Mobile device blindati: strategie e soluzioni

La domanda di mobilità è ovunque. Piccole e grandi aziende comprendono che l’utilizzo di dispositivi mobili abilita una serie di servizi connessi all’attività lavorativa e rappresenta un’alternativa conveniente alla tradizionale gestione dei dispositivi di proprietà dell’azienda

Alla promessa di una maggiore produttività si affiancano però tutta una serie di rischi associati alla sicurezza. Che fare? Anzitutto, pianificare una strategia che tenga conto della centralità della profilazione degli utenti, non sottovaluti l’impatto del fenomeno BYOD, comprenda adeguati strumenti di monitoraggio e misurazione e sia in linea con la normativa vigente. E poi, dotarsi delle migliori tecnologie di sicurezza presenti sul mercato.Il mobile trasforma la realtà. Lo sportello bancario è un’app. E la finanza corre sul digitale. Altro che posta elettronica e Office dal telefonino. Cambiamenti reali e potenziali sono la cifra di questa metamorfosi. Secondo l’Accenture Mobility Survey 2013, il 73% dei decisori in azienda ritiene che il mobile avrà un impatto ancora più forte di quello che ebbe il web solo un decennio fa[1]. A partire dal volume di investimenti che già oggi – almeno nelle intenzioni dei CIO – hanno rapidamente raggiunto la top three delle priorità, piazzandosi dietro solo alla business intelligence e agli analytics, come conferma la ricerca realizzata alla fine del 2013 dalla School of Management del Politecnico di Milano su un campione di circa 200 aziende di medie e grandi dimensioni[2].

Allestire un ambiente che consenta al proprio personale di connettersi alle risorse aziendali e lavorare da casa oppure in viaggio, attrae collaboratori di qualità, aumenta la produttività e la soddisfazione sul lavoro. Tutti fattori critici di successo che producono benefici e risparmi quantificabili[3]. Un cambio di paradigma.

Non a costo zero però. E che richiede un’attenta valutazione di fattori importanti quali la privacy degli utenti e la sicurezza dei dati, aspetti entrambi critici per lo sviluppo del mobile, sul cui terreno si consuma un confronto anche duro tra i fautori del cambiamento e i loro oppositori. Il solco è delineato, ma molto rimane ancora da fare.

I RISCHI CONNESSI AL MOBILE

Di certo per una significativa fascia di utenti, l’accesso da mobile a dati e applicazioni è parte integrante della loro esperienza di lavoratori e clienti. Secondo il Cisco Mobility Survey 2013[4], circa la metà delle organizzazioni interpellate dichiara di consentire ai propri collaboratori l’utilizzo di smartphone e tablet personali sulla rete aziendale. Perciò riuscire a creare e mantenere per loro una strategia di gestione dei device diventa un fattore critico per il successo nel business. A partire dall’analisi di una serie di rischi associati. Ne sanno qualcosa i CIO che devono cercare di dominare l’ampiezza della superficie d’attacco sul mobile: canali di comunicazione, vulnerabilità del dato e dei dispositivi, ecc. E rispondere alla domanda di capacità della rete che cresce sia in termini di numero di dispositivi connessi sia di banda.

Quello di fornire all’hardware, l’accesso sicuro alla rete aziendale in realtà non è né un problema nuovo né risolto. Secondo quanto riporta lo studio Cisco Connected World Technology Report[5], ben sette intervistati su dieci ammettono di aver infranto una o più policy di sicurezza aziendali e di continuare a farlo; per tre intervistati su cinque, quello della sicurezza poi non è un loro problema, nel senso che non si sentono responsabili della protezione dei device né dei dati aziendali. Aspetto quello della sicurezza di dati e dispositivi in cima invece alle preoccupazioni dei manager IT europei, e da loro stessi indicata quale prima priorità da risolvere in relazione al processo d’integrazione del mobile all’interno dell’infrastruttura IT (IDC Mobility Survey 2013)[6].

I rischi per la sicurezza partono dai dispositivi.È notizia di questi giorni l’arrivo dello smartphone con lo spyware preinstallato[7]. Non stupisce più di tanto allora, l’ennesima rilevazione della crescita del numero di attacchi mirati agli utenti mobile, in genere meno smaliziati rispetto agli omologhi utilizzatori di pc. Secondo uno studio Ponemon, solo nell’ultimo anno il 68% dei dispositivi mobili è stato colpito da malware, in continua mutazione[8]. Lo spam per esempio assomiglia sempre più ai messaggi provenienti da applicazioni mobile come WhatsApp, Viber e Google Hangouts. Lo rileva un report pubblicato da Kaspersky relativo al primo trimestre del 2014 che evidenzia la crescita del phishing, trainato dalla diffusione dei dispositivi Apple[9]. Note dolenti arrivano anche dalle app. Secondo lo studio “Securing Applications in the Wild with Application Hardening and Run-Time Protection,”[10] redatto da Arxan Technologies, partner IBM, il 78% delle 100 applicazioni iOS e Android più diffuse risulta essere manomesso e l’86% del malware su mobile in circolazione è veicolato da applicazioni legittime spacchettizzate, virate e reintrodotte sui market ufficiali. I dati su furti e perdite poi rimangono scandalosamente alti[11]. Se questo è il frame, non serve la sfera di cristallo per vaticinare un roseo futuro al mobile come vettore di trasmissione di infezioni. Per fortuna aumenta anche laconsapevolezza degli utenti che adottano comportamenti più allineati alla pericolosità delle minacce.La crescita del traffico crittografato su Internet (Snowden docet) così come la crescita della domanda di maggiore sicurezza di app e smartphone, lo dimostrano plasticamente. Riflettere su questi dati in rapporto alla propria azienda aiuta a comprendere meglio il livello di rischio che si corre. Un tassello importante nell’elaborazione di una strategia mobile.

ALLA RICERCA DI UNA STRATEGIA

In un contesto in cui la forza lavoro ha sempre più campo libero nell’adozione di device propri, il confine tra dati di proprietà dell’utente e aziendali rischia di diventare introvabile. A farne le spese la chiarezza sulle competenze e le responsabilità degli attori. All’azienda deve essere consentito l’accesso ai dispositivi e alle info residenti sul device personale del proprio collaboratore? Le policy di sicurezza si applicano anche a questi dispositivi? Le domande potrebbero moltiplicarsi.

Decidere di non decidere oppure lasciarsi travolgere dagli eventi può costare caro. Secondo una ricerca congiunta IBM/Ponemon Institute, i costi derivanti dalla perdita di dati sono aumentati di oltre il 15% rispetto all’anno precedente attestandosi su una media di 3,5 milioni di dollari per azienda[12]. L’organizzazione può davvero permettersi questa mancanza di sicurezza?[13]. Altrettanto deleteria è l’ingiustificata permissività, capace di gettare nello sconforto l’intero reparto IT per il quale avere il quadro di ciò che avviene sulla rete è centrale. E centrali sono gli investimenti e le tecnologie.

Ma qui i numeri raccontano un’altra storia. Come rileva IDC, le dimensioni del mercato dei software di sicurezza per il mobile è ristretto in relazione ad altri segmenti. Ma in crescita. IDC stima in 890 milioni di dollari di fatturato il valore del mercato nel 2012, in aumento di oltre il 30% rispetto al 2011 (+30.6% anno su anno). Prevedendo altresì che la crescita possa continuare almeno per altri due anni, con un tasso medio (compound annual growth rate – CAGR) del 22.3%, raggiungendo la quota di 2.4 miliardi di dollari nel 2017. Per quanto riguarda l’Italia, la domanda di soluzioni di security strutturate, anche se più contenuta rispetto al resto d’Europa, è comunque in forte evoluzione rispetto all’anno precedente. «Oltre il 50 % delle aziende medio grandi del nostro campione stanno adottando programmi di BYOD o BYOC formali. L’obiettivo delle aziende italiane è quello di cominciare ad avere strumenti per tenere sotto controllo oltre al parco dei device anche i contenuti aziendali in circolazione: distribuzione e gestione delle applicazioni sono le priorità del momento» – ci dice Daniela Rao, research director di IDC Italia.

PROTEGGERE I DEVICE O I DATI?

La realizzazione di un ambiente produttivo e allo stesso tempo sicuro non s’improvvisa. Occorrono investimenti all’altezza e consapevolezza degli obiettivi commisurati alla volontà di integrazione e gestione dei device mobile. E un’analisi veritiera della propria postura. Tipicamente, un accesso limitato e controllato è la modalità scelta da quelle organizzazioni il cui business richiede uno stretto controllo delle informazioni. Parliamo di enti e istituzioni governative, strutture sanitarie e molte altre realtà, i cui soli dispositivi ammessi sono quelli forniti dall’organizzazione stessa. Poche le regole e particolarmente restrittive; device blindati, app controllate, BYOD manco a parlarne. All’estremo opposto, una policy mobile pensata per consentire l’accesso ad alcuni servizi di base e a un numero esteso di utenti. Parliamo di strutture scolastiche, università, biblioteche, tra le prime ad adottare policy ad hoc per governare il fenomeno BYOD e permettere a studenti, professori, personale di supporto, di accedere alla rete e alle risorse nel modo più agevole possibile. La stragrande maggioranza delle risorse in queste organizzazioni è pensata perché possa essere utilizzata, non impedita. Tracciato il perimetro, al suo interno le possibilità assumono ampie sfumature.

Riflettere sulle proprie necessità di mobilità aiuta a elaborare la strategia a partire dall’architettura IT più adatta a supportare gli obiettivi. A patto però di partire con il piede giusto. Per i pc, la scelta è stata quella di proteggere l’endpoint, i dati e la rete. La ricetta antivirus, firewall e un ulteriore strato di sicurezza sul device ha prodotto però risultati discutibili. Tuttavia, lo stesso approccio – almeno inizialmente – è stato trasferito di peso per gestire la sicurezza dei dispositivi mobili, partendo da presupposti condivisi: impedire alle persone di fare le cose più rischiose; scansioniare periodicamente il device, mettere in apposite blacklist le app cattive; e ancora, insistere sulla robustezza delle password o del PIN code, lasciando magari che sia lo stesso ad abilitare la crittografia del dato sul device. La cosa non ha funzionato granché. Anche per il rifiuto da parte dell’utenza di mettere in pratica queste misure, con tutto il corollario di rivisitazioni fantasiose della sicurezza da parte dell’utilizzatore. Semplificando parecchio, il manicheo dilemma – meglio un approccio concentrato sulla difesa del device o un’architettura per la mobility, integrata con quella esistente e incentrata sulla protezione del dato e delle applicazioni – non ha retto alla prova costume con la realtà.

Serve forse un radicale ripensamento. Partendodalla constatazione che il device non è sicuro, così come non lo sono i dati al suo interno. E che una qualche forma di isolamento dalla rete, qualora ciò si rendesse necessario, è il minimo sindacale per parlare di governance del processo. E l’IT necessita sempre di tutta la visibilità possibile sul traffico mobile in transito sulla rete aziendale per intercettare e bloccare qualsiasi forma di attacco. Intendiamoci, non è contro questa o quella soluzione che qui si vuole puntare il dito. È la situazione a essere ancora piuttosto fluida. Per alcune realtà, è più importante fare qualcosa, qualsiasi cosa, pur di non rimanere al palo. E il modello che mette al centro una soluzione MDM sembra essere per alcuni ancora l’approccio migliore, il più familiare. Latore talvolta di un ingannevole senso di sicurezza.

Prendiamo le applicazioni. Ci sono aziende che ne utilizzano centinaia, sviluppate in proprio negli anni oppure di terze parti. Quando si presenta la necessità di portare sul mobile una parte di queste app, le stelle polari da cui partire sono organizzazione, sicurezza e controllo; con quel livello di granularità necessario per effettuare tutte quelle attività costitutive del lavoro dell’IT, indipendentemente dall’approccio adottato dall’organizzazione. Tra queste attività ci sono il deployment, la sicurezza, gli analytics, la sincronizzazione dei dati, lo storage, la version control, la possibilità di fare il debug da remoto di un problema sul device, oppure il wipe – la cancellazione dei dati, qualora ciò si renda necessario per esempio in seguito a un furto o a uno smarrimento dello stesso o semplicemente perché un collaboratore se ne va. Il secondo elemento costitutivo di un approccio efficace alla sicurezza del dato è l’integrazione di meccanismi di crittografia forte. Ora la corretta gestione delle chiavi crittografiche inizia smarcandosi dal device: utilizzarne il PIN code come chiave di crittografia significa rischiare di mandare tutto a gambe all’aria nel momento stesso in cui qualcuno riesce a manomettere il dispositivo o a guadagnare l’accesso root. Le chiavi di crittografia sulla piattaforma iOS per esempio sono generate utilizzando il pin code del device e per qualunque malintenzionato un PIN numerico di quattro cifre spacciato da barriera di protezione produce un effetto risibile. Un pin robusto – più lungo e che combina caratteri diversi (minuscole, maiuscoli, numeri e caratteri speciali) – tiene a distanza i malintenzionati, e qualche volta purtroppo anche qualche utente. Dopo l’autenticazione, il sistema di sicurezza deve generare chiavi di crittografia valide solo per ogni singola sessione. L’assunto su cui si regge tutta l’architettura è la solidità del modello di autenticazione. Il terzo elemento da considerare è la presenza di un sistema di autenticazione e accesso – idealmente lo stesso utilizzato per accedere alla rete aziendale – affidabile (IAM). La promessa delle soluzioni IAM è di garantire un accesso sicuro ad applicazioni e risorse da qualsiasi luogo e dispositivo. Più in dettaglio, con il termine Identity and access management, si definiscono una serie di funzionalità che riguardano la compliance alla normativa, la governance dei sistemi IT, le richieste di accesso e di provisioning, la gestione delle password, dell’SSO (single sign-on) e degli accessi al web, erogabili on-premise o in modalità cloud as a service (IDaaS). Ora questi sistemi piuttosto diffusi nelle realtà medio grandi sono quasi degli oggetti misteriosi in tutte le altre. Ci si domanda quali fattorifrenino le aziende dal migrare verso le soluzioni IAM (e IDaaS)? Molti. Budget, mancanza di uomini e cultura. E verso le soluzioni IAM in modalita IDaaS anche i timori per la perdita di controllo sui dati, la compliance e la privacy dei dati. Su quest’ultimo aspetto però si apre un mondo. Nel senso che la sensibilità al problema varia enormemente da un paese all’altro. Meno sensibili le aziende USA e molto di più attente invece le aziende europee o asiatiche. Ma si tratta anche di un problema culturale.

Uno dei i vantaggi della migrazione da un servizio IAM tradizionale a uno su cloud è la rapidità di implementazione e utilizzo del servizio. Trattandosi però di un passaggio impegnativo per l’organizzazione che decide di fare il grande salto, serve una preparazione adeguata anche dal punto di vista tecnico. Per esempio, l’IAM distribuito come servizio richiede una configurazione ad hoc, diversa da quella richiesta da soluzioni customizzate dove la mappatura della tecnologia avviene direttamente su processi di business esistenti. Da una prospettiva di business, una delle sfide maggiori è quella di essere pronti a fare degli investimenti nella gestione dei processi, governando al meglio i cambiamenti che ciò comporta. Detto questo, riuscire a portare i processi correlati alla gestione degli accessi e delle identità sul cloud introduce maggiore flessibilità nell’organizzazione, in termini di definizione di chi lavora per l’azienda, con quali responsabilità, da quanto tempo… E consente di utilizzare le policy esistenti o crearne di nuove, estendendole ben oltre i confini fisici dell’azienda, creando ambienti virtuali che possono essere spenti rapidamente quando non servono più. In questo senso, una delle opportunità più interessanti che l’IDaaS introduce è quella di permettere la realizzazione di molteplici ambienti personalizzabili a seconda delle esigenze e riferibili a uno specifico gruppo di utenti, settando accessi e privilegi, organizzando specifici flussi di lavoro e controlli. Un nuovo paradigma che delinea un’organizzazione senza più alcun confine fisico che può virtualmente estendersi senza limiti.

CONCLUSIONI

La pervasività e la pressione di fenomeni come il BYOD nei confronti all’organizzazione non vanno sottovalutati. Così come non vanno sottovalutate le esigenze dell’azienda. Ci sono realtà che avendo minori vincoli in relazione alla mobility ne incoraggiano l’utilizzo. In altre invece, la stragrande maggioranza dei dati deve essere protetta al massimo grado. Perciò è importante procedere a seconda delle proprie esigenze e in sicurezza. Si tratta di un processo che non si esaurisce nella mera scelta di campo tra protezione del device o del dato. Si tratta semmai di stabilire il giusto equilibrio. Se si mette in campo la miglior sicurezza possibile, chiudendo tutte le finestre verso l’esterno, diventa molto difficile riuscire a utilizzare il device. D’altra parte, affrancarne troppo l’utilizzo da un set di regole precise comporta il rischio di fallire l’obiettivo di ottenere tutta la sicurezza necessaria che serve. È una questione di equilibrio, un giusto mix di entrambe le tensioni. Fatto di scelte a volte anche difficili. Sapendo che il trade-off tra usability e sicurezza assomiglia a una coperta sempre troppo corta. In ogni strategia di sicurezza poi come ben sa l’IT, l’efficacia della tecnologia si misura dall’utilizzo che ne fanno le persone. L’education è il fattore che determina il successo o il fallimento di un progetto. Per questo, gli utenti vanno continuamente pungolati, sia che si tratti di denunciare il furto o lo smarrimento del device sia che si tratti di metterli in condizione di scegliere l’applicazione giusta per le loro esigenze. Il personale va coinvolto, incoraggiato a partecipare alla corretta gestione della sicurezza, aumentando in loro il senso di consapevolezza con aggiornamenti continui sulle migliori best practice di sicurezza da adottare. Il futuro è mobile.