ambito IPS, firewall/VPN, SSL-VPN e accesso cloud remoto.
“Il BYOD è un altro trend tecnologico che permette all’impresa di spostare il proprio focus dall’evitare il rischio alla capacità di gestirlo. Molte divisioni IT commettono l’errore di concentrare gli sforzi su un unico tassello del puzzle, come per esempio i dispositivi. Se si intende minimizzare il rischio del BYOD, è invece necessario soppesarne l’impatto sull’intero ecosistema della sicurezza di rete e comprenderne le debolezze, più o meno rilevanti, che ne derivano”, ha sottolineato Emilio Turani, Country Manager di Stonesoft Italia, Svizzera Italiana e Grecia.
I 10 consigli di Stonesoft per una strategia di implementazione sicura del modello BYOD
1. Autenticazione: non solo password. Le password statiche, combinate con i rischi tipici del modello BYOD, non sono uno strumento sufficiente a garantire la protezione dell’accesso remoto a sistemi e dati aziendali sensibili. L’impresa deve prendere in considerazione metodi di autenticazione a più fattori in grado di rafforzare la sicurezza pur continuando a privilegiare la praticità d’uso. Le password one-time e i metodi alternativi di notifica (per esempio i messaggi SMS) sono due modalità che rendono olisticamente più solido e affidabile il processo di autenticazione.
2. Accesso remoto sicuro con VPN basata su SSL. Una volta eseguita l’autenticazione dell’utente ecco che diventa necessario proteggere la connessione di rete. La VPN SSL fornisce ai dipendenti enorme flessibilità per accedere in sicurezza alla rete da qualsiasi luogo e dispositivo mobile. Inoltre, a differenza di IPSec (Internet Protocol Security), la VPN SSL garantisce connettività remota protetta senza bisogno di installare alcun software su ogni dispositivo.
3. SSO per evitare l’affaticamento da password. L’impiego di login separati per ogni singola applicazione introduce un rischio di sicurezza in quanto gli utenti possono ricorrere a metodi insicuri per gestire tutte le varie password. Gli strumenti di single sign-on (SSO) consentono invece ai dipendenti di utilizzare un’unica password per accedere al portale aziendale e alle applicazioni cloud, e possono essere parte di una configurazione VPN SSL.
4. Controllo degli end node. Quando un dipendente lascia l’azienda dovrebbe venire meno anche la sua capacità di accedere alla rete. Ciò nonostante, questo accade solo nel caso in cui esista un modo efficace per bloccare specifici utenti in maniera immediata. È auspicabile dunque ricercare una soluzione che gestisca i dispositivi anche dal punto di vista dell’azienda – non solo del dipendente – e che permetta di eliminare velocemente i privilegi di accesso di un utente grazie a pochi, semplici click. Questa azione dovrebbe poter essere eseguita senza imporre la ridefinizione dell’intera base utenti, operazione che sarebbe troppo onerosa in termini di tempo ed esposta a potenziali errori.
5. Applicare una Federated ID. “Federated ID”, o identità federata, significa semplicemente che l’identità di una persona viene memorizzata su più sistemi, come accade per esempio quando si usa un login Facebook o Twitter per eseguire l’accesso all’account online di un altro sito. La stessa cosa vale per l’impresa quando autentica un utente lasciandolo successivamente accedere a sistemi interni ed esterni gestiti dall’azienda stessa. Le Federated ID implementano un meccanismo di single sign-on per i dipendenti. I vantaggi? Il dipendente si connette facilmente a qualsiasi sistema autorizzato, l’azienda controlla l’accesso anche alle applicazioni basate su cloud, e il service provider non deve occuparsi di mantenere i profili utente.
6. Soft token con BYOD. I dispositivi di sicurezza fisici sono divenuti rischiosi e poco pratici; il modello BYOD in questo senso rappresenta quindi una grande occasione di risparmio per le aziende che possono tagliare sui costi relativi all’acquisto, alla gestione e alla distribuzione di hard token o altri dispositivi fisici. I soft token interagiscono con l’apparecchio del dipendente, per esempio uno smartphone, e forniscono una soluzione “ergonomica” funzionale per entrambe le parti che può essere facilmente aggiornata e amministrata in base ai cambiamenti dello scenario relativo alle minacce.
7. Gestire l’intero processo. I rischi del modello BYOD rendono ancora più essenziale possedere una visione centralizzata sulle attività della rete, sulle minacce in ingresso e sulle anomalie in atto, oltre che la capacità di reagire velocemente e agevolmente. È quindi importante poter fare affidamento su una console di gestione centralizzata che fornisca funzioni complete di reporting, gestione degli incidenti, avviso multicanale progressivo, statistiche geo-taggate e strumenti capaci di applicare la governance sull’intera piattaforma.
8. Identificare un responsabile, implementare una strategia. Gestire una strategia BYOD non deve essere uno dei tanti compiti affidati all’IT. È necessario invece identificare un responsabile multi-funzionale incaricato della supervisione di policy, linee guida, ruoli e mansioni dei diversi dipartimenti coinvolti nel processo. La persona dovrà definire ogni singolo aspetto del modello BYOD in ambito enterprise come i dispositivi autorizzati, le divisioni che supportano il progetto e chi ha la responsabilità di pagare assistenza, servizi, piani dati ecc.
9. Seguire una policy. A prescindere dal proprietario del dispositivo, i dipendenti devono rispettare i protocolli di sicurezza aziendali se usano apparecchi propri a scopo lavorativo. Una policy BYOD deve contemplare alcuni punti basilari: la capacità di auto-locking, l’identificazione personale (PIN), la cifratura del supporto, la cancellazione remota in caso di furto. Deve inoltre fornire indicazioni circa quali tipi di dati possono e non possono essere memorizzati sul dispositivo, come intervenire in caso di furto, quali sono i processi di backup accettati. Infine, un aspetto imprescindibile è la definizione di una user agreement policy e la capacità di comunicare l’importanza di rispettare le procedure di sicurezza nell’uso di questi dispositivi.
10. Favorire il buon senso. Non dare per scontato che i dipendenti utilizzino il buon senso e quindi rafforzarlo. Riesaminare regolarmente anche le più ovvie e banali misure di sicurezza: cosa fare se un dispositivo viene perso o rubato, apportare gli aggiornamenti con regolarità, bloccare i dispositivi quando non vengono usati e prestare molta cautela in ciò che si scarica da Internet.
