Tutto ciò che i senior manager devono sapere sulla sicurezza dei
Transcript
Tutto ciò che i senior manager devono sapere sulla sicurezza dei
Tutto ciò che i senior manager devono sapere sulla sicurezza dei dispositivi mobili Consigli chiari e pratici su come accertarsi che i dispositivi mobili siano un vantaggio, piuttosto che un pericolo per la vostra azienda. L'ambiente delle tecnologie mobili I dispositivi mobili di ultima generazione, come gli iPad ed i telefoni Android, possono fare meraviglie per gli utenti mobili, e sono in grado di aumentare il livello di produttività ed innovazione di un'azienda. Tuttavia ciò può causare un notevole incremento dei costi di amministrazione, nonché un significativo rischio di perdita dei dati e danni alla reputazione, se tali dispositivi non sono gestiti correttamente. Anche gli enti di vigilanza stanno rivolgendo maggiore attenzione a questi dispositivi. Se in passato gli standard di conformità erano per natura più concentrati sui "PC tradizionali", oggi come oggi gli occhi sono puntati su tutti i tipi di dispositivi mobili contenenti dati sensibili. È quindi essenziale risolvere immediatamente i problemi di sicurezza ed operativi inerenti ai dispositivi mobili, piuttosto che essere colti impreparati. Non dimenticate che la perdita di dati sensibili su laptop o cellulari non è in particolar modo diversa agli occhi della legge; lo sono invece i controlli di sicurezza. I rischi di sicurezza È opinione diffusa che su queste piattaforme i maggiori problemi vengano causati da malware ed attacchi informatici estremamente complessi. Se da un lato le minacce come il malware sono indubbiamente in aumento (dopotutto, molti di noi utilizzano i cellulari come sostituti dei laptop per gran parte della giornata), è anche vero che al momento la minaccia più seria è rappresentata dalla perdita dei dati. La maggior parte dei casi di violazione dei dati sui dispositivi mobili è generalmente dovuta a problemi di sicurezza di base: password deboli (o inesistenti), mancata cifratura dei dati, divenire vittime di attacchi di phishing o altre tecniche di ingegneria sociale, nonché mancato aggiornamento del dispositivo stesso (che lo rende vulnerabile anche agli attacchi più semplici). Acquisire una buona padronanza dei concetti di base ed accertarsi di formattare i dispositivi La sicurezza dei dispositivi mobili quando vengono smarriti devono assumere la più alta priorità, sia per ridurre al minimo l'effettivo rischio di perdita dei dati, sia per soddisfare i requisiti degli enti di vigilanza. L'impatto della consumerizzazione Con l'innescarsi del processo di consumerizzazione (l'utilizzo di dispositivi personali a scopo lavorativo), cresce il rischio che i reparti IT si trovino a gestire cinque volte il numero di piattaforme, a cinque volte i costi! La maggior parte dei budget riservati alle tecnologie informatiche non può sostenere un simile passo, ma neanche il blocco da parte delle aziende di dispositivi mobili nuovi e di tendenza è un'opzione fattibile. Accertatevi che qualsiasi controllo o processo di sicurezza che adottate vi fornisca il supporto di una vasta gamma di piattaforme; ciò vi aiuterà ad evitare un boom dei costi per le tecnologie informatiche, e a proteggere il vostro investimento a pari passo con l'aggiornamento dei dispositivi. Pensare a breve termine Nel settore dell'informatica, siamo abituati a pensare in termini di cicli triennali, per massimizzare gli utili e minimizzare i costi. Sfortunatamente, in questo caso una strategia triennale potrebbe essere una pessima idea. Il mercato della mobile security cambia molto rapidamente. Al contrario dei tradizionali PC, i dispositivi mobili vengono aggiornati praticamente ogni tre mesi. Per i dispositivi mobili, si consiglia ai reparti IT di implementare ed iterare una strategia a breve termine, piuttosto che cercare di pianificarne una per un periodo di 3 anni. Tre cose da fare I dispositivi mobili fanno ormai parte della nostra vita. Accertatevi quindi che dati, sistemi ed utenti rimangano protetti. Ecco tre delle più alte priorità per qualsiasi organizzazione: 1. Implementare criteri di utilizzo accettabile Accertatevi che l'intera azienda sia in possesso di informazioni inequivocabili sui criteri di utilizzo accettabile, e che i dipendenti conoscano i dispositivi consentiti ed i requisiti per poterli utilizzare a scopo lavorativo. Gli utenti possono rappresentare l'anello debole di un dispositivo consumerizzato; assicuratevi che riflettano attentamente prima di ogni clic, per proteggere i vostri ed i loro dati. 2. Applicare una soluzione di sicurezza dei dispositivi efficace Accertatevi di avere tute le tecnologie necessarie per rendere obbligatori: richiesta di password complesse, cifratura, aggiornamento costante delle patch, identificazione dell'ubicazione e formattazione dei dispositivi in caso di smarrimento. Sono disponibili più strumenti di quanto si creda. Date un'occhiata agli strumenti di gestione, come quelli offerti da Sophos, ed alle guide di configurazione messe a disposizione dai vendor dei dispositivi; potrete così applicare le adeguate regole di buona prassi. Molti di questi dispositivi possono avere più funzioni di sicurezza di quanto pensiate! 3. Dimostrarsi conformi alle normative vigenti Può anche essere utile verificare che questi sistemi siano in grado di fornire report di conformità che possano essere utilizzati con gli enti di vigilanza, qualora venisse smarrito un dispositivo mobile. Accertatevi che la vostra struttura per i criteri di sicurezza ed i processi ad essa associati includano anche i dispositivi mobili, per poterne dimostrare il controllo di base. La cosa più importante è mantenere la semplicità. C'è molto clamore in quest'area di mercato relativamente acerba. Adeguatevi a questi dispositivi, invece di bloccarli, e continuate ad osservarne le evoluzioni, in quanto avverranno rapidamente. James Lyne Director of Technology Strategy Sophos @jameslyne Boston, USA | Oxford, Regno Unito © Copyright 2011. Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari.