Attenzione ai dati: sei modi in cuipotresti perdere i dati mobili senzaneanche saperlo

CIO, CISO, VP IT Operations, Mobile Architect, Mobile ProgramManager. Questo documento esamina brevemente le sei principaliminacce per il personale che utilizza dispositivi mobili, associando irischi reali a metodi realmente utili da adottare per ottenere lasicurezza necessaria all'azienda.W

HITE PA

PER:

ATTENZIO

NE A

I DATI: SEI M

OD

I IN C

UI

POTR

ESTI PERD

ERE I D

ATI MO

BILI

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Contenuti

Introduzione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1. Smarrimento e furto dei dispositivi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

2. Perdita di dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

3. Malware e attacchi malevoli. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

4. Dispositivi e password condivisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

5. Jailbreaking e rooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

6. Intercettazioni Wi-Fi e wireless. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo

Introduzione

Se i tuoi dipendenti utilizzano dispositivi mobili, il tuo business ne risentirà negativamente?

I dispositivi mobili che i dipendenti amano usare nel loro tempo libero ora sono diventati anche importanti strumenti di lavoro. Una

nostra recente ricerca lo conferma: il 65% delle aziende intervistate fornisce ai dipendenti l'accesso alla rete tramite dispositivi

personali, l'80% delle applicazioni che questi dipendenti utilizzano non sono basate on-premise, ma nel cloud e il 52% utilizza

normalmente non uno, ma tre o più dispositivi.

Certamente, questi dispositivi mobili – smartphone, portatili e tablet – aprono nuove opportunità di produttività. Ma proprio per la loro

natura mobile aprono anche la strada a nuove vulnerabilità: nuovi modi di perdere dati, protezione e fiducia nella sicurezza della rete

aziendale.

Fortunatamente, produttività e protezione possono andare di pari passo, a condizione che si comprenda quali sono i rischi e cosa si può

fare per mitigarli. Questo documento esamina brevemente le sei principali minacce per il personale che utilizza dispositivi mobili,

associando i rischi reali a metodi realmente utili da adottare per ottenere la sicurezza necessaria all'azienda.

1. Smarrimento e furto dei dispositivi

Il rischio più ovvio viene spesso risolto con la risposta più ovvia: prevedere la sostituzione dei dispositivi smarriti. Tuttavia molti

dispositivi di lavoro sono di proprietà dei dipendenti stessi: si tratta del fenomeno "bring your own device", ovvero l'utilizzo dei dispositivi

personali in azienda. Inoltre, ciò che è veramente importante è il contenuto del dispositivo, non il dispositivo stesso. Ciascun dispositivo

smarrito è un potenziale portale di accesso alle applicazioni e ai dati aziendali.

Pensi che stiamo esagerando? Nel 2012, abbiamo verificato i nostri timori. In un progetto che abbiamo denominato "Operation Honey

Stick", abbiamo "smarrito" dieci smartphone in ciascuna di cinque importanti città americane: Los Angeles, San Francisco, Washington

D.C., New York City e Ottawa in Canada. Ciascun telefono conteneva dati e applicazioni aziendali finti ed è stato abbandonato in zone

molto trafficate.

Il lato positivo da sottolineare è che per almeno la metà dei 50 telefoni sono stati fatti tentativi di restituzione. Il dato però mette subito

in luce anche il lato negativo della natura umana. Nell'89% dei dispositivi si è tentato di accedere ad app o dati personali, e questo lascia

pensare che anche le persone con le migliori intenzioni siano state tentate di fare qualcosa di poco lecito. Un totale dell'83% ha mostrato

tentativi di accedere ad app e dati aziendali. Un file denominato "password salvate" è stato aperto sul 57% dei telefoni, nel 49% dei casi

coloro che hanno trovato il telefono hanno provato una app "Remote Admin" che simulava l'accesso alla rete aziendale.

Abbiamo capito: invece di focalizzare l'attenzione sui dispositivi smarriti, le aziende devono proteggere i dati sensibili che potrebbero

andare potenzialmente perduti. La gestione di base dei dispositivi deve essere integrata da policy per la protezione di app e dati. A un

certo livello, ciò implica la capacità di individuare rapidamente i dispositivi smarriti ed eseguire il wipe dei dati in modalità remota; per

una protezione più avanzata, le aziende devono proteggere le app e crittografare i dati aziendali mobili.

2. Perdita di dati

Molto è stato detto sulle minacce del "personale interno malintenzionato" che deliberatamente cerca e condivide informazioni aziendali

riservate. Ma la minaccia principale può arrivare dai dipendenti benintenzionati che utilizzano servizi basati sul cloud, come e-mail e

strumenti di collaboration online, per lavorare di più e con maggiore rapidità. Nel percorso in continua evoluzione verso una sempre

maggiore facilità d'uso (noto anche come "consumerizzazione"), i dipendenti si sentono a loro agio lavorando con applicazioni progettate

per la praticità dei consumatori, non per rispondere ai timori correlati alla sicurezza delle aziende.

Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo

1

Ma una volta nel cloud, i tuoi dati aziendali possono essere al di fuori del tuo controllo. I programmi di condivisione dei file e modifica dei

documenti più usati solitamente non sono dotati dei protocolli di accesso e autorizzazione di cui necessitano le aziende per la protezione

dei dati. Senza controlli ben ponderati, i dati possono "fuoriuscire" dall'ambito IT aziendale per finire in un mondo di rischi molto meno

sicuro

Una protezione di app e dati appropriata deve adottare un duplice approccio alla sicurezza: 1) una blacklist di applicazioni che vieta

l'accesso alle applicazioni non approvate, e 2) l'implementazione di controlli che impediscano operazioni di copia, incolla e/o

condivisione dei dati tramite le applicazioni online.

Le funzionalità di protezione di app e dati appropriate includono:

• Autenticazione specifica per ciascuna app

• Crittografia dei dati

• Blocco delle operazioni di copia/incolla

• Disattivazione della condivisione dei documenti

• Blocco dell'accesso ai dispositivi modificati (rooted o jail-broken)

3. Malware e attacchi malevoli

In stime reali, un numero molto più elevato di attacchi di malware minacciano i PC rispetto ai dispositivi mobili. Ma la quantità di

attacchi a questi ultimi sta aumentando a un ritmo decisamente superiore. Mentre i professionisti IT tradizionali non prestano molta

attenzione al malware mirato ai dispositivi mobili, i malintenzionati vedono l'ambito mobile come la prossima grande opportunità di

espansione.

A rischio: furto di identità, esposizione di informazioni e perdita di dati causate da attacchi malevoli di Trojan Horse, monitor e malware

in continua evoluzione. Di questi, la minaccia principale può essere costituita dalle app "ingannevoli": camuffate da videogioco o

applicazione nota e con l'esca del download gratuito, queste app introducono codice malevolo nel dispositivo che può sottrarre denaro

dai conti correnti o estrarre dati dalle reti aziendali.

Il cosiddetto freeware di "sicurezza" manca delle funzionalità e dell'efficacia necessarie per affrontare il malware in continua evoluzione

e i continui sforzi di violazione delle barriere aziendali. Una protezione realmente efficace dalle minacce deve tenere conto delle

mutazioni nel profilo di rischio tra le diverse piattaforme e applicare un'azione coordinata per proteggere le risorse aziendali contro

attacchi esterni, app contraffatte, navigazione non sicura e persino l'utilizzo inefficace della batteria.

4. Dispositivi e password condivisi

Secondo studi pubblicati di recente, quasi la metà di tutti i dipendenti condivide i propri dispositivi con amici e familiari, mentre un altro

20% condivide le proprie password. Purtroppo, la condivisione disinvolta di account è la causa della maggior parte delle violazioni di

sicurezza.

La protezione dei dispositivi mobili è molto di più della semplice applicazione di un blocco schermo. Prima che gli utenti possano

accedere a dati e applicazioni aziendali, può essere prudente autenticare le loro identità. Valuta l'applicazione dell'autenticazione a due

fattori – aspetto chiave per una gestione corretta dell'accesso di utenti e app, e la protezione di app e dati – che combina qualcosa che è

noto all'utente (come una password) con qualcosa in possesso dell'utente (come un token, un'impronta digitale o una scansione della

retina).

Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo

2

5. Jailbreaking e rooting

In un mondo BYOD, è facile che un dipendente introduca un dispositivo "jail-broken"/"rooted" nell'ambiente aziendale. Queste modifiche

ai dispositivi possono eludere i protocolli di sicurezza, disinstallare le funzionalità di sicurezza e dare accesso a file system e controlli

dati precedentemente protetti.

Le aziende devono applicare policy di gestione dei dispositivi che applicano standard di configurazione e sicurezza coerenti su tutti i

dispositivi, siano essi aziendali o personali. Per proteggere la rete aziendale, i dispositivi modificati devono essere identificati e il loro

accesso alla rete aziendale deve essere negato.

6. Intercettazioni Wi-Fi e wireless

Se è "gratis", è probabilmente una truffa: qualsiasi hotspot che dichiara di essere "gratuito" è probabilmente un punto di osservazione di

dati in movimento. Gli utenti spesso non percepiscono la propria vulnerabilità, e le aziende non hanno alcun controllo o visibilità sui

canali 3G, 4G e 4G LTE.

Policy di gestione complete di app, dati e dispositivi devono proteggere a due livelli:

• Comunicazione, come le e-mail aziendali, tramite connessioni SSL o VPN protette

• Crittografia dei dati aziendali quando sono in transito o a destinazione sui dispositivi mobili

Per saperne di più sull'enterprise mobility che offre protezione completa senza compromettere l'esperienza utente, visita

http://www.symantec.com/it/it/products-solutions/solutions/?parent=mobile.

Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo

3

Informazioni su Symantec

Symantec protegge le informazioni in tutto il

mondo ed è un leader mondiale nelle soluzioni per

la sicurezza, il backup e la disponibilità. I nostri

prodotti e servizi innovativi proteggono le persone

e le informazioni in qualsiasi ambiente, dal più

piccolo dispositivo mobile, al data center

aziendale, ai sistemi basati sul cloud. Le nostre

competenze ampiamente riconosciute nella

protezione dei dati, delle identità e delle

interazioni garantiscono ai nostri clienti la

sicurezza in un mondo connesso. Ulteriori

informazioni sono disponibili su www.symantec.it

o contattando Symantec su go.symantec.com/

socialmedia.

Per informazioni sui

contatti in ogni specifico

paese, visita il nostro sito

Web.

Symantec Italia

Via Rivoltana 2/D

20090 Segrate (MI)

ITALY

www.symantec.it

Copyright © 2013 Symantec Corporation. Tutti i dirittiriservati. Symantec, il logo Symantec e il logoCheckmark sono marchi o marchi registrati diSymantec Corporation o delle sue consociate negliStati Uniti e in altri paesi. Altri nomi possono esseremarchi dei rispettivi proprietari.3/2013 21283507

Attenzione ai dati: sei modi in cui potresti perdere i dati mobili senza neanche saperlo