Sistema operativo del device, dati e applicazioni, reti. Una strategia di mobile security degna di questo nome dovrebbe coprire tutte queste aree di sicurezza. Qual è l’approccio più proficuo per affrontare il tema della mobility? Ecco il percorso intrapreso dalle aziende italiane
È bello svegliarsi, allungare il braccio e sentire di avere tutto il mondo a portata di mano. Per qualcuno, lo smartphone è diventato un’estensione del corpo. Per altri la cosa più preziosa che si possiede. Segno dei tempi. Sveglia, portatile, fotocamera, ormai è il surrogato di mille altri oggetti. Utilizzato a casa come sul lavoro. Dove pian piano ha preso piede per leggere la posta, consultare documenti, scaricare la busta paga, effettuare ordini, e così via. Per la verità, all’inizio le aziende hanno temporeggiato, adottando un approccio orientato soprattutto a gestire il fenomeno con manovre tattiche. Un atteggiamento condiviso non solo dall’IT ma anche dal management, che in un primo tempo ha preferito limitarne l’utilizzo sia per scopi personali sia professionali. La sicurezza dei dispositivi in questa fase non era neppure contemplata, se non come generica preoccupazione di recuperare quelli smarriti o danneggiati. A un certo punto però le aziende hanno invertito la rotta iniziando ad aprirsi verso l’esterno. Una sollecitazione arrivata forse dal basso, diventata operativa nel momento in cui anche il management ha iniziato a spingere per l’introduzione degli smartphone in azienda. Siamo agli albori del fenomeno BYOD, la richiesta cioè di poter utilizzare il telefono personale anche per lavoro, con i primi interrogativi su chi debba avere in dotazione dispositivi mobili aziendali e chi, invece, autorizzare all’utilizzo di strumenti personali per il lavoro. Decisioni legate a doppio filo con il problema del controllo e l’elaborazione di una qualche forma di pianificazione che presto o tardi sfocerà in una strategia più compiuta. Un processo formalizzato da IDC attraverso l’elaborazione di un modello di maturità suddiviso in cinque stadi, tutt’ora in divenire. Ce ne siamo già occupati. In quella occasione, IDC ci disse che «la maggior parte delle aziende italiane, lasciato il secondo stadio, stavano approdando a quello di integrazione della mobility all’interno del business». Un passaggio caratterizzato dall’adozione di architetture e network “mobile oriented”, oltre che di piattaforme standard, per garantirsi interoperabilità, sicurezza ed esperienza d’uso. Transizione – prevedeva l’analisi IDC – in cui le aziende avrebbero sviluppato un’analisi più puntuale delle proprie capacità e necessità, ritagliandosi se necessario lo spazio di manovra per operare eventuali manovre correttive rispetto alla strategia iniziale. Un passaggio cruciale – osservava IDC – perché solo superando questo step le imprese avrebbero iniziato a godere appieno dei vantaggi della mobile transformation.
Oggi, secondo Daniela Rao, senior research & consulting director di IDC Italia pur con significative differenze tra grandi aziende e PMI, la gran parte delle imprese italiane ha raggiunto uno stadio avanzato nel livello di maturità. «Nelle imprese con meno di 50 addetti, il 99% del totale delle imprese italiane, la domanda di strumenti per lavorare in movimento è molto destrutturata. La diffusione di smartphone e tablet ha raggiunto alti livelli di penetrazione, ma in termini di applicazioni business la domanda rimane focalizzata su quelle di messaggistica di comunicazione one-to-one. Nelle microimprese – continua Daniela Rao – non è percepita la necessità di avere specifiche applicazioni business per reingegnerizzare i processi, a meno che queste non siano imposte dalle aziende capo-filiera, capogruppo o cliente. Il focus è sul device, mentre sul fronte della sicurezza le aspettative riguardano essenzialmente l’operatore TLC da cui è stato acquistato». Email, navigazione e social network sono le applicazioni più diffuse nelle PMI da 5 a 50 addetti. Spesso, utilizzate come strumenti per promuovere l’offerta aziendale. In questo contesto è alta la propensione a utilizzare applicazioni standardizzate ed economiche, che permettono di velocizzare e semplificare alcune attività lavorative. Diversa, la situazione nelle realtà medio grandi, con più di 50 addetti, dove la domanda di soluzioni specifiche è più strutturata e in costante crescita. «Qui gli ostacoli che ancora limitano la diffusione delle applicazioni mobili – mette in evidenza Daniela Rao – possono essere ricondotti agli alti costi per la sostituzione di sistemi “legacy” o per lo sviluppo di soluzioni ad hoc, alla complessità del processo di transizione e alle problematiche di sicurezza».
MOBILITY SOLUTION
IL PUNTO SULLA SITUAZIONE
In Italia, le soluzioni più diffuse per l’enterprise mobility sono quelle per il controllo delle spese per la connettività, spesso offerte contestualmente al servizio di telecomunicazioni dagli stessi operatori mobili e utilizzate da un vasto numero di imprese, anche piccole. Meno diffuse, quelle di mobile device management e gli strumenti di mobile security, presenti solo nelle aziende medio grandi. Tuttavia, la domanda di queste soluzioni appare orientata a espandersi e ricalibrarsi. «Entro il 2018, in Italia gli investimenti si concentreranno su mobile identity & access management e sulle piattaforme per la gestione e lo sviluppo delle applicazioni» – conferma Daniela Rao. Una crescita sulla quale pende un’incognita. Alcuni esperti lamentano il fatto che le soluzioni di sicurezza a protezione dei dispositivi mobili faticano a reggere il passo dell’evoluzione della mobility, raggiungendo livelli di obsolescenza più rapidamente di qualsiasi altra tecnologia del settore. Se questo è vero, quali suggerimenti si possono dare all’azienda che vuole definire o aggiornare la propria strategia di protezione? «È importantissimo che le aziende facciano formazione e comunichino con i dipendenti per migliorare la conoscenza dei rischi e dei modi per proteggersi. Inoltre le aziende devono integrare i terminali dei dipendenti nelle pratiche di sicurezza aziendale e combinare la sicurezza degli endpoint e dell’infrastruttura per la sicurezza del cloud» – afferma Vittorio Bitteleri, head of sales Enterprise Security Italia di Symantec. «Allo stesso tempo i dipendenti devono prestare maggiore attenzione alle specifiche di sicurezza e privacy degli applicativi, disabilitando quelle a rischio e provvedendo a modificare le impostazioni di privacy e sicurezza dei terminali IoT al fine di evitare di installare applicazioni da fonti sconosciute. A entrambe le categorie – continua Bitteleri – consigliamo di utilizzare sempre un metodo di cifratura affidabile per la rete Wi-Fi, preferire la connessione via cavo a quella wireless, aggiornare regolarmente il firmware e attivare gli aggiornamenti in automatico. Fondamentale, infine, la collaborazione con l’IT per rivedere le impostazioni di sicurezza dei terminali».
Approccio condiviso da Morten Lehn, general manager Italy di Kaspersky Lab: «Installare soluzioni di sicurezza è essenziale ma non sufficiente a garantire la protezione di un’azienda. Il primo passo in questa direzione è la formazione dei dipendenti, assicurandosi che comprendano le principali minacce a cui vanno incontro e le modalità con le quali agiscono i cyber criminali, per esempio tramite il social engineering». Più spostato sulle competenze dell’IT il consiglio di Luciano Quartarone, docente Clusit e security consultant di Bl4ckSwan, di dotarsi di una solida metodologia di monitoring frutto di un’accurata analisi preventiva: «Qualcuno lo chiama “continuous monitoring”, altri ci vedono intelligence o predictive security. Il punto nodale rimane la necessità di definire una metodologia di monitoraggio, il che è evidentemente legato agli obiettivi di sicurezza dell’azienda, quelli strategici, alla metodologia di analisi e al trattamento dei rischi informativi». G DATA sceglie invece di rimandare al mittente le accuse di precoce vetustà delle tecnologie mobile. «A fronte di una versatilità che cerca pari sul mercato e della sua capacità di contrastare proattivamente le minacce via mobile sui più svariati fronti, riteniamo la nostra soluzione elemento abilitante della mobility». Per tutelare correttamente i device mobili – spiega Giulio Vada, country manager di G DATA Italia – servono soluzioni in grado di «operare in modo del tutto trasparente per l’utente e di gestire centralmente i dispositivi mobili, le relative policy di sicurezza e l’accesso alle risorse aziendali, alla stregua di qualunque altra postazione di lavoro».
Da quali ambiti allora è lecito aspettarsi in futuro i maggiori benefici funzionali ed economici? Quartarone di Clusit auspica una maggiore integrazione delle soluzioni MDM con gli strumenti di asset management per abbattere le barriere logiche applicative e funzionali: «Un asset management evoluto, tanto da configurarsi come sistema esperto – capace quindi non solo di elencare tutti i dispositivi ai quali è permesso l’accesso ai dati aziendali, ma anche di poter governare il funzionamento del dispositivo stesso – e che comprenda quindi, funzionalità di patch & vulnerability management – presidiando ogni flusso informativo fra i device mobile e fra questi e i sistemi aziendali o il mondo esterno all’azienda». Diversa la posizione espressa da Bitteleri di Symantec secondo cui i maggiori benefici verranno dalla presa di coscienza del mutato rapporto con il luogo di lavoro. «Il fenomeno dell’ampliamento dei confini aziendali continuerà a crescere e a creare nuovi pericoli. Per molto tempo, il rischio di violazione dei dati è stato giudicato un male necessario sull’altare della flessibilità aziendale: oggi, non è più vero. La protezione di tipo endpoint e una solida infrastruttura per la sicurezza del cloud creano un sistema integrato di difesa dagli attacchi informatici tale da garantire che l’impresa e il dipendente siano protetti sempre e comunque. La tecnologia per mettere in sicurezza l’intera rete aziendale esiste. La sfida consiste nel superare i preconcetti e adattare il concetto di sicurezza».
STRATEGIA E MOBILITY
BINOMIO IN DIVENIRE
Dire che la mobility sia diventata un fenomeno inarrestabile accettato dalla stragrande maggioranza delle realtà produttive è un luogo comune. Ma questo non significa che sia stato anche compreso. Lo abbiamo visto parlando dell’utilizzo degli strumenti di mobility in aziende molto diverse fra loro, non solo per dimensione ma anche per settore industriale e modello di business. Per fare chiarezza su questa tematica, Quartarone di Clusit suggerisce anzitutto di riflettere sul significato del termine “mobility”, indagando sugli ambiti impattati dal fenomeno. «Uno studio di CISO, nemmeno così recente, ha messo in luce che solo l’11% degli utenti finali accede alle applicazioni aziendali dall’ufficio. Secondo un sondaggio di Ponemon Institute pubblicato lo scorso anno, il 45% degli utenti intervistati non si preoccupava dei dati aziendali memorizzati sul proprio dispositivo mentre il 59% dichiarava di utilizzare lo smartphone principalmente per accedere ad applicazioni e dati aziendali, a fronte di un 77% degli utenti che dichiara di non aver ricevuto una formazione specifica circa l’uso di dispositivi mobili in azienda. Un’indagine condotta da Samsung certifica invece che il 24% degli utenti utilizza smartphone o tablet come strumento di lavoro principale. Utenti destinati a crescere ancora visto che secondo molti analisti di mercato metà dei datori di lavori richiederà ai dipendenti di utilizzare propri dispositivi mobili per scopi lavorativi». Dati questi che secondo Quartarone ci consentono di identificare le aree prioritarie su cui intervenire. «In primo luogo, vanno disciplinati aspetti formali e contrattuali con dipendenti, collaboratori e manager circa l’utilizzo di dispositivi mobili per accedere ai sistemi, soprattutto al di fuori dal perimetro aziendale. Poi occorre investire in programmi di awareness per rendere consapevoli gli utilizzatori delle potenzialità e dei rischi connessi all’uso di tali dispositivi». In questo quadro, è necessario che l’azienda accetti il fatto che l’utente preferisca scegliere il proprio strumento di lavoro, sapendo altresì che delegherà completamente all’azienda la protezione dei dati sensibili rilevanti. «Dati e applicazioni devono essere progettate per lavorare in “multicanale”, mantenendo adeguati livelli di protezione in ogni caso d’uso» – osserva Quartarone. Consentire a dipendenti e collaboratori di utilizzare dispositivi proprietari mobili (BYOD) o aziendali (COPE/COBO, Corporate Owned Personally Enabled/Corporate Owned Business Only) migliora la produttività individuale ma comporta rischi per tutela dei dati, sicurezza e compliance, concorda Stefano Volpi, security practice leader per l’Italia di Cisco.
«Per garantire la sicurezza e l’efficienza operativa nelle reti aziendali distribuite occorre perciò un approccio integrato alla gestione degli accessi alla rete, basato su tre livelli di intervento: identificazione di ogni utente e dispositivo; onboarding, provisioning e protezione semplificate per tutti i dispositivi mobili; gestione delle policy centralizzata e basata sul contesto per controllare l’accesso di chiunque, ovunque e da qualsiasi dispositivo». Un approccio “architetturale” alla sicurezza, il solo – secondo la visione di Cisco – in grado di monitorare continuativamente l’intera infrastruttura senza rallentarne le performance, riducendo al minimo i tempi di detection e risposta agli attacchi. Le linee di sviluppo dei progetti di enterprise mobility che emergono dalle più recenti indagini IDC confermano questa impostazione. «I progetti più significativi riguardano l’estensione della sicurezza – lavorando al risk assessment, alle policy e al controllo non solo dei device ma di tutti gli end-point, inclusi i nuovi oggetti connessi alle reti aziendali – e I’implementazione di soluzioni per la gestione dei nuovi spazi di lavoro» – spiega Daniela Rao di IDC Italia. Che cita una ricerca europea secondo cui il 67% delle aziende europee ha (o prevede di avere nei prossimi 12 mesi) una strategia di gestione dei nuovi ambienti lavorativi. Ambienti che saranno caratterizzati dalla scomparsa delle postazioni individuali e dalla moltiplicazione degli spazi di collaborazione (meeting room, sale attrezzate per videoconferenza, spazi comuni anche per i momenti di break). Nuovi ambienti nei quali i dispositivi e le soluzioni tecnologiche wireless indoor e outdoor diventeranno l’infrastruttura di base delle comunicazioni aziendali. Cambiamenti che andranno a impattare nelle dinamiche con cui la sicurezza entrerà nelle strategie di integrazione della mobility all’interno dei processi aziendali. «Ogni azienda ha esigenze e priorità diverse, che rendono necessaria un’analisi accurata di tutte le reti e i sistemi» – continua Volpi di Cisco. «Oltre a questo però bisogna tenere conto anche delle conformità rispetto a norme in continua evoluzione, dalla conservazione dei dati alla tracciabilità dei pagamenti. Esistono delle best practice, ma solo chi lavora in un’azienda, e conosce tutti i processi e le dinamiche di relazione, può capire come proteggere il patrimonio di dati, dispositivi e sistemi prima, durante e dopo un attacco, coinvolgendo le risorse designate per attuare adeguati piani di risk management, data loss prevention e disaster recovery».
La chiave di volta – suggeriscono i nostri interlocutori – sono precise regole di sicurezza. Poche ma condivise. «Spesso si fa ricorso a politiche di sicurezza che vincolano l’utilizzo dei dispositivi mobili al solo ambito lavorativo, concedendo quale unica deroga la possibilità di utilizzo del device per scopi personali, a patto che non rappresenti un rischio per l’azienda» – afferma Quartarone di Clusit. È il classico caso dell’utilizzo dello smartphone per accedere al portale aziendale per immettere gli ordini, oppure per collegarsi al CRM. «Ma l’accesso ai sistemi, mentre si è a una fiera utilizzando una connessione Wi-Fi pubblica, pur essendo un utilizzo aziendale dello strumento, rappresenta un potenziale rischio che può essere prevenuto (e vietato) dalla pubblicazione di una politica di sicurezza aziendale?» – si chiede Quartarone che rimane scettico circa questa possibilità. Infatti, «non esiste policy di sicurezza che possa “governare pienamente” il funzionamento di un dispositivo mobile, soprattutto se il personale è fuori dal controllo diretto dell’azienda». Per questo, occorre agire su piani diversi per scongiurare il pericolo di adottare policy formalmente corrette «ma avulse dal contesto in cui dovrebbero operare». Un altro aspetto molto dibattuto riguarda l’individuazione delle superfici di sicurezza da presidiare. Ultimamente riscuotono parecchio credito coloro che consigliano di adottare una strategia più focalizzata sul network e l’infrastruttura e meno sulle difese hardware e software. Ma c’è anche chi sottolinea l’importanza della compliance. A parere di molti, l’ostacolo principale nell’estensione dei progetti di enterprise mobility delle imprese più evolute. Stiamo parlando delle norme sul trattamento dei dati sensibili, distribuiti sui dispositivi mobili. Dell’entrata in vigore del GDPR (Regolamento Europeo per la Protezione dei Dati Personali) che riguarderà tutte le organizzazioni operanti nell’UE. Della definizione di policy aziendali sull’utilizzo misto dei dispositivi mobili (uso lavorativo e professionale), secondo l’approccio più evoluto del CYOD (in cui il dipendente può scegliere il device all’interno di una lista proposta dall’azienda). Tutto questo rappresenta un “corpus” intricato di leggi e normative su cui comunque si innesta la necessità da parte di CIO e CISO di presidiare adeguatamente il complesso sistema di hardware, software e network che compone l’infrastruttura. Sforzo che rischia di essere vanificato dalla mancanza di un adeguato approccio metodologico. Infatti, non basta dotarsi di uno strumento per “sentirsi al sicuro”. Il fatto che i sistemi aziendali si aprano verso l’esterno permettendo l’operatività dei collaboratori al di fuori del perimetro aziendale, implica che le misure a protezione del patrimonio informativo aziendale vengano rafforzate perché più soggette a violazioni. «Dal punto di vista operativo – suggerisce Quartarone – la sicurezza dei dispositivi mobili e l’accesso in mobilità ai dati dell’azienda si devono affrontare con la stessa attenzione con cui si approccia la sicurezza della rete LAN.
Aggiungendo un ulteriore strato di controllo che includa tutti i dispositivi mobili e implementi opportune policy di sicurezza, proporzionato al nuovo scenario di rischio che si presenta». Indipendentemente dall’area (hardware, software, trasmissione) sulla quale decide di puntare l’azienda, il suggerimento di Sophos è quello di affidarsi a un partner che sia in grado di presidiare efficacemente ognuna di esse. Negli ultimi anni, la strategia delle aziende «è stata caratterizzata, da una serie di acquisizioni che hanno portato alla messa a punto di un portafoglio di soluzioni complete e integrate per la Synchronized Security in grado di coniugare prodotti per la protezione della rete e degli endpoint a soluzioni per la sicurezza dei server e dei device mobili, in modo da eliminare il più possibile le complessità per gli utenti finali» – afferma Marco D’Elia, country manager di Sophos Italia. Approccio condiviso da Carla Targa, marketing and communication manager di Trend Micro che in tal senso sottolinea l’ampiezza dell’offerta del vendor giapponese: «Le nostre soluzioni garantiscono una sicurezza multilivello per datacenter, ambienti cloud, reti ed endpoint. Tutti i nostri prodotti si integrano per condividere in trasparenza le informazioni sulle minacce e assicurare una difesa completa contro di esse, con visibilità e controllo centralizzati e una protezione più efficace e veloce».
CONCLUSIONI
Le tematiche di enterprise mobility, sempre più presenti nelle imprese italiane, non sono più limitate alla semplice gestione dei dispositivi. Riguardano l’evoluzione dell’intera organizzazione aziendale e implicano un nuovo modo di lavorare. In tal senso le sfide che attendono i CIO sono secondo l’analisi IDC focalizzate soprattutto sull’offerta di più modalità di interazione, flessibilità e produttività nell’intera business community, con un occhio particolarmente attento alla sicurezza. Addetti, partner, fornitori e clienti coinvolti nei processi diventano parte delle strategie di enterprise mobility. «Allo stesso tempo, si rende necessario lavorare in coordinamento con le diverse LoB e il top management aziendale. Collaborare perciò diventa essenziale per ottenere fondi, commitment e risorse necessarie per ampliare i progetti di mobility. Ma se aumentano la condivisione e la circolazione delle informazioni, deve aumentare anche il livello di sicurezza e protezione» – mette in evidenza Daniela Rao di IDC Italia. La lista delle cose da fare è lunga. Bisogna identificare le soluzioni migliori per gestire i device e gli strumenti per sviluppare e distribuire applicazioni, ma anche proteggere i dati aziendali e sperimentare il lancio di nuovi servizi. Occorre valutare impatti, benefici, investimenti e manovre di adattamento di soluzioni dove wearable, sensori e M2M entrano a far parte del parco dei device e, soprattutto, dei processi aziendali. «La sicurezza sarà sempre importante, ma – avverte Daniela Rao – l’attenzione sarà sempre più focalizzata sulle tematiche di organizzazione e ridisegno dei processi, con l’obiettivo di massimizzare i benefici offerti dalle tecnologie mobili per ottenere un concreto vantaggio competitivo». Per riuscire a governare il fenomeno mobility, le aziende dovranno perciò continuare a migliorare la loro capacità di pensare in maniera strategica. Comprendendo oltre alla gestione del device tutto ciò che supporta un nuovo modo di lavorare. Inoltre, poiché i processi dovranno evolvere di pari passo, sarà importante scegliere tenendo conto, oltre che del device e delle app, dell’infrastruttura IT e del network. Anche per le crescenti sollecitazioni provenienti dall’esplosione del numero di oggetti connessi e dal volume di dati da essi scambiati. Non un compito facile, insomma. Ma certamente un passaggio obbligato.
